21.01.2010, 06:00 Uhr
Grenzkontrolle fürs Firmennetzwerk
Netzwerke sind das Rückgrat der IT-Infrastruktur. Wer mit welchen Rechten Zutritt zu dieser Lebensader hat, muss genau geregelt werden. Ein Network Access Control Service ist der effektivste Weg, sensible Daten zu schützen.
Andreas Gossweiler ist Head of ICT-Security bei Swisscom Grossunternehmen
Die Situation ist bekannt: Man empfängt einen externer Berater bei sich in der Firma. Während der Projektphase möchte dieser mit dem eigenen Netbook auf seinen Mailaccount und seine Daten zugreifen. Der einfachste Weg: Vom Firmennetzwerk aus wird ein Tunnel zum fremden Netz des Beraters aufgebaut. Das Problem dabei: Die von der IT sorgfältig eingerichteten Sicherheitsvorkehrungen werden so einfach umgangen. Niemand überprüft, ob aus dem Firmennetzwerk Daten abtransportiert oder Malware importiert wird.
Unterschiedliche Nutzer und Rechte
In der Praxis stehen Netzwerkadministratoren vor der Herausforderung, in einem gemeinsam genutzten Netzwerk verschiedene Benutzergruppen zu trennen, die unterschiedlichen Sicherheitsniveaus zugeordnet sind - etwa Gastzugang, Produktion und Ähnliches. Es muss also an einem geeigneten Punkt im Netz, beispielsweise direkt am Netzwerk-Port, geprüft werden, welche Rechte mit dem Zugang verbunden sein sollen. Je nach Ergebnis der Authentifizierung wird Zugriff auf einen genau definierten Unternehmens-bereich gewährt.
Eine weitere Herausforderung besteht darin, dass ein immer grösserer Benutzerkreis Zugriff auf die Unternehmensressourcen hat. Dazu zählen sowohl Mitarbeiter vor Ort als auch Mitarbeiter an anderen Standorten, ausserdem Gäste, Vertragspartner und temporäre Mitarbeiter.
Vorteile einer NAC-Lösung
In der Vergangenheit wurden im Laufe verschiedener Technologiegenerationen bereits diverse Lösungen für die Zugriffsregelung entwickelt. Die Verfahren, welche auf Network Access Control (NAC) basieren, sind inzwischen mehrfach erprobt und die Praxiserfahrungen mit dieser Methodik entsprechend vielfältig. NAC verfügt über einen hohen Standardisierungsgrad, was sich positiv auf die Kosten und den Umsetzungs-zeitraum niederschlägt. NAC ist ein Verfahren, das für nahezu alle Arten von Endgeräten und Netzwerken angewendet werden kann. Auch das bringt einen entscheidenden Kostenvorteil, da nicht auf verschiedene Authentisierungsmethoden zurückgegriffen werden muss.
Die Grenzen der Lösung
Trotzdem erfordern NAC-Projekte eine klare Strukturierung und detaillierte Kenntnisse der Infrastruktur im Unternehmen, damit sie sich nahtlos in die bestehende Umgebung integrieren lassen. Nicht jedes Unternehmen hat den gleichen Sicherheitsbedarf, auch dies muss bei der Abklärung berücksichtigt werden.
Die systemischen Grenzen von NAC liegen primär in den folgenden zwei Bereichen:
- Unberechtigter Datenaustausch auf höheren Protokollen wie E-Mail, mobilen Speichern (USB, SD etc.), Papierausdruck etc.
- Unsachgemässer Umgang mit vertraulichen Daten durch autorisierte Benutzer.
Die Implementierung von NAC kann auf dem Technologiestandard 802.1X der international anerkannten Organisation Institute of Electrical and Electronics Engineers (IEEE) basieren. Im Rahmen dieses Standards werden verschiedene Verfahren zur Authentisierung angeboten. Ein NAC, welcher auf dem 802.1X-Zertifikat basiert, ist dadurch aber nicht automatisch ein sicheres Netzwerk, da dazu auch Authentifizierungsmethoden zählen, die aus Sicherheitsbetrachtungen ungeeignet sind.
Wichtig ist, dass NAC nur den Zugang zum Netz kontrolliert. Der Standard kann auf keinen Fall Firewalls und andere Sicherheitsmethoden ersetzen. NAC stellt nur einen Teil einer umfassenden Sicherheitsstrategie dar. Deshalb ist eine genaue Abklärung der Bedürfnisse unabdingbar, damit ein lückenloses Sicherheits-konzept erstellt werden kann.
Fazit: Risiko richtig abschätzen
Fundierte Risikobetrachtungen zeigen, dass viele Gefahren für Endgeräte immer im Gesamtkontext eines Unternehmens gesehen werden müssen. Die Kosten-Nutzen-Betrachtung für Endgeräte stützt sich dabei ausschliesslich auf den Wert der Unternehmensdaten, die bedroht sind. Deshalb müssen diese kritischen Daten identifiziert werden, damit zu ihrem Schutz passende Security-Lösungen eingesetzt werden können. Auf der Basis von fundierten Vorabklärungen und entsprechenden Sicherheitskonzepten können dann im Rahmen einer End-to-end-Betrachtung das Risikomanagement für die Netzwerkzugänge entwickelt und die Kosten kalkuliert werden.
Beispielprojekt: IEEE 802.1X für LAN und WLAN
Aufgabe: Das LAN- und WAN-Netzwerk eines Versicherungsunternehmens mit etwa 5000 Nutzern soll per NAC geschützt werden.
Konzept: Das Netzwerk wird logisch segmentiert. Dadurch erhöht sich die Netzwerksicherheit, ein unzulässiger Zugang von innen ist erheblich erschwert. Realisiert wird die logische Trennung mittels VLANs (Virtual Local Area Network), die physikalischen Netze werden aufgeteilt und über IEEE 802.1X dynamisch zugewiesen. Im Hintergrund arbeiten redundant ausgelegte, hochverfügbare Radius-Server (Remote Authentication Dial-In User Service). Sie erkennen an der Anfrage, zu welcher der beteiligten Firmen der Client gehört, und nehmen seine Anmeldung basierend auf den Directory-Eintragungen vor. Ist der Client bekannt und zugelassen, wird er automatisch dem richtigen VLAN zugewiesen und gelangt damit ins Intranet der eigenen Firma, unabhängig von welchem Ort auf dem Campus aus er sich mit dem Multiclient-LAN verbindet. Ist er unbekannt, wird er zu einem Internetprovider weitergeleitet, wo er sich wie bei einem Hotspot anmelden und externe Netzwerkressourcen nutzen kann. Er hat also nur Zugriff auf ein logisch abgetrenntes Gast-VLAN mit beschränkten Rechten.
Komponenten: Bei der Infrastruktur setzte das Projektteam auf Cisco-Komponenten und auf Software, die vorhandene Microsoft-Systeme schon mitbringen, also den Microsoft-IEEE-802.1X-Supplicant.
Erfolgskriterien: Wesentliche Rahmenbedingungen für den Erfolg des Projekts sind:
- Reibungslose und für die Benutzer transparente Migration
- Berücksichtigung von nicht 802.1X-fähigen Altgeräten
- Robuste, flexible und hochverfügbare Netzwerkstrukturen
- Anbindung an den vorhandenen Verzeichnisdienst (Active Directory)
- Zugangskonzept für Gäste und Externe
- Kostengünstige, wiederverwendbare Lösung
Zeitrahmen: 6 Monate
Eingesetzte Technologien:
- IEEE 802.1X mit EAP-TLS
- Radius
- LAN, WLAN
- VLANs (IEEE 802.1q)
- PKI/Zertifikate
Ergebnis: Ein grosses, produktives Netz mit dynamischer VLAN-Zuweisung und gesichertem Zugang auf Basis von IEEE 802.1X.
Aufgabe: Das LAN- und WAN-Netzwerk eines Versicherungsunternehmens mit etwa 5000 Nutzern soll per NAC geschützt werden.
Konzept: Das Netzwerk wird logisch segmentiert. Dadurch erhöht sich die Netzwerksicherheit, ein unzulässiger Zugang von innen ist erheblich erschwert. Realisiert wird die logische Trennung mittels VLANs (Virtual Local Area Network), die physikalischen Netze werden aufgeteilt und über IEEE 802.1X dynamisch zugewiesen. Im Hintergrund arbeiten redundant ausgelegte, hochverfügbare Radius-Server (Remote Authentication Dial-In User Service). Sie erkennen an der Anfrage, zu welcher der beteiligten Firmen der Client gehört, und nehmen seine Anmeldung basierend auf den Directory-Eintragungen vor. Ist der Client bekannt und zugelassen, wird er automatisch dem richtigen VLAN zugewiesen und gelangt damit ins Intranet der eigenen Firma, unabhängig von welchem Ort auf dem Campus aus er sich mit dem Multiclient-LAN verbindet. Ist er unbekannt, wird er zu einem Internetprovider weitergeleitet, wo er sich wie bei einem Hotspot anmelden und externe Netzwerkressourcen nutzen kann. Er hat also nur Zugriff auf ein logisch abgetrenntes Gast-VLAN mit beschränkten Rechten.
Komponenten: Bei der Infrastruktur setzte das Projektteam auf Cisco-Komponenten und auf Software, die vorhandene Microsoft-Systeme schon mitbringen, also den Microsoft-IEEE-802.1X-Supplicant.
Erfolgskriterien: Wesentliche Rahmenbedingungen für den Erfolg des Projekts sind:
- Reibungslose und für die Benutzer transparente Migration
- Berücksichtigung von nicht 802.1X-fähigen Altgeräten
- Robuste, flexible und hochverfügbare Netzwerkstrukturen
- Anbindung an den vorhandenen Verzeichnisdienst (Active Directory)
- Zugangskonzept für Gäste und Externe
- Kostengünstige, wiederverwendbare Lösung
Zeitrahmen: 6 Monate
Eingesetzte Technologien:
- IEEE 802.1X mit EAP-TLS
- Radius
- LAN, WLAN
- VLANs (IEEE 802.1q)
- PKI/Zertifikate
Ergebnis: Ein grosses, produktives Netz mit dynamischer VLAN-Zuweisung und gesichertem Zugang auf Basis von IEEE 802.1X.
Andreas Gossweiler
