LAN Zugriffskontrolle

Die Anstrengungen im Bereich der Netzwerksicherheit sind häufig auf Angriffe von aussen fokussiert, d.h. auf den Internet Firewall. Arbeitsplatzsicherheit ist oft auf den Einsatz eines Anti-Virus-Programms beschränkt. Dieser Ansatz geht davon aus, dass Sicherheitsprobleme von aussen kommen und somit der Schutz gegen aussen verstärkt werden muss. Wohingegen für die eigenen, internen Nutzer der Zugriff auf die internen Netzwerkressourcen vereinfacht wird.

Dieser Ansatz ist so nicht mehr gültig in einer mobilen Welt mit Laptops, weitverbreiteten LAN Anschlüssen in ungesicherten Gebieten und einer immer mehr zunehmenden Zahl von Besuchern, externen Vertragspartner und häufigen Reorganisationen usw.

Der Zugriff auf das lokale Netzwerk (LAN) sollte beschränkt werden auf die erlaubten PCs und bekannten Endgeräte.

Nur, wie kann man Endgeräte zulassen oder eben den Zugriff blockieren? Wie kann die Sicherheitsrichtlinie im LAN durchgesetzt werden?

FreeNAC ist die Hilfe dabei:

  • Schränkt den Zugriff auf die Netzwerkressourcen ein
  • Bietet Statusverfolgung an, welche Geräte wann und wo im Netzwerk in Betrieb waren
  • Bietet ein Echtzeit-Inventar der Geräte und ergänzt statische geführte Inventare
  • Erstellt einen Zusammenhang zwischen der Einhaltung der Regeln im Netzwerk, den Nutzern und Geräteinformation.

Wie es funktioniert

Der Switch entdeckt einen neuen PC und erbittet die Authentifikation vom FreeNAC-Server, welcher in seiner Datenbank nachsieht und je nachdem ob die Maschine gefunden wurde, dem Switch mitteilt, auf welchem VLAN die Maschine Zugriff erhält oder ob der Zugriff blockiert wird.

Wie funktioniert die Authentifikation?

  • VMPS-Modus: Netzwerkgeräte werden anhand der MAC-Adresse identifiziert. Benutzer werden nicht authentifiziert in diesem Modus.
  • 802.1x Modus: Geräte können mittels Zertifikate und Benutzer werden durch Windows Domainen-Login authentifiziert.

Die VLAN-Zuweisung basiert auf den MAC-Adressen der Endgeräte. Im VMPS Modus wird mit einem Schritt die Authentifizierung und Zuweisung erledigt. Im 802.1x Modus muss entweder der Nutzer sich mittels Domainen-Login oder das Gerät muss sich mittels Zertifikat korrekt authentisiert haben und nur dann wird die MAC-Adresse für die VLAN-Zuweisung benutzt.

Greift FreeNAC auf Sicherheitsfunktionen der Endgeräte zu bevor es den LAN-Zugriff ermöglicht?

  • Derzeit ist FreeNAC absichtlich so ausgelegt, dass keine „Software Agenten“ auf den Endgeräten benötigt werden. Somit kann eine Sicherheitsüberprüfung auf den Endgeräten nur mittels Durchsuchen oder durch eine serverseitige Sicherheitsabfrage erfolgen.
  • Konkret bedeutet das, dass es momentan nur mit McAfee EPO oder MS-WSUS möglich ist die Sicherheit zu überprüfen bevor die Geräte den Zugriff erlaubt bekommt.

FreeNAC wird häufig auf heterogenen Netzwerken eingesetzt, in welchen nicht nur Windows sondern viele verschiedene Geräte und Systeme verwendet werden. So werden derzeit EPO/WSUS-Informationen verwendet, dem Sicherheitsadministrator sicherheitsrelevante Anzeichen zu zeigen oder Hilfestellung zu gewähren jedoch werden diese Hilfsmittel nicht benutzt, Endgeräte vom Netzwerk auszuschliessen.