Für die Mai-Ausgabe hat sich IT-Administrator den Schwerpunkt 'Messaging & Collaboration' auf die Fahnen geschrieben. Lesen Sie darin, wie Sie die Open ... (mehr)

Strenge Regeln für das Netz

Der Zugang zu den Netzwerken ermöglicht unter Umständen den Zugriff auf zahlreiche vertrauliche Daten und Systeme. Aus diesem Grund ist es notwendig, den Zugang zum Netzwerk zu reglementieren. Fremdgeräte im Netz stellen eine Gefahrenquelle zur Einschleppung von Schadsoftware dar. Aus diesem Grund müssen Sie Fremdgeräten den Zugang zum Netzwerk verwehren.

 

 Eine Kontrolle aller Netzwerkzugänge erhöht die Sicherheit und Stabilität des IT-Verbundes. Hierfür wurde auf Basis des IEEE 802.1x Standards eine Network Access Control (NAC) entwickelt. Die NAC-Funktionen ermöglichen die Authentifizierung und Autorisierung der Nutzer und der Geräte in den Netzwerken. Die Authentifizierungsmethode ist dabei nicht festgelegt, da 802.1x lediglich das Nachrichtenformat, nicht aber den Nachrichten-Typ definiert. 802.1x dient somit als Kapsel-Protokoll für Authentifizierungs- und Autorisierungsinformationen. Die benutzten Authentifizierungsmethoden sind als Extensible Authentication Protocol-(EAP-)Typen definiert, wodurch eine flexible und erweiterbare Authentifizierungsinfrastruktur gegeben ist. Bei Anschluss unbekannter Geräte wird der entsprechende Netzwerk-Port einer Untrusted Zone zugeordnet. Über die Untrusted Zone sind in der Regel nur folgende Dienste erreichbar:

 - DHCP, DNS

 - Captive Portals zur Authentisierung von Gästen

 

 Weitergehende Kommunikationsdienste lassen sich erst nach einer erfolgreichen Authentisierung erreichen. Der Status der Endgerätezertifikate muss jedoch vollständig ermittelbar sein. Dies setzt ein Ressourcen(-Identitäts)-Management voraus, das jederzeit den aktuellen Status einer Ressource einschließlich der aktuellen Verantwortlichkeiten zuverlässig widerspiegelt.

Automatische Zertifikatsversorgung

Mit Hilfe von digitalen Zertifikaten lässt sich die Authentizität und die Integrität von Endgeräten im Zusammenspiel mit NAC prüfen. Aus diesem Grund sollten die eingesetzten VoIP/UC-Endgeräte die erforderlichen Zertifikatsmechanismen unterstützen. Das Zertifikats-Lifecycle-Management sorgt dabei für eine konsistente Erhebung und Pflege aller hierzu notwendigen Daten und stellt Mechanismen zur Benachrichtigung und Eskalation bei nahendem Zertifikatsablauf zur Verfügung. Das Simple Certificate Enrollment Protocol (SCEP) unterstützt die gesicherte Herausgabe von Zertifikaten an Netzwerk-Komponenten. SCEP übernimmt dabei die Einschreibung und den Widerruf von Zertifikaten, die Anfrage nach Zertifikaten ebenso wie die Anfrage nach Widerrufslisten.

Bild 2: Die Frage, wieviel in VoIP-Sicherheit investiert werden soll, steht in Abhängigkeit zu den möglichen Kosten eines Angriffs (Quelle: Mathias Hein)

SCEP wurde ursprünglich für Zertifikatsanfragen an Zertifizierungsstellen (CAs) definiert. Bei diesem Verfahren sendet der Client einen HTTP-Request an die Zertifizierungsstelle und fragt diese nach ihrem Zertifikat sowie nach dem Zertifikat der Registrierungsstelle, falls verfügbar. Dieses Zertifikat wird für die gesamte darauffolgende Kommunikation mit der CA verwendet. Die SCEP-Nachricht wird signiert und in einer PKCS#7-Nachricht unter Einbeziehung des Zertifikats verpackt. Um ein manuelles Bestätigen zu ermöglichen, kann die Beantwortung durch die CA verschoben werden. Jede SCEP-Anfrage wird durch einen Übertragungs-Identifier gekennzeichnet, der vom Client erzeugt wird und die Anfrage eindeutig kennzeichnet. Der Zugriff auf die Zertifikate und Sperrlisten erfolgt über die Query-Message von SCEP.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019