Netzwerk-Grundlagen – Policy Enforcement, Teil 1

Policy Enforcement auf Basis von RFC 3580 und Multi-User Authentication

19.08.2010 | Autor / Redakteur: Markus Nispel / Stephan Augsten

Um Richtlinien für bestimmte Anwender und Geräte durchzusetzen, muss man um die verschiedenen Möglichkeiten der Authentisierung wissen.
Um Richtlinien für bestimmte Anwender und Geräte durchzusetzen, muss man um die verschiedenen Möglichkeiten der Authentisierung wissen.

Die eindeutige Authentisierung eines Gerätes und/oder Users ist ein wichtiger Teil der Access Control, denn sie bilden die Grundlage fürs Policy Enforcement. Bevor wir und der Durchsetzung von Richtlinien in der Praxis widmen, betrachten wir in diesem Beitrag die verschiedenen Authentisierungsmechanismen am Beispiel der Security-Lösungen von Enterasys.

Auf Basis der Authentisierung eines Gerätes und/oder Benutzers gilt es Regelwerke zuzuweisen, die den Zugang mit allen Rechten und Einschränkungen kontrollieren. Bereits die unterschiedlichen Authentisierungsmöglichkeiten zeigen auf, welche differenzierte Vertrauensstellung hier abzubilden ist.

RFC 3580 – Der kleinste gemeinsame Nenner?

Die nähere Betrachtung zeigt, dass die verbreitete Methode aus dem Authentisierungsergebnis eine VLAN-Zuweisung (RFC 3580) abzuleiten, zahlreiche Unzulänglichkeiten birgt. Allein die Notwendigkeit, einen Campus mit weit verzweigten Layer-2-Segmenten zu überziehen, widerspricht dem allgemeinen Trend hin zu gerouteten Segmenten.

Eine Usergruppen-/VLAN-Assoziierung generiert in der Praxis mindestens eine umfangreiche Gruppe von Standardusern, vor welchen zwar der Netzwerkkern durch entsprechende Accesslisten geschützt wird, die jedoch untereinander frei und hemmungslos kommunizieren können.

Ist eines dieser Endsysteme durch Schadsoftware kompromittiert, so ist die gesamte Gruppe einer Verbreitung ausgesetzt. Daher wäre es wünschenswert, bereits am ersten Access Port zu entscheiden, welche Informationen überhaupt in das Ökosystem Netzwerk eingespeist werden dürfen.

Policies – Regeln am Rand der Zivilisation

Diese Idee führt tief in die Historie des Enterasys-Vorläufers Cabletron Systems. Bereits mit der zweiten Generation der SmartSwitch-Familie wurde in den späten 90er Jahren die dezidierte Frame-Klassifizierung etabliert. Die Idee, einen Layer-2-Switch zu einer Layer-2/3/4-Analyse zu bewegen, war zu jener Zeit aus Priorisierungsanforderungen mit Blick auf zeitkritische Applikationen wie Voice und Video heraus geboren.

Später wurde klar, dass die Unterscheidung verschiedener Protokolle am Access Port die erste Grundlage darstellt, um unerwünschte Dienste und Protokolle einfach zu verwerfen. Die Idee einer skalierbaren, verteilten Sicherheitsarchitektur eines Netzwerkes hatte etwas Faszinierendes.

„Das Konzept von Zugriffsregeln im Accessbereich hat lediglich akademischen Wert. In der Praxis ist diese Aufgabe zu komplex, um administriert zu werden.“ Diese Aussage eines namhaften Herstellers von Netzwerk-Komponenten bringt es auf den Punkt. Das Pflegen verteilter Zugriffsinformationen mit Bordmitteln ist eine Aufgabe, vor welcher jeder Administrator zurückschrecken wird.

Inhalt

 

Über Enterasys Networks

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2046686 / Sicherheits-Policies)