Zugangsschutz im lokalen Netzwerk

Lösungen für den LAN-Zugangsschutz

Vorhandene Lösungsansätze, in denen die Switches als physikalische und logische Eingangspforte zum LAN mehr Sicherheitsaufgaben übernehmen, lassen sich in drei Gruppen zusammenfassen.

Authentifizierungen nach IEEE 802.1x in Verbindung von EAP

Einen Switchport erst nach erfolgreicher Authentifizierung freizugeben, wie es 802.1x definiert, stellt eine nahe liegende Lösung dar.

Die Idee hinter IEEE802.1x ist, dass einem physischen Anschluss zwei logische Anschlüsse (Ports) zugeordnet werden. Der physische Anschluss leitet die empfangenen Pakete grundsätzlich an den so genannten freien Port (Uncontrolled Port) weiter. Der kontrollierte Port (Controlled Port) ist nur nach einer Authentifizierung erreichbar, die über den freien Port erfolgt. In der Regel übernimmt ein RADIUS-Server (Remote Access Dial-up User Service - RFC 2138) die Rolle des Authentifizierungs-Servers.

  1. Der Zugangspunkt (Switch oder WLAN-AP) fordert vom Client dessen Identität.

  2. Der Client liefert seine Identität an den Zugangspunkt.

  3. Die Information über den offenen Port leitet der Zugangspunkt an den RADIUS-Server weiter.

  4. Eine Authentifizierung des Client wird vom RADIUS-Server gefordert. Diese Anforderung (Challenge) sendet er zunächst an den Zugangspunkt.

  5. Weiterleitung der Anforderung vom Zugangspunkt an den Client.

  6. Der Client sendet eine Antwort auf die Anforderung an den Zugangspunkt. Diese Antwort enthält die geforderte Authentifizierung, beispielsweise ein bestimmtes Passwort oder eine korrekte Verschlüsselung einer in der Anforderung enthaltenen Zeichenfolge.

  7. Die Antwort leitet der Zugangspunkt an den RADIUS-Server weiter.

  8. Der RADIUS-Server überprüft die Antwort. Im Fall eines Erfolgs sendet er eine entsprechende Meldung an den Zugangspunkt.

  9. Der kontrollierte Port wird vom Zugangspunkt freigegeben. Darüber hinaus leitet er die Meldung an den Client weiter.

Es sind dafür aber eine Reihe von Voraussetzungen zu schaffen. So müssen alle Clients und die beteiligten aktiven Komponenten die notwendigen, kompatiblen Protokolle unterstützen (EAP).

In einer aktuellen reinen Microsoft- und homogenen Switch-Landschaft lässt sich dieser Ansatz realisieren. Den Aufwand dafür sollte man dennoch nicht unterschätzen. Nicht kompatible oder ältere Sonder-Clients, Netzdrucker, Router, WLAN-Access-Points und andere Komponenten lassen sich schwer - und teilweise nur mit Einschränkungen - in dieses Konzept integrieren. Auch der Missbrauch bereits aktivierter Ports kann nicht ausgeschlossen werden, etwa über ein Session Hijacking.

Notwendige zusätzliche Komponenten (RADIUS und eventuell eine PKI-Infrastruktur) erfordern zusätzlichen Aufwand zur Aufrechterhaltung der Gesamtverfügbarkeit des Netzes. Ein Event-Management einschließlich der Lokalisation unautorisierter Zugriffsversuche ist standardmäßig nicht vorgesehen und muss mit zusätzlichen Lösungen realisiert werden.