802.1x Port Security mit IAS-Server und Windows CA

Autor: Kai Willius, MCSEboard.de


Warum eine Port Security im LAN einrichten?

Eine Port Security im LAN verhindert unautorisierten Zugriff auf ein Netzwerk. Das Einrichten einer Port Security erweist sich als sinnvoll, wenn vertrauliche Informationen im Netzwerk ausgetauscht werden und um das LAN vor Angriffen aus dem eigenen Netzwerk zu schützen (Man-In-The-Middle-Angriff).
Mit einer Port Security ist es möglich Netzwerkteilnehmer, die sich nicht authentifizieren können, komplett vom Netzwerk ausschließen oder mittels dynamischer VLAN in ein Gast VLAN zu verweisen. Das Gast VLAN kann dann z.B. den Zugriff auf das Internet und eine Intranetseite zulassen, aber keinerlei Kommunikation mit dem Unternehmensnetz.

Eine Port Security, die unautorisierte Nutzer in ein Gast VLAN verweist, ist vom Konzept sehr gut mit einem Flughafen zu vergleichen. Der Flughafen darf von jeder Person betreten werden. Sobald eine Person allerdings einen gesicherten Bereich betreten will, muss Sie sich ausweisen (z.B. mit einem Ausweis oder auch mit einer Smart Card). Der unautorisierte Besucher kann sich in dem Ihm zugänglichen Gelände frei bewegen. Zwar gibt es auch hier Sicherheitsrichtlinien, doch ist die von ihm ausgehende Gefahr so gering, dass eine aufwendigere Kontrolle nicht nötig ist.

Eine Port Security kann weiter abgesichert werden, indem man z.B. noch eine IPSec -Verschlüsselung des Netzwerkverkehrs implementiert. Das Einrichten einer Port Security geht einher mit hohem finanziellen sowie konzeptionellen Aufwand und letztendlich der Realisierung.

Die Netzwerkhardware, kabelgebunden oder kabellos, muss den 802.1x Standard sowie das RADIUS Protokoll unterstützen. Soll die Authentifizierung über einen RADIUS-Server erfolgen, ist hier auch noch die nötige Hardware sowie die benötigte Software bereitzustellen.
Der RADIUS-Server, welcher die Teilnehmer im Netzwerk authentifiziert, sollte immer redundant ausgelegt werden, da man sonst im ganzen Konzept der Port Security einen „single point of failure“ hat. Das heißt, wenn einer der RADIUS-Server ausfällt, steht das ganze Netzwerk still, da sich die Teilnehmer nicht mehr authentifizieren können. Das würde nicht nur bedeuten, dass ein neuer Client sich nicht mehr am Netzwerk anmelden kann, auch ein bereits autorisierter Teilnehmer muss sich am Netzwerk zu einem festgeschriebenen Zeitpunkt neu authentifizieren (standardmäßig jede Stunde). Zur Erweiterung des Ausfallkonzepts und der Lastverteilung können in großen Netzwerken RADIUS-Proxy-Server zum Einsatz kommen, welche die Authentifizierungsinformationen annehmen und an die zuständigen RADIUS-Server weiterleiten.

Schema einer 802.1x Port Security mit IAS-Server