Secure Network Access made easy

Cisco bietet mit der Identity Services Engine eine Lösung, welche es ermöglicht, den Zugriff auf das  Netzwerk zentral zu reglementieren. Dabei können Anforderungen an Clients und daraus resultierende Berechtigungen sowohl für Verbindungen via Wired LAN, Wireless LAN als auch für VPN definiert werden. Zusätzlich erhalten Administratoren durch die ISE detaillierte Informationen, wer sich wann mit welchen Geräten am Netzwerk anmeldet. Seit Kurzem ist die Version 2.1 der Identity Services Engine verfügbar und hier soll ein Überblick der neuen Features gegeben werden.

 

LOOK & FEEL

Die Administration der ISE über die grafische Oberfläche hat sich sehr stark gegenüber 1.x Releases verändert. Anpassbare Widgets erlauben den Administratoren nun die Startseite der ISE nach eigenen Wünschen zu gestalten. Wichtige und interessante Werte wie z. B. die Anzahl der aktiven Clients oder aktuell angemeldete Gäste erlauben einen schnellen Überblick der aktuellen Situation im Netzwerk. Zusätzlich werden die Dashboards nun über HTML5 und nicht mehr wie gewohnt über Flash dargestellt. In den nächsten Versionen werden dann auch die letzten Überreste von Flash aus den Menüs entfernt.

THREAT CENTRIC NAC

Klassische Network Admission (oder auch Access) Control (NAC) beruht darauf, den Sicherheitszustand eines Clients zu überprüfen und je nach Ergebnis den Zugriff auf das Netzwerk zu erlauben oder zu verbieten. Dabei können z.B. installierte Windows Updates, Anti-Malware-Produkte und die eingesetzte Festplatten-Verschlüsselung überprüft werden. Threat Centric NAC bietet die Möglichkeit zusätzlich zu den oben genannten Kriterien auch Informationen zu vorhandenen Schwachstellen und Kompromittierungsversuchen zu sammeln und basierend darauf Zugriff zu gewähren (oder auch nicht -:)). Aktuell können dabei Cisco Advanced Malware Protection, als auch Qualys Guard Scanner genutzt werden. Versucht sich also ein Client mit dem Netzwerk zu verbinden, kann ISE den Qualys-Server darüber informieren.

Dieser startet anschließend einen Schwachstellen-Scan und liefert die Ergebnisse an ISE zurück. Existieren offene ungepatchte Schwachstellen am Client, kann dieser z.B. in ein Remediation-VLAN verschoben werden, um die anfällige Software upzudaten.

Einbindung von 3rd-Party Netzwerkgeräten

IEEE 802.1X ist als Standard für die Netzwerkzugriffskontrolle weit verbreitet und wird von allen namhaften Herstellern von Netzwerkkomponenten unterstützt. Darüber hinaus gibt es jedoch viele Funktionen, die eine Implementierung und den Betrieb von 802.1X komfortabler gestalten bzw. neue Möglichkeiten eröffnen. Verbindet sich z.B. ein Gast mit dem Netzwerk, wird die Authentifizierung via 802.1X fehlschlagen, da dieser keine gültigen Zugangsdaten für das Netzwerk besitzt. Mit Hilfe von ISE kann in diesem Fall ein Web-Redirect ausgelöst werden. Der Gast wird somit auf ein Portal umgeleitet, wo er sich als ein solcher anmelden kann. Anschließend werden ihm eingeschränkte Berechtigungen (z.B. nur Zugriff auf das Internet) zugeteilt.

Da mehrere Hersteller derartige Funktionen anbieten, dies jedoch alle mit Hilfe des RADIUS-Protokolls anders umsetzen, gibt es keinen einheitlichen standardisierten Weg, einen Web-Redirect am Network Access Device (NAD) auszulösen. Mit Hilfe von ISE 2.1 ist es nun möglich, den Hersteller eines NADs anzugeben. ISE ist dann im Stande genau die richtigen RADIUS-Attribute zu senden, damit eine erfolgreiche Umleitung des Clients gewährleistet werden kann. Zu den unterstützten Herstellern zählen Aruba, Brocade, HP, Ruckus und andere. Wird ein Hersteller nicht out-of-the-box unterstützt, kann ein eigenes Profil selbst erstellt werden. Voraussetzung ist natürlich, dass das Gerät die gewünschte Funktion generell unterstützt.

ODBC Identity Source

Die meisten Unternehmen setzen Verzeichnisdienste wie Microsoft Active Directory, OpenLDAP usw. ein, um Benutzer, Gruppen und Computer zu verwalten. ISE kann diese Dienste nutzen, um eine Authentifizierung und Autorisierung durchzuführen. So kann z.B. das Passwort eines Users gegen Active Directory überprüft werden und es können ihm anschließend anhand von Gruppenmitgliedschaften Berechtigungen zugeteilt werden. Doch derartige Verzeichnisdienste sind nicht immer eine Option. Entweder es wird überhaupt kein entsprechender Verzeichnisdienst eingesetzt oder es sind nicht alle Objekte im Verzeichnisdienst zu finden. Werden Clients über eine Software-Verteilung installiert, benötigen diese bereits Zugriff auf das Netzwerk, bevor sie in den Verzeichnisdienst eingebunden werden. Genau hier kann ODBC als Identity Source helfen. Sind die Clients, welche aktuell neu installiert werden, über die Software-Verteilung in einer Datenbank wie MS SQL, Oracle, Postgre SQL oder Sybase abgelegt, kann ISE eine Anfrage an diese Datenbank stellen und so den nötigen Zugriff gewähren. Dies ist nur eine Einsatzmöglichkeit von ODBC als Identity Source, auch Gäste und BYOD-Geräte können via ODBC authentifiziert werden.

Die beschriebenen Punkte stellen nur einen Auszug der Neuerung in ISE 2.1 dar. Gerne beantworten wir Ihre offen gebliebenen Fragen oder beraten Sie, wenn Sie die Möglichkeiten der Netzwerkszugriffskontrolle nutzen möchten.