Sysbus

Die Informationsseite für IT-Spezialisten

Sysbus
Artikel Mobile Computing Security 

Neue Zugangskonzepte für heutige Netze

gg , , , ,

Autor/Redakteur: Burckhardt Emons, Sales-Engineer bei Allied Telesis/gg

B_Emons_GS

Der Bring-your-own-Device-Ansatz bringt für den einzelnen Mitarbeiter eine Menge Vorteile. Im Idealfall kann er ohne Probleme seinen Lieblingsrechner, das bevorzugte Smartphone oder sein Tablet auch für berufliche Zwecke nutzen. Administratoren allerdings sind angesichts der damit verbundenen Herausforderungen verunsichert. “Wer darf rein?” und “Wie verhindere ich, dass Malware ins Netz gerät?” sind die zentralen Fragen, die die neue Gerätefreiheit mit sich bringt. Die Lösung besteht aus einer Triple-AAA Authentifizierung bestehend aus der 802.1x-Authentifzierung, kombiniert mit einer Abfrage der MAC-Adresse und gegebenenfalls einer Web-Authentifizierung. Alle diese drei Maßnahmen können über den gleichen Authentifizierungs-Server ablaufen, auf dem für sämtliche Mitarbeiter Informationen (“Credentials”) wie Benutzername, Passwort und Zugriffsrechte gespeichert werden. Die Informationen zu Geräten, die sowohl via Kabel als auch über das Wireless LAN (WLAN) ins Netz kommen, müssen dadurch nicht dupliziert werden.

Die Authentifizierung funktioniert dabei wie folgt: Der Switchport  schickt die Anfrage des Endgeräts an einen Authentifizierungsserver, zum Beispiel einen RADIUS-Server. Dieser prüft in der eigenen Datenbank, ob das Endgerät eine Berechtigung hat, auf das Netzwerk zuzugreifen und in welchem VLAN es sich bewegen darf. Diese Informationen werden über sichere Protokolle ausgetauscht, ein großer Vorteil gegenüber Access Points, in denen die Passwörter direkt hinterlegt sind. Einige Managed Switches sind darüber hinaus in der Lage den Authenfizierungs-Status über mehrere WLAN-Router hinweg im Netz zu kommunizieren.

Zugleich ist es möglich, sehr granular zu definieren, welche Geräte unter welcher Prämisse einen Netzzugriff erhalten. So lässt sich zum Beispiel abfragen, ob das Gerät mit den entsprechenden Virenschutzmaßnahmen ausgerüstet ist. Bei Bedarf ist es  möglich, das Gerät in Quarantäne zu schicken oder ihm nur einen reinen Gastzugang, etwa in Form eines normalen Internetzugangs, zu geben. In dieser Hinsicht sind Managed Switches wesentlich sicherer als herkömmliche Geräte. Anders als bei diesen können schließlich schon am ersten Zugangspunkt kompromittierte Geräte direkt abgefangen werden.

Das könnte dir auch gefallen

Frage der Woche: Was erwarten Sie vom Jahr 2016? (Teil 6)

gg

Interview mit Thomas Bengs, Head of Security Solutions bei Fujitsu, zum Thema “Zukunft der Authentifizierung”

gg

DRACOON und Teamwire bieten DSGVO-konformen Messenger und Filesharing für höchste Sicherheitsanforderungen

gg