Die stetig wachsende Digitalisierung bringt auch ein Wachstum an elektronischen Geräten mit sich, welche an das Firmennetzwerk angeschlossen werden wollen. Von geschäftlichen und privaten Endgeräten wie Mobilephones und Notebooks, bis hin zu einer breiten Auswahl an IoT-Geräten, wie Sensoren und Steuerungselementen.
Hier gilt es nicht nur eine saubere Segmentierung der Netzwerke zu erstellen, sondern auch den Überblick über all diese Geräte nicht zu verlieren. Mit Aruba ClearPass steht uns ein mächtiges und kostengünstiges Werkzeug zur Verfügung, um die Sicherheit jedes Firmennetzwerks massiv zu erhöhen. Nachfolgend werden nur ein paar der wichtigsten Funktionen von ClearPass beschrieben. Für weiterführende Informationen dürfen Sie uns jederzeit kontaktieren.
Grundlagen:
ClearPass bietet rollenbasierte Zugriffskontrolle für Mitarbeiter, Dienstleister und Gäste in kabelgebundenen sowie drahtlos vernetzten Infrastrukturen an. Hierbei vereint ClearPass die Funktionen einer NAC- sowie Radius-Lösung.
NAC steht für Network Access Control. Mit der Hilfe einer NAC-Lösung wird der Zugriff in das interne Netzwerk gesteuert. Jedes Gerät bekommt Zugriff in das für sich vorgesehene Netzwerk. Dies kann ein internes Client- oder IoT-Netzwerk sein, wenn es sich um eine bekannte Entität handelt. Kann aber auch ein Quarantäne- oder Gäste-Netzwerk sein, wenn es sich um unbekannte Entitäten handelt.
Radius steht für Remote Authentication Dial-In User Service und ist ein Protokoll, welches zur Authentifizierung, Autorisierung und Accounting von Benutzern dient. Oft wird hier auch von Triple-A gesprochen und beschreibt folgende drei Funktonen:
Authentifizierung:
Ist der Nachweis einer behaupteten Eigenschaft einer Entität, wie zum Beispiel Benutzername, Hersteller oder Zertifizierung.
Autorisierung:
Ist die Einräumung von Rechten für bestimmte Ressourcen.
Accounting:
Ist die Aufzeichnung der Nutzung einer spezifischen Entität.
Szenario:
NAC:
Das skizierte Szenario zeigt den Authentisierungsprozess diverser Entitäten auf. Notebooks, Drucker und Mobilephones verbinden sich über ein Netzwerkkabel oder SSID mit der Netzwerkinfrastruktur. Jede verbundene Entität wird in regelmässigen Abständen am ClearPass Server authentisiert. Hierbei prüft ClearPass, ob das Endgerät definierte Attribute besitzt, um autorisiert zu werden auf ein internes Netzwerk zugreifen zu dürfen. Falls nicht, wird es in ein Quarantäne- oder Gäste-Netzwerk umgeleitet. Die Attribute können gegenüber der internen Datenbank (Endpoint Repository) oder dem Active Directory verifiziert werden. Jedes verbundene Gerät ist im Endpoint Repository hinterlegt und kann dort verwaltet werden. In den meisten Infrastrukturen werden aber Benutzer und Endgeräte bereits in einem Asset-Management oder dem Active Direcotry gepflegt. Dies ermöglicht es ClearPass Attribute gegenüber solchen Systemen zu verifizieren. Durch die Aufzeichnung jedes Zugriffs wird auch das Accounting betrieben und protokolliert.
Radius:
ClearPass kann auch als Radius Server verwendet werden. In einem solchen Szenario wird die Anmeldung auf Switches oder anderen Systemen gesteuert. Hierbei wird jede Anmeldung, zum Beispiel an der Switch CLI, an den ClearPass Server gesendet. Dieser wiederum fragt beim Active Directory die Benutzerinformationen ab und gewährt den Zugriff, sofern sich der Benutzer in einer definierten Gruppe befindet.
Rollen- und Enforcement-Konzept:
Auf dem ClearPass Server lassen sich umfangreiche Regeln bauen, mit welchen der Zugriff analog der beschriebenen Szenarien steuern lässt. Dieses sogenannte Rollen- und Enforcement-Konzept wird in der nachfolgenden Grafik schematisch aufgezeigt und nachfolgend beschrieben.
Jedes Endgerät, welches sich mit dem Netzwerk verbindet, übermittelt Attribute bezüglich Ihrer Entität. Das sind unter anderem Geräte- und Benutzer-Informationen oder Authentisierungsmethode. Im Role-Mapping werden diese Attribute verwendet, um der Entität eine Rolle zuzuweisen. Im Enforcement wird nun anhand der Rolle einer Entität eine VLAN ID zugewiesen und in das entsprechende Netzwerk geleitet.
Die zwei Geräte aus der Grafik zeigen diesen Prozess sehr gut auf. Das Notebook besitzt diverse Geräte-Informationen und versucht sich mit Hilfe eines Zertifikates (EAP-TLS) mit dem Netzwerk zu verbinden. Das ClearPass Role-Mapping prüft nun die Entität und ihre Attribute. Ist die Authentisierungsmethode EAP-TLS und wurde das entsprechende Zertifikat von der internen Zertifizierungsstelle ausgestellt, wird der Entität die Rolle Domain-Device zugewiesen. Mit dieser Rolle gelangt das Notebook über das Enforcement ins VLAN 600 und somit auch in ein internes Netzwerk.
Das zweite Gerät ist ein privates Mobilephone. Auf diesem Gerät verbindet sich ein Mitarbeiter mit dem Netzwerk und meldet sich mit seinem Firmen-Benutzernamen und Passwort an. Im Role-Mapping wird gegenüber dem Active Directory geprüft, ob sich der Benutzer in einer entsprechenden WLAN-Gruppe befindet. Ist dies der Fall, wird der Entität die Rolle Company-Employee zugewiesen. Mit dieser Rolle wird nun im Enforcement das VLAN 610 verteilt, welches in diesem Beispiel ein Gäste-Netzwerk ist.
Dies sind nur zwei Beispiele, um das Konzept aufzuzeigen. Das entsprechende Regelwerk lässt sich um viele weitere Attribute, Abfragen und Zuweisungen erweitern. Falls dieser Artikel Ihr Interesse geweckt hat, zögern Sie nicht uns zu kontaktieren. Gerne können wir in einem unverbindlichen Gespräch Ihre Anforderungen analysieren und einen Lösungsansatz skizzieren.
- neobix Team
- Security-Services
- Cybersecurity, Netzwerk