Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

Netzwerkzugriffsschutz 145
Hinweis Hosts, die NAP nicht nutzen können, erhalten in der Standardeinstellung eingeschränkten
Zugriff. Falls zum Beispiel IPsec-Erzwingung eingesetzt wird, können solche Hosts keine Verbindung zu
irgendwelchen geschützten Hosts im Netzwerk herstellen, weil diese anderen Systeme Verkehr vom fremden
Host ignorieren. Falls DHCP-Erzwingung eingesetzt wird, empfängt der Client IP-Adresskonfigurationsdaten
und -Routen, die den Zugriff einschränken.
Direkt von der Quelle: 802.1x- und IPsec-Erzwingung
im Netzwerkzugriffsschutz
NAP umfasst mehrere Methoden, um Netzwerkrichtlinien auf lokalen und Remotecomputern
zu erzwingen. Für eine lokale Erzwingung in großen Unternehmensnetzwerken
eignen sich zwei Methoden: 802.1x und IPsec. Denken Sie nicht, dass sich diese beiden
Methoden gegenseitig ausschließen, sie ergänzen sich vielmehr. Werden sie kombiniert,
bilden sie zwei leistungsfähige Abwehrlinien für die gestaffelte Verteidigung in Ihrem
Netzwerk.
802.1x ist ein Standard für die physische Netzwerkauthentifizierung, der ursprünglich vor
allem für den Schutz von Drahtlosnetzwerken eingesetzt wurde. Inzwischen unterstützen
aber auch die meisten modernen Kabelnetzwerk-Switches für den Unternehmenseinsatz
diese Technologie, sodass gesteuert werden kann, wer und was den Hardwareports zugeordnet
wird. NAP ermöglicht auch Integration mit allen standardkompatiblen 802.1x-
Switches, um Systeme abhängig von ihrer Systemintegrität bestimmten VLANs zuzuordnen.
Zum Beispiel können Sie NAP so konfigurieren, dass alle inkompatiblen Computer
in ein Wartungs-VLAN gelegt werden, das nur Zugriff auf Updateserver bietet. So können
diese Hosts keinen Verkehr in das übrige Netzwerk senden. Indem NAP den offenen
802.1x-Standard nutzt, bietet es eine leistungsfähige Schicht-2-Konnektivitätskontrolle
auf Basis der Systemintegrität.
802.1x bietet zwar wertvolle Sicherheitsvorteile für Unternehmen, allein kann es aber
nicht immer umfassenden Schutz für das gesamte Unternehmen gewährleisten. 802.1x-
Schutz ist nämlich nur an dem Port wirksam, an den ein Gerät angeschlossen ist. Sobald
die Verbindung einmal erfolgreich hergestellt wurde, erlegt 802.1x den Verkehrsroutingfähigkeiten
des Clients keine weiteren Einschränkungen auf. Falls daher ein inkompatibler
Computer eine Verbindung an irgendeiner Stelle im Netzwerk herstellen kann, wo
802.1x nicht bereitgestellt wurde (zum Beispiel ein Netzwerkdruckeranschluss, der von
der 802.1x-Erzwingung ausgenommen ist, oder eine Zweigstelle ohne 802.1x-kompatible
Hardware), erhält dieser Computer vollständige Konnektivität zum Rest des Unternehmens.
Anders ausgedrückt: 802.1x bietet Schutz auf Portebene, nicht auf Hostebene.
IPsec ist ein anderer offener Standard, für den NAP Integrationsmöglichkeiten bietet.
IPsec kann 802.1x ergänzen oder eigenständig bereitgestellt werden. IPsec-Schutz arbeitet
auf Hostebene. Er schützt Systeme im Netzwerk unabhängig davon, ob ein inkompatibles
System direkt an einen bestimmten Port angeschlossen wird. Für die IPsec-Erzwingung
muss eine unternehmensweite IPsec-Richtlinie auf allen Systemen bereitgestellt
werden (normalerweise geschieht dies über Gruppenrichtlinien). Diese Richtlinie konfiguriert
die Systeme so, dass sie Verkehr zurückweisen, wenn der Absender den Verkehr
nicht mit einem Zertifikat signiert, das von einer NAP-HRA ausgestellt wurde. Die HRA
ist in NAP integriert, sodass sichergestellt ist, dass die Zertifikate nur an Systeme ausgestellt
werden, die die Anforderungen der Integritätsrichtlinie im Unternehmen erfüllen.