Open Source im professionellen Einsatz
Linux-Magazin 09/2009
© Gordon Bussiek, Fotolia.com

© Gordon Bussiek, Fotolia.com

Mit IEEE 802.1X und Zertifikaten Network Access Control implementieren

Hartes Türregime

,

Öffentlich zugängliche Netzwerkdosen eröffnen trotz Firewall & Co. Angriffsvektoren. IEEE 802.1X bietet auch im kabelgebundenen Netz eine Lösung und macht aufwändiges Umpatchen überflüssig. Free Radius und Supplikant-Clients sichern mittels EAP-TLS und Benutzerzertifikaten den Zugang zum Switch.

747

Es ist ein Kreuz mit den Ethernet-Ports: Hängt an dem Kabel aus der Bürodecke nun das Produktivnetz oder das Test-Segment? Der Kollege vom anderen Ressort will am Notebook eine Anwendung vorführen, braucht aber Zugriff auf das Netz seiner Abteilung. Bisher blieb geplagten Anwendern dann nur ein Anruf im Serverraum mit der Bitte, doch schnell den einen oder anderen Switchport in ein neues Netz umzupatchen.

Sicherheitsbeauftragte und Admins haben zusätzliche Sorgen: Wer kann schon ausschließen, dass in einem Büro mit regem Besuchsverkehr ein Gast sich nicht - sei es unabsichtlich oder mit Vorsatz - in das Allerheiligste des Firmennetzes einklinkt? MAC-based Port Authentication ist da ein wenig wirksamer Schutz - zu einfach sind MAC-Adressen abgehört und gefälscht, vom Alptraum der Verwaltung durch den Admin mal ganz abgesehen.

So überrascht es, dass die Client-Authentifizierung nach IEEE 802.1X nach wie vor ein Schattendasein fristet [1]. Viele schreiben den Standard der Wireless-Welt zu und wissen gar nicht, dass sich damit schon seit einiger Zeit eine einfache Form von Network Access Control (NAC) bewerkstelligen lässt: Zugangskontrolle für Geräte am Netzwerk - noch lange bevor Login-Bildschirm oder Webbrowser gestartet sind [2].

Port freischalten

Dabei spielt ein IEEE 802.1X-fähiger Switch eine wichtige Rolle. Er ist der Network Access Server (NAS). Bevor er überhaupt irgendwelchen Datenverkehr über einen seiner Ports - der Standard nennt sie Port Access Entity (PAE) - zulässt, muss das anfragende Gerät - also in der Regel ein Desktop oder Notebook - seine Berechtigung nachweisen. Das passiert über das Extensible Authentication Protocol (EAP) auf dem Verbindungslayer. Das anschlusssuchende Gerät betreibt dazu einen kleinen Client, den Supplikanten, der einen Ausweis in Form eines speziellen Ethernet-Frame vorlegt, das sich EAPoL nennt.

EAP erlaubt eine Vielzahl an Berechtigungsnachweisen, als praktisch haben sich in diesem Umfeld X.509v3-Client-Zertifikate erwiesen: Sie haben einen hohen kryptographischen Standard, vermeiden zu einfache Passwörter und lassen sich sowohl einzeln als auch in größerer Zahl bei Bedarf in einer PKI verwalten. Dazu kommt noch, dass sie sich mit einem Token gut schützen lassen und auch anderen Anwendungen noch von Nutzen sind, etwa einem VPN.

Die Proktokollerweiterung dazu heißt EAP-TLS [3]. Neben der Authentisierungsmethode, die wie bei einem SSL-Webserver funktioniert, gibt es theoretisch eine Reihe weitere, etwa One Time Password (OTP), Protected EAP (PEAP) oder getunneltes TLS (TTLS).

Abbildung 1: Die Zugangsberechtigung bei IEEE 802.1X erhält ein beantragender Client (Supplikant), indem er über Bande spielt: Er sendet per EAP-TLS einen Antrag an den Switch, der legt ihn per Radius-Anfrage einem RAS-Server vor. Nickt der die Anfrage ab, schaltet der Switch die zugehörige Port Access Entity (PAE) frei.

Kommt eine EAP-Anfrage vom Typ »EAP-Response/Identity« beim Switch an, leitet dieser sie zu einem Remote-Access-Server (RAS) weiter. Der kennt alle Berechtigten und teilt dem Switch das Ergebnis der Prüfung mit. War sie erfolgreich, öffnet der Switch die PAE und der Client holt sich beispielsweise eine IP-Adresse per DHCP oder konfiguriert sein Interface statisch (siehe Abbildung 1). Das Tandem aus Switch und RAS-Server kann aber noch mehr: Beherrscht der erste IEEE 802.1q, darf der andere zum Beispiel ein VLAN mitteilen, in das der Switch den Antragsteller steckt.

Authentifizierung an Bord

Ein Großteil der administrierbaren Switches ab einer bestimmten Größe kennt IEEE 802.1X, darunter etwa der Netgear FSM726 Managed Switch für 200 Euro mit zwei Gigabit-Ports [4], der 3Com 2924-SFP Plus für 270 Euro [5] oder der Level One GSW-2494 für rund 340 Euro [6]. Alle Geräte haben 24 Ports und unterscheiden sich in einzelnen Ausstattungsmerkmalen, etwa einer stackbaren Backplane.

Abbildung 2: Viele Switches bringen ein Webfrontend zum Konfigurieren mit. Der Netgear FSM726 Managed Switch hat 24 Ports, die sich einzeln für den IEEE-802.1X-Betrieb »Auto« konfigurieren lassen.

Fast alle kommen mit einem Webinterface (Abbildung 2), einige lassen sich über ein Command Line Interface wie Ciscos IOS konfigurieren. Artikel 5.1 des 802.1X-Standards legt fest, welchen Anforderungen die Switches genügen müssen. Einige, wie die IOS-basierten, stellen zusätzliche Features zur Verfügung, etwa ein Gast-VLAN, in das der NAS den Supplikanten steckt, wenn er sich nicht ausweisen konnte - praktisch für Besucher oder in Konferenzräumen.

Um Network Access Control zu aktivieren, verbindet sich der Systemverwalter mit dem Switch. Er stellt die betroffenen PAEs von »Authorized« auf den Modus »Auto« und teilt dem Netzgerät das Passwort und die IP-Adresse für den Remote-Access-Server mit. Den schließt er optimalerweise in einem separaten VLAN mit getrenntem Admin-Subnetz an. Um ein Henne-Ei-Problem zu vermeiden, stellt er den zugehörigen Port auf »Authorized«.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Schutz in der Tiefe

    Das Radius-Protokoll dient meist dazu, Benutzer an Dial-in-Systemen zu authentifizieren. In Kombination mit 802.1X schützt Radius aber auch lokale Netze: Anwender und deren Rechner müssen sich erst in tiefen Protokollschichten authentifizieren, bevor der Switch ihren Port freigibt.

  • In eigener Sache: Artikel-Bundle "Netzwerk total" für echte Profis

    Effiziente Netzwerke betreiben ist die Domäne von Linux schlechthin - da macht ihm kein anderes System etwas vor. Offen und pragmatisch, effizient und anpassbar sind seine Tools und Protokolle. Dieser Schwerpunkt widmet sich dem Klassiker und nimmt Neues und Nützliches unter die Lupe.

  • Schutzwall

    Ein internes Netz ohne virenverseuchte oder einbruchsgefährdete Rechner ist die Idealvorstellung der Network Access Control (NAC). Um das zu erreichen, macht sie für die abgeschottete Produktivumgebung einen Zugangstest obligatorisch. Praktisch durchgesetzt hat sich die Idee jedoch noch nicht.

  • In eigener Sache: Großes Security-Bundle bietet 12 Mal Sicherheit

    Das große Security-Bundle mit 52 Seiten enthält die 12 interessantesten, nützlichsten und unterhaltsamsten Artikel über Open-Source-Security aus 14 Monaten Linux-Magazin.

  • Kostenloses Lesefutter aus dem Linux-Magazin 09/2009 "Netzwerk Total"

    Mit Erscheinen von Linux-Magazin 08/2010 sind die Artikel der Linux-Magazin-Ausgabe 09/2009 "Netzwerk total: Neue Sicherheits-, Performance- und HA-Tools für den Admin" in den frei zugänglichen Bereich von Linux-Magazin Online gerückt.

comments powered by Disqus

Ausgabe 09/2017

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.