Suchen

Netzwerk-Grundlagen – Policy Enforcement, Teil 1

Policy Enforcement auf Basis von RFC 3580 und Multi-User Authentication

Seite: 5/5

Firma zum Thema

RFC 3580 und Distribution Layer Security

Die Einführung flächendeckender Netzwerk Security in heterogenen Netzen stellt den Administrator, wie bereits beschrieben, vor eine Reihe spannender Herausforderungen. Gerade im Bereich der Low-Cost Switche hat sich das Prinzip der User/VLAN-Zuordnung gemäß Standard RFC 3580 weitgehend etabliert. Daher soll dieses Thema nochmals eingehender mit Fokus auf eine Secure-Networks-Integration beleuchtet werden.

User/VLAN-Zuordnung gemäß RFC 3580. (Archiv: Vogel Business Media)

RFC 3580 ist eine Methode, welche der Authentisierungsantwort des RADIUS-Servers eine VLAN-ID beifügt, anhand welcher der Switch dem Userport ein entsprechendes VLAN zuweist. In diesem Abschnitt soll beleuchtet werden, wie sich derartige Komponenten in eine policybasierte Lösung integrieren lassen.

Bildergalerie
Enhanced Policy mit RFC 3580. (Archiv: Vogel Business Media)

In dem abgebildeten Beispiel agiert der Distribution Layer Switch vom Typ N-Serie N7 nicht als Authentisierungsinstanz, sondern weist den eingehenden Frames anhand der VLAN-ID eine entsprechende Policy zu.

Damit reduziert sich das Risiko unkontrollierter Client-zu-Client Kommunikation auf den Bereich des VLANs innerhalb des einzelnen Access Switchs. Auch das VLAN-to-Role Mapping lässt sich an zentraler Stelle im Policy Manager konfigurieren und flächendeckend an alle Switches kommunizieren (siehe Bild 2 der Bildergalerie).

Port Protection

Im Gegensatz zum Policy Enforcement direkt am Access Port verbleibt bei allen Szenarien der Distributed Layer Security ein Restrisiko, da die Access Control erst in der nachgelagerten Instanz ausgeführt wird.

Um diese Lücke zu schließen, haben die Entwickler von Enterasys die Funktionalität des Cabletron ELS10-27MDU (Multiple Dwelling Unit) den neuen Anforderungen angepasst und in das Portfolio der A/B/C-Serie integriert.

Port Protection (Archiv: Vogel Business Media)

Das Port-Protection- oder Private-VLAN-Feature, welches Datenaustausch nur in Richtung definierter (Uplink-) Ports zulässt, leitet die gesamte Kommunikation des Switchs direkt in die Distribution Zone und das Regelwerk der Policies. Diese Schutzmaßnahme bewahrt die Enduser vor unkontrolliertem Verkehr innerhalb des Switchs/VLANs.

Über den Autor

(Archiv: Vogel Business Media)

Markus Nispel ist als Vice President Solutions Architecture zuständig für die strategische Produkt- und Lösungsentwicklung bei Enterasys. Sein Fokus liegt auf dem Ausbau der Sicherheits- und dort insbesondere der Network-Access-Control-Lösung (NAC) von Enterasys; hier zeichnet er als Architekt verantwortlich. Diese Position knüpft an seine vorherige Tätigkeit bei Enterasys als Director Technology Marketing an. Bereits hier war er intensiv in die weltweite Produktentwicklung und -strategie von Enterasys im Office des CTO involviert. Darüber hinaus berät er Key Accounts in Zentraleuropa, Asien und dem mittleren Osten bei strategischen Netzwerkentscheidungen und verantwortet die technischen Integrationsprojekte zwischen Enterasys und der Siemens Enterprise Communications Group.

In Zentraleuropa und Asien verantwortet er zudem das Security Business Development und steht mit einem Team an Security Spezialisten für die Implementierung von Security Projekten mit höchsten Anforderungen bereit.

Vor seiner Tätigkeit für Enterasys Networks war Markus Nispel als Systems Engineer bei Cabletron Systems aktiv. Hier führte er 1998 die ersten Layer 3 Switches für den europäischen Kundenstamm ein.

Markus Nispel studierte an der Fachhochschule der Deutschen Telekom in Dieburg und schloss sein Studium 1996 als Dipl.-Ing. Nachrichtentechnik erfolgreich ab. Erste Berufserfahrung sammelte er unter anderem bei der E-Plus Mobilfunk GmbH innerhalb der Netzwerkoptimierungsgruppe für DCS Mobile Networks.

Inhalt

  • Seite 1: Policies – Regeln am Rand der Zivilisation
  • Seite 2: Policy Management nach dem Baukasten-Prinzip
  • Seite 3: Multi-User Authentication and Policy (MUA+P)
  • Seite 4: Sichere Gastfreundschaft mit Default Policies
  • Seite 5: RFC 3580 und Distribution Layer Security

(ID:2046686)