Suchen

Netzwerk-Grundlagen – Policy Enforcement, Teil 1

Policy Enforcement auf Basis von RFC 3580 und Multi-User Authentication

Seite: 4/5

Firma zum Thema

Sichere Gastfreundschaft mit Default Policies

Gäste spielen eine wachsende Rolle in Netzen, deren Mobilitätsanforderungen kontinuierlich ausgebaut werden. Schüler und Studenten, Besucher, Wartungstechniker oder einfach Mitarbeiter fremder Firmen, die manchmal über lange Zeiträume im Unternehmen präsent sind – sie alle haben den Anspruch, an den Ressourcen der IT-Infrastruktur teilzuhaben. Ein Horrorszenario für jeden Administrator! Der Balanceakt, einerseits diesem Bedarf nachzukommen ohne andererseits die Sicherheitsrichtlinien des Unternehmens zu kompromittieren, stellt eine echte Herausforderung dar.

Ein Teil der genannten Personengruppen lässt sich organisatorisch registrieren und technisch mittels Webauthentication und einer restriktiven Policy in das Sicherheitskonzept integrieren. Für die oft große Zahl sporadischer Besucher ist dieser Aufwand unangemessen hoch. Eine einfache Lösung muss her, die ohne Eingriff des Administrators funktioniert.

Bildergalerie

Den Schlüssel hierzu stellt die Default Policy dar. Sie erlaubt einem nicht-authentisierten Benutzer den minimalen Zugriff auf die Netzwerkinfrastruktur. Eine solche „soziale Grundversorgung“ definiert sich beispielsweise über den Zugriff auf VPN-, HTTP-, DHCP- und DNS-Services sowie dem Zugang zum Webproxy des Unternehmens. Ein Rate Limiting begrenzt die nutzbare Bandbreite und verhindert exzessiven Gebrauch.

Der Gast erhält also an jedem freigegeben Port Basisdienste, ist jedoch von den internen Ressourcen der IT-Infrastruktur eindeutig ausgeschlossen. Aber auch andere Szenarien lassen sich über Default Policies abbilden. Softwareverteilung findet regulär außerhalb der Bürozeiten statt. Eine angepasste Default Policy stellt den Zugriff eines Updateservers auf das Endgerät auch dann sicher, wenn der Benutzer nicht angemeldet ist.

Fazit: Default Policies schaffen die nötige Flexibilität in einem sicheren Netzwerk, um Nischenszenarien zu ermöglichen ohne die Security durch manuelle Schaffung von Ausnahmen und Lücken zu kompromittieren.

Inhalt

  • Seite 1: Policies – Regeln am Rand der Zivilisation
  • Seite 2: Policy Management nach dem Baukasten-Prinzip
  • Seite 3: Multi-User Authentication and Policy (MUA+P)
  • Seite 4: Sichere Gastfreundschaft mit Default Policies
  • Seite 5: RFC 3580 und Distribution Layer Security

(ID:2046686)