Netzwerk-Grundlagen – Authentisierung, Teil 2

MAC-, Web- und LLDP-Authentication als Alternativen zu IEEE 802.1x

03.08.2010 | Autor / Redakteur: Markus Nispel / Stephan Augsten

Spezielle Geräte wie Drucker oder VoIP-Telefone erfordern eine 802.1x-unabhängige Authentisierung.

IEEE 802.1x kann zur Authentisierung zahlreicher Netzwerk- und Endgeräte verwendet werden. Für eine umfassende Zugriffskontrolle müssen aber auch jene Systeme erkannt werden, die diesen Standard nicht unterstützen. Hier empfehlen sich je nach Art und Standort der Hardware verschiedene Methoden, die wir hier genauer erläutern.

Wie eine IEEE-802.1x-basierende Authentisierung mithilfe von EAP und RADIUS funktioniert, haben wir im ersten Artikel dieses Dreiteilers gelernt. In diesem Beitrag befassen wir uns mit alternativen Authentisierungsmethoden für andere Endgeräte.

Web Authentication

Endgeräte externer Mitarbeiter (Gäste, Servicepersonal, Studenten) entziehen sich dem administrativen Eingriff des Administrators. In diesem Szenario ist es also nicht praktikabel, die für die Authentisierung notwendige Konfiguration vorzunehmen.

Eine webbasierte Anmeldung, wie sie mittlerweile z.B. innerhalb öffentlicher WLAN-Hotspots üblich ist, ist ohne Konfigurationsaufwand möglich und stellt somit eine akzeptable Alternative dar. Die automatische Umleitung eines beliebigen HTTP-Aufrufes durch den Browser des Endgeräts präsentiert dem Benutzer eine Webseite mit integrierter Authentisierungsabfrage.

MAC Authentication

Endgeräte ohne standardbasierte Authentisierungsfunktionen, wie Drucker, IP-Telefone und Industrieanlagen stellen eine weitere Herausforderung dar. Hier muss man sich meist mit MAC-Adressen basierende Authentisierungsmethoden sowie einer automatische Endgeräte-Klassifizierung durch Protokolle wie Convergent Endpoint Detection (CEP) und Link Layer Discovery Protocol-Media Endpoint Discover (LLDP-MED) behelfen.

Derartige Maßnahmen lassen sich mit verhältnismäßig einfachen Mitteln kompromittieren und sind deshalb grundsätzlich als schwächere Sicherheitsbarriere anzusehen. Dieses Manko erfordert eine dediziertere Endgerätekontrolle, welche über eine binäre Zugriffsentscheidung hinaus geht.

Die im Weiteren erläuterte Kombination aus Authentisierung und Access Policys (Zugriffsrichtlinien) ermöglicht den Zugriff in eingeschränkter Form. Daraus resultiert, dass der Versuch, sich z.B. mittels einer MAC Adresse eines Druckers Zugang auf das Netz zu verschaffen, lediglich die Kommunikation mit dem zugewiesenen Printserver herstellt. Diese Einschränkung reduziert den Erfolg eines solchen Angriffs auf ein Minimum.

Seite 2: Geräte mittels CEP und LLDP erkennen

Über Enterasys Networks

Über Enterasys Networks

Enterasys Networks ist ein globaler Anbieter von Secure Networks für Unternehmenskunden. Die innovativen Netzwerkinfrastrukturlösungen von Enterasys tragen den Anforderungen von Unternehmen nach Sicherheit, Leistungs- und Anpassungsfähigkeit Rechnung. Darüber hinaus bietet Enterasys umfangreiche Service und Support-Leistungen an. Das Produktangebot reicht von Multilayer Switchen, Routern, Wireless LANs und Virtual Private Networks über Netzwerk Management Lösungen bis hin zu Intrusion Detection und Intrusion Prevention Systemen.

Enterasys ist einer der Pioniere bei der Entwicklung von Netzwerklösungen und besitzt mehr als 600 Patente. Alle Lösungen sind standardbasiert und haben ein Ziel: Ihre Investitionen in entscheidende Geschäftsvorteile umzusetzen. Die Enterasys Lösungen eignen sich für alle Netzwerke unabhängig von Hersteller und Technologie.

Über 20 Jahre Erfahrung und mehr als 26.000 weltweite Kunden bilden das Fundament für den gemeinsamen Erfolg. Die Philosophie von Enterasys richtet sich nach dem Motto „There is nothing more important than our customer“, in dem unsere Kunden im Mittelpunkt stehen.

Seit dem 01. Oktober 2008 ist Enterasys Teil des Joint Ventures Siemens Enterprise Communications Group unter der Führung von The Gores Group. Das Joint Venture ist ein Anbieter von Hardware, Software und Services für sichere, service-orientierte Netzwerke, die auf der Basis von Standards Open Communications ermöglichen.

Enterasys hat seinen Hauptsitz in Andover, USA, und betreut den globalen Kundenstamm über Niederlassungen in mehr als 30 Ländern. Das Unternehmen beschäftigt weltweit mehr als 700 Mitarbeiter. Weitere Informationen zu Enterasys Secure Networks und den Produkten für Festnetze und drahtlose Netzwerke.

Kommentar zu diesem Artikel abgeben

Hmmm also ich kläre das gerne nochmal aber laut Herstellerwebsite : "the C3 provides up to 48...  lesen
posted am 05.08.2010 um 07:58 von Peter Schmitz

Super Artikel. Aber in Teil 1 zu 802.1X wird in einer Überschrift der C3 von Enterasys für ein...  lesen
posted am 05.08.2010 um 06:18 von Unregistriert

Mitdiskutieren

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2046372)