Anschluß von Systemen

  In diesem Abschnitt soll der Vorgang beim Anschluß eines Systems an das vorgestellte Netz betrachtet werden. Eine Managementsoftware verwaltet unter anderem den Switch und die von diesem unterstützten VLAN's. Wir unterscheiden zwischen einem nomadischen System und einem statischen System. Notebooks charakterisieren typischerweise erstere Gruppe, während Workstations, Drucker u.a. zweitere Gruppe repräsentieren.

Eine Möglichkeit der Identifikation eines neuen Systems bietet die Authentifizierung über seine IP-Adresse. Von dieser Möglichkeit machen im allgemeinen Serverdienste Gebrauch. Sie halten eine Liste von Systemnamen (engl. hostnames), die über den Domain Naming Service (DNS) ihrer IP-Adresse zugeordnet werden, für jeden angebotenen Dienst vor. Nur wenn der Systemname in der Liste steht, kann das zugehörige Endgerät den Dienst in Anspruch nehmen. Ein Nachteil dieser Methode ist, daß sich die IP-Adresse eines Endgeräts beliebig ändern läßt. Dazu sind im allgemeinen nur Superuserrechte auf dem betreffenden Gerät nötig. Durch das Vortäuschen einer falschen Identität kann das Endgerät so an einem Dienst gelangen, den es eigentlich nicht benutzen darf.

Eine andere Möglichkeit, die Identifikation des Systems zu gewährleisten, ist die schon angesprochene starke Authentifizierung über einen DHCP-Server (siehe Kapitel 3.1.2). Dadurch, daß bei diesem Vorgang die Zugangsdaten verschlüsselt übertragen werden, handelt es sich um ein relativ sicheres Verfahren.

Die dritte Möglichkeit ein neues System zu authentifizieren besteht darin, es über seine MAC-Adresse zu identifizieren. Dabei handelt es sich um eine relativ sichere Methode die Identität eines Systems festzustellen, da die MAC-Adresse einer Netzkarte weltweit eindeutig vergeben wird [Hal92]. Aber auch in diesem Fall kann die MAC-Adresse gefälscht werden, wenn auch mit mehr Aufwand als bei der IP-Adresse, weil die MAC-Adresse i.a. von der Netzkarte übernommen wird und es nicht vorgesehen ist, in diesen Algorithmus einzugreifen.

Das dritte Verfahren zur Identifikation von neuen Systemen eignet sich für diese Arbeit am besten, weil ein Switch Frames auf Schicht 2 des OSI-Schichtenmodells forwardet, somit also Kenntnis über die angeschlossenen Systeme anhand ihrer MAC-Adresse hat. Es wird daher näher betrachtet.

Der Switch erkennt anhand der MAC-Adresse, die er mit dem ersten Frame bekommt, das ein neu angeschlossenens System verschickt, daß sich ein neues System an einen seiner Ports angeschlossen hat. Um diese Information auswerten zu können, bedarf es eines Managementsystems, das die gewonnenen Information annimmt, auswertet und anhand gewisser Policies Aktionen tätigt. Der Switch teilt also die Information über den Anschlußport und die MAC-Adresse des neuen Systems einem Managementsystem mit. Dieses kann anhand der gelieferten MAC-Adresse entscheiden, ob das System dem Office Park bekannt ist oder es sich um ein unbekanntes, außenstehendes System handelt (Auswertung). Um das feststellen zu können, braucht das Managementsystem eine Liste aller dem Office Park bekannten MAC-Adressen. Soll eine Zuordnung von MAC-Adresse zu VLAN bzw. Port zu VLAN stattfinden, muß die Managementsoftware diese Tabellen ebenfalls beinhalten.

  

Abbildung: Anschlußszenario

In unserem Beispielszenario (Kapitel 3.2.1) gibt es zwei unterschiedliche, logische Arten von Ports eines Switch, an denen Endgeräte angeschlossen werden können: öffentliche und nichtöffentliche Ports. An die öffentlichen Ports darf sich im Prinzip jedes Endgerät anschließen, während die nichtöffentlichen Ports den im Office Park bekannten Systemen vorbehalten sind. Aus den verschiedenen Möglichkeiten der Permutationen von bekannten und unbekannten Systemen an öffentliche und nichtöffentliche Ports gibt es mehrere Fälle zu unterscheiden, die in Abbildung 3.3 grafisch dargestellt sind. Diese Fälle beschreiben unterschiedliche Policies, die sich aus dem Beispielszenario ergeben. Der Switch soll in der Lage sein, die verschiedenen Policies zu unterstützen. Bei der Ausarbeitung der Policies sollen die Fälle der Identifikation eines neuen Systems über seine MAC-Adresse und über starke Authentifizierung mittels DHCP betrachtet werden:

1.

Ein bekanntes System schließt sich an einen nichtöffentlichen Port an. Um die Zuordnung zu einem VLAN bestimmen zu können, gibt es zwei Fälle: das System ist DHCP-fähig oder nicht. Im ersten Fall kann es sich über die vom DHCP-Protokoll angebotene starke Authentifizierung beim Managementsystem anmelden. Dieses ordnet das Endgerät anhand seiner Authentifizierung und seinen Policies einem VLAN zu. Ist das System nicht DHCP-fähig, was häufig bei Druckern der Fall ist, muß das Managementsystem aufgrund der fehlenden starken Authentifizierung das System anhand der Information über seine MAC-Adresse und den Anschlußport identifizieren und einem VLAN zuordnen.

2.

Ein unbekanntes System schließt sich an einen nichtöffentlichen Port an. Aufgrund des fehlenden MAC-Adressen Eintrags in der Tabelle der Managementsoftware erkennt diese, daß die angeschlossene DTE an diesem Port unerwünscht ist. Möglicherweise handelt es sich sogar um einen Eindringling, der unberechtigterweise Zugriff auf für ihn gesperrte Dienste zu erlangen sucht. Die Managementsoftware muß nun entscheiden, was mit dem System zu tun ist. Beispielweise könnte sie den Port sperren, oder das unbekannte System einem öffentliche VLAN zuordnen und den Status des Ports entsprechend ändern.

3.

Ein bekanntes System schließt sich an einen öffentlichen Port an. Hier kann ähnlich wie bei einem Anschluß an einen nichtöffentlichen Port verfahren werden. Dieser Fall ist v.a. dort interessant, wo bestimmte Dienste einem öffentlichen VLAN zur Verfügung gestellt werden sollen. Ein Beispiel hierfür ist die Bereitstellung eines Drucker für den öffentlichen Arbeitsraum D in unserem Office Park-Szenario.

4.

Ein unbekanntes System schließt sich an einen öffentlichen Port an. Dies stellt den Normalfall dar. Voraussetzung für die korrekte Anbindung des Systems an das Netz ist, daß die DTE das DHCP-Protokoll beherrscht, so daß ihr Informationen über ihre IP-Adresse, Nameserver, Broadcast-Adresse u.ä. zugewiesen werden können. Die Managementsoftware teilt die Maschine dann einem vorher festgelegten öffentlichen VLAN zu.