Security Group Tagging
Innere Sicherheit
Ob ein Benutzer Zugriff auf das Netzwerk und seine Ressourcen erhält, entscheidet sich heute ausschließlich an der Peripherie. Eine neue Technik ermöglicht jedem Switch im Netzwerk, zu prüfen, ob er ein Datenpaket weiterleiten darf. Dazu legt der Administrator Sicherheitsgruppen anhand rollenbasierter Richtlinien fest.Angreifer haben es nach wie vor viel zu leicht, unberechtigt auf Netwerkressourcen zuzugreifen. Denn die Sicherheitsvorkehrungen der Unternehmen konzentrieren sich meist auf die Peripherie. So liegt derzeit die gesamte Zugangskontrolle fast ausschließlich auf dem ersten Netzwerkgerät. Überwindet ein Angreifer diese Hürde, kann er jedes angeschlossene Gerät erreichen und gegebenenfalls angreifen, da die Switches Datenpakete ohne weitere Sicherheitskontrollen durch das Netzwerk leiten.
Das klassische Zugangskontrollkonzept ist zudem nicht besonders flexibel, da es nur auf IP-Adressen und Ports basiert, die je nach Zugangsmethode wie LAN, WAN, Remote Access, WLAN oder UMTS pro Benutzer unterschiedlich sind. Zudem geht bei einer größeren Anzahl von Benutzern schnell der Überblick verloren und sich einschleichende Fehler beeinträchtigen die Gesamt-sicherheit.
Ein Netzwerk sollte nicht nur an der Grenze, sondern auch im Inneren geschützt sein. Viele Studien belegen, dass für Unternehmensnetze eine große Gefahr von mangelnder Kontrolle der Zugriffsrechte der Mitarbeiter ausgeht. Vor allem in großen Unternehmen erzeugen die Maßnahmen zur Authentifizierung einen erheblichen Aufwand und werden daher nur bei Domain-Anmeldung, WLAN oder Fernzugriff wirklich umgesetzt. Im gesamten Netzwerk müssten IT-Administratoren die Zugriffsrechte über sehr viele verschiedene Access-Listen verwalten, was aufwändig und sehr fehleranfällig ist.
Bei dem neuen Ansatz der Trustsec-Architektur kontrolliert jeder Trustsec-fähige Switch oder Router innerhalb des Netzwerks, ob er das entsprechende Datenpaket weiterleiten darf. Dies funktioniert über flexible Authentifizierungsmethoden inklusive IEEE 802.1X, Web-Authentifizierung (Webauth) und MAC Authentication Bypass sowie mittels Autorisierung auf Basis von Sicherheitsgruppen. Zudem unterstützt der Ansatz durch IEEE 802.1X-2010 die Authentifizierung mehrerer Geräte auf einem einzigen Switch-Port. Zur Datenverschlüsselung kommt Macsec IEEE 802.1ae zum Einsatz. Diese Maßnahmen erschweren eine unberechtigte Nutzung von Ressourcen deutlich.
Hinzu kommt eine detaillierte identitätsbasierte Zugangskontrolle, die mit den bisherigen Lösungen noch nicht möglich ist. Dadurch hängen die Benutzungsrechte nicht nur von der Person, sondern auch von seinem aktuellen Aufenthaltsort, der Uhrzeit, dem verwendeten Gerät und der Zugangsart ab. Zum Beispiel darf ein Außendienstmitarbeiter von unterwegs per Tablet-PC über das öffentliche Internet nur die Basisdaten der Kunden einsehen, aber nicht ändern. Auf dem Desktop-PC im Büro dagegen kann er den neuesten Auftrag eingeben und umfangreiche Auswertungen durchführen.
Kontext als Schlüssel
Mittels Trustsec wird der Benutzer beim Zugang zum Netzwerk anhand seiner Berechtigungsnachweise identifiziert. Parallel werden Ort, Uhrzeit, verwendetes Gerät und Zugangsart automatisch ermittelt. In Abhängigkeit von diesen Informationen erhält jedes Datenpaket am ersten Switch ein festgelegtes Security Group Tag (SGT). Dieses wird in ein 16-Bit-Feld des Ethernet Headers geschrieben, das sich zwischen dem "Length Field" und den anderen CMD-Optionen befindet. Die so gekennzeichneten Ethernet-Frames bleiben damit standardkonform, weshalb Trustsec problemlos in beliebigen Switching-Umgebungen zum Einsatz kommen kann. Mit den verfügbaren 16 Bits sind 65.535 verschiedene Tags möglich, die zur Sicherheitsprüfung des Datenpakets im Inneren des Netzwerks dienen. Das gesamte Netzwerk kann nun zu jeder Zeit den Kontext des Datenpakets für eine belastbare Sicherheitsentscheidung heranziehen.
Welches SGT jeweils zuzuweisen ist, legt der IT-Administrator gemäß den Sicherheits- und Zugangsregeln mithilfe der Management-Software fest. So kann bei Zugriff innerhalb des Unternehmens ein Manager der mittleren Ebene zum Beispiel das SGT20 erhalten, ein Mitarbeiter der Personalabteilung SGT30 und ein IT-Administrator SGT40. Jeder Trustsec-fähige Switch im Netzwerk kann jetzt diese Markierung kontrollieren und mit der Sicherheitsrichtlinie abgleichen. Je nach Sicherheitsrichtlinie können sich die zugewiesenen SGTs für die jeweiligen Personen beim Zugriff von außen, nach Dienstschluss oder mit einem Tablet-PC ändern.
Die Netzwerkressourcen teilt der Administrator ebenfalls in verschiedene Security Groups. So erhalten zum Beispiel Datenbank-Server für den Vertrieb das SGT400, Server für die Personalverwaltung das SGT500 und für Finanzen das SGT600. Welche Nutzer-SGTs nun auf welche Ressourcen-SGTs zugreifen können, legen die Administratoren ebenfalls einmalig in der SGT-Matrix fest. So erhalten zum Beispiel Manager mit SGT20 Zugang zu Vertriebs- (SGT400) und Finanzdaten (SGT600). Personaler (SGT30) dürfen Personal- (SGT500) und Finanzdaten (SGT600) nutzen, IT-Administratoren (SGT40) alle Ressourcen (SGT400, 500 und 600), wie in Bild 2 dargestellt.
Detaillierte Einteilungen
Da das SGT deutlich mehr Informationen umfasst als das klassische Kontrollkonzept, lässt sich damit auch der Zugriff gemäß weiterer Parameter regeln. So erhält zum Beispiel ein Mitarbeiter der Personalabteilung, der sich im Home Office befindet, das SGT35. Damit kann er zwar auf seine E?Mails zugreifen, aber nicht mehr auf die Personaldaten. Der Außendienstmitarbeiter im Internet-Café mit SGT28 darf nur auf allgemeine Daten im Unternehmensnetz zugreifen, während der IT-Administrator auch im Zug per WLAN und VPN-Tunnel sämtliche Rechte behält.
Diese Gruppierungen erleichtern die Verwaltung deutlich, und entsprechend weniger Fehler treten auf. So reicht es oft, einem neuen Mitarbeiter gemäß seiner Position die entsprechende Sicherheitsgruppe zuzuweisen. Dann erhält er automatisch die korrekten Berechtigungen, und die Zugriffsrechte sind nicht mehr manuell für die einzelnen Ressourcen einzugeben. Diese granularen Security-Richtlinien werden dann im Netz verteilt und angewendet.
Besonders praktisch ist dieser Ansatz für die Einrichtung von Gastzugängen. Bislang waren dazu die Zugriffe auf die Switch-Ports einzeln manuell festzulegen. Nun funktioniert dies über die Zuweisung eines SGT mit wenigen Klicks.
Die Einteilung in Security Groups lässt sich um weitere Sicherheitsmaßnahmen ergänzen. Dazu dient die Security Group-based Access Control List (SGACL). Sie legt übergeordnete Kontrollmaßnahmen fest, zum Beispiel die ausschließliche Verwendung von Verschlüsselungen oder des HTTPS-Protokolls in bestimmten Bereichen. Damit bietet es flexible, skalierbare Richtlinien, die unabhängig von der Netzwerktopologie sind.
Jeder einzelne Trustsec-fähige Switch oder Router im Netzwerk überprüft sowohl die SGT-Matrix als auch die SGACL. Entspricht die Anfrage nicht den Richtlinien zur Nutzung der Ressource, wird der Zugriff abgelehnt. Damit erhöht sich die innere Sicherheit des Netzes deutlich.
Trustsec bietet mit den SGTs in jedem Ethernet-Frame nicht nur die Möglichkeit, alle Netzwerkgeräte am Entscheidungsprozess zur Durchsetzung der Sicherheitsrichtlinien zu beteiligen: Zudem steigt die Skalierbarkeit, da der erste Switch am Netzwerk-Edge nur noch die Eingangskontrolle übernimmt. Die Überprüfung der Nutzungsrechte übernehmen dann die Switches im gesamten Netzwerk.
Lesen Sie mehr zum Thema
