Basic HTML-Version
Sicherheit der
internen Datennetze
standardisieren
Netzwerksicherheit mit dem
Protokoll IEEE 802.1x
Michael Simon, Siemens
Enterprise Communications,
Essen
Günter Türkcü, Siemens
Enterprise Communications,
Essen
von Michael
Simon
und Günter
Türkcü,
Essen
Di e K o mm u n i k a t i o n s i n f r a s t r u k t u r
eines Un t e r nehmens gehör t heut e zu
den wi ch t i gs t en Techno l og i en im Ta-
gesgeschaf t . Die App l i ka t i onen für die
Übe r t r agung von Sprache und Da t en
t ragen wesent l i ch z um Un t e r nehmen –
ser folg be i , wä h r e n d g l e i chze i t i g d i e
A b h ä n g i g k e i t v o n d i e s e n A n w e n –
dungen z un i mmt . Nicht von ungefähr
steht desha l b die Au f gabe , die Unter –
n e hme n s n e t z e s t e t s f u n k t i o n s f ä h i g
u n d v e r f ügba r zu ha l t en , ganz oben
au f der P r i o r i t ä t en l i s t e der I T - Ab t e i –
l ungen . Al lerdings l iegt bisher der Fo–
kus häuf ig nur auf den Angr i f f en , die
von außen auf die internen Ne t zwe r ke
v o r g e n omme n we r den . Dagegen wer –
den die i n t e r nen Zugänge z u m LAN
(Local Ar ea Ne two r k ) als po t enz i e l l e
S i che rhe i t s l ücken häuf i g noch unt er –
schä t z t . Die Berücks i cht i gung des i n –
t e r n a t i o n a l a n e r k a n n t e n S t a nd a r d s
IEEE 802.1X kann diese Gefahr e r heb –
l ich ver r i ngern .
Problemaufriss
Die Arbe i t swe l t hat sich erhebl i ch ge–
wa nd e l t . Früher saß ein Anges t e l l t er
z ume i s t den g a n z e n Tag a n s e i nem
pe r sön l i chen Sch r e i b t i sch mi t e i ne r
Anb i ndung an die un t e r nehmenswe i t e
K o mm u n i k a t i o n s i n f r a s t r u k t u r . I n
e i nem Büro, das er viel leicht noch mi t
e i nem we i t e r en Kol legen tei l te. Heute
d a g e g e n s i nd in d e n U n t e r n e hm e n
G r oß r a umbü r o s , Büroze i l en ode r Be –
sprechungszonen übl i ch, in denen i m –
mer wi ede r unterschi edl i che Personen
a rbe i t en , die sich häuf ig nicht e i nma l
al le persönl ich kennen . Und we i l auch
dor t ein Compu t e r genu t z t w i r d , gibt
es in diesen Ör t l i chke i ten natür l i ch Zu –
gänge z u m f i rmene i genen Ne t zwe r k .
Wer sie nu t zen wi l l , so die gängige Auf–
fassung, muss sich zuvor im LAN a n –
me l den . Klappt dies nicht , so erhäl t e i –
ne unbe r ech t i g t e Person auch keinen
Zugr i f f auf das d i g i t a l e Ne r vensys t em
des Un t e r nehmens .
Di ese l a nd l ä u f i g e M e i n u n g ist a l l e r –
dings nicht ganz r icht ig, denn die „An –
me l dung an ein Ne t zwe r k" beze i chne t
eigent l ich die Anme l dung an eine Do –
mä n e n s t r u k t u r , n i cht a n das D a t e n –
ne t z als solches. Konkret bedeu t e t das:
Auch ohne eine gelungene Anme l dung
(an die Domänens t r uk t u r ) sind w i c h –
t ige Systeme im Da t enne t z berei ts er–
r e i chba r , soba l d e i ne phy s i k a l i s che
Ve r b i ndung z u mLAN v o r h a nd e n ist .
Dabe i hande l t es sich be i spi e l swe i se
um das I nt rane t , Domänen-Cont ro l l er ,
Vo i c e - Ga t ewa y s ode r D a t e n b a n k e n ,
d i e d a n n i m s c h l i mms t e n Fal l une r –
l aubt abgehör t , kopier t oder ve r ände r t
we rden können . Let z t l i ch ist es sogar
mög l i ch , solche Services auf diese We i –
se e i nzuschr änken oder unmög l i ch zu
machen (Denial of Service) .
Di ese Lücken we r d e n n i ch t nu r v on
p r o f ess i one l l en Ang r e i f e r n g e n u t z t .
Auch unach t same Mi t arbe i t er , die ihr
No t ebook sowoh l be r u f l i ch als auch
p r i v a t nut zen, u n d Gä s t e , d i e g e r n
„ma l eben ihre E-Mai ls checken" oder
e i ne P r ä s e n t a t i o n z e i gen mö c h t e n ,
stel len hier eine potenz i e l l e Gefahr dar.
Denn d i e He r kun f t undder Zus t and
der da f ü r v e r we nd e t e n Gerä t e sowi e
d e r e n N u t z u n g d u r c h u n t e r s c h i e d –
l iche Anwende r kann sei tens des LAN -
Admi n i s t r a t o r s nicht kont rol l i er t wer –
den .
Benötigte Software-Komponenten
Um d i e s e s G e f ä h r d u n g s p o t e n z i a l
deut l i ch zu ver r i ngern , ist der i n t e rna –
t i o n a l a n e r k a n n t e S t a n d a r d IEEE
802 . 1X e i ne s i nnvo l l e Hi l f e . De nn er
s t e l l t m i t se i nen Mö g l i c h k e i t e n u m –
fangre i che We r kzeuge zur Ve r f ügung ,
um den Schutz an diesen Stel len deut –
l ich zu erhöhen . Dabe i hande l t es sich
um ein geno rmt es Au t hen t i f i z i e r ungs -
v e r f a h r e n , das den Zugang z u m Da –
t enne t z genau regl ement i er t .
D a z u ist z un ä c h s t e i n so g e n a nn t e r
„Supp l i c an t " nö t i g , e i n ( in M i c r oso f t
Wi ndows XP berei ts entha l tenes) Soft–
wa r e e l eme n t im Be t r i ebssys t em des
Endgeräts. H i n z u k ommt der „Au t hen -
t i cator" als die Komponen t e , die den
Zugang zur I n f r as t r uk t u r kont ro l l i er t
u n d na ch d e m Er gebn i s der A nm e l –
dung Zugr i f f g ewä h r t oder un t e r b i n –
det . Er muss in die Swi tche imp l emen –
t i er t se in, a n die die Endgerä t e ange –
bunden sind. Der dr i t t e Bestandtei l ist
sch l i eß l i ch mi t d em „Au t hen t i ca t i on
Server" die I ns t anz im Ne t zwe r k , die
374
ONTROILER