Wie tegenwoordig een bedrijf of publieke instelling bezoekt, krijgt vaak al bij aankomst inloggegevens voor een gastaccount op het draadloze netwerk. De hotspots die internettoegang bieden, worden uit veiligheidsoverwegingen meestal virtueel van het bedrijfsnetwerk gescheiden. Hierdoor kunnen gasten geen toegang krijgen tot interne bedrijfsgegevens.
Het is alom bekend dat de beveiliging van draadloze netwerken vraagt om een afdoende niveau van encryptie en veilige mechanismen voor toegangscontrole. Op deze manier kunnen onbevoegden geen toegang krijgen tot het bedrijfsnetwerk en ook niet tot de hotspot. Hierbij wordt regelmatig gebruikgemaakt van de beveiligingsstandaard IEEE 802.1X. Dit mechanisme stat namelijk garant voor toegangscontrole aan de poort voor maximale beveiliging.
Wat bedrijfsnetwerken betreft, zijn er maar weinig mensen die zich realiseren dat elke bedrade ethernet-verbinding binnen het gebouw een open deur is naar het netwerk. Tenzij deze verbinding is afgeschermd voor indringers.
Maar waar begint de netwerkbeveiliging nu eigenlijk, en waar houdt die op? Ik zou een ellenlang betoog kunnen houden over de uiteenlopende beveiligingsaspecten van moderne netwerkinfrastructuren, en dan zou nog niet alles aan bod komen. Het is het belangrijkste om gebruik te maken van de juiste netwerkcomponenten en deze correct te configureren voor een optimale bescherming van zowel de gebruikers als het netwerk zelf.
De meest fundamentele netwerkcomponent, die een nogal obscuur bestaan leidt en vaak over het hoofd wordt gezien tijdens de netwerkplanning, is de beheerbare netwerkswitch. Veelal krijgt deze alleen maar data te ontvangen en naar de juiste bestemming door te sluizen. Switches leveren namelijk ook een cruciale bijdrage vanuit beveiligingsperspectief. Ze beveiligen de netwerktoegang door het toepassen van beveiligingsinstellingen. Hierdoor worden alleen apparaten en clients, die met succes door de switch worden geauthenticeerd, toegang geboden tot het interne netwerk.
Standaard voor switch-beveiliging
De standaard IEEE 802.1X werd ontwikkeld voor het beheer van toegangsrechten en authenticatie bij het netwerk. Basisvereisten zijn de aanwezigheid van een ‘intelligente’ beheerde netwerkswitch en een Radius-server voor het verifiëren van (inlog-)gegevens.
802.1X biedt systeembeheerders de keuze uit diverse vormen van authenticatie. Hieronder zet ik de vier belangrijkste en meest voorkomende typen toegangscontrole voor switches uiteen, samen met een korte uitleg van de werking en voordelen van elke vorm van authenticatie en een concreet voorbeeld.
Poort gebaseerde toegangsbeheer op basis van IEEE 802.1X
Deze standaard heeft betrekking op de authenticatie van andere apparaten bij de poort van een switch. Hierbij worden de certificaten en/of inloggegevens van het apparaat geverifieerd door ze af te zetten tegen de informatie die op de Radius-server is opgeslagen. Na een eenmalige succesvolle authenticatie blijft de poort van de switch permanent geopend, zodat het apparaat toegang tot het netwerk kan krijgen.
Een voorbeeld: een access point maakt verbinding met de poort van de switch en wordt aan de hand van certificaten en/of inloggegevens geauthentiseerd door de Radius-server. Daarop wordt de overeenkomstige poort van de switch geopend. Vervolgens kunnen alle individuele draadloze apparaten die met de geauthentiseerde access point zijn verbonden (laptops, smartphones, tablets) een verbinding met het netwerk maken.
Single IEEE 802.1X.
Individuele clients kunnen gebruikmaken van de Single 802.1X-functionaliteit van een switch voor authenticatie bij een poort van die switch door hun certificaten en/of inloggegevens te laten verifiëren door een Radius-server.
Het voordeel hiervan is dat de poort exclusief is geopend voor de client die bij de Radius-server is geauthentiseerd. Overige clients op deze poort wordt de toegang tot het netwerk ontzegd indien ze niet over de juiste certificaten en/of inloggegevens beschikken.
Dit zou het geval zijn als een computer, die met de switchpoort is verbonden, gebruikmaakt van certificaten en/of inloggegevens voor authenticatie bij de Radius-server om toegang tot het netwerk te krijgen. Zodra de computer met succes is geauthentiseerd, zal de Radius-server regelmatig geheime sleutels verzenden om de computer opnieuw te kunnen authentiseren. Dit zorgt ervoor dat de computer die toegang tot het netwerk kan krijgen via deze switchpoort reeds is geauthentiseerd.
Multi IEEE 802.1X.
De derde optie is authenticatie door de Radius-server van meerdere clients via één switchpoort. In dit scenario kan een ‘onintelligente’ apparaat of client worden gebruikt als interface voor authenticatie bij de Radius-server van diverse clients via één switchpoort. Dit zou bijvoorbeeld het geval zijn als een onbeheerde switch wordt verbonden met een switchpoort van een beheerde switch die voor Multi IEEE 802.1X is geconfigureerd.
Alle computers die verbinding maken met de onbeheerde switch kunnen zich vervolgens authentiseren bij de Radius-server, met behulp van certificaten en/of inloggegevens, om toegang tot het netwerk te krijgen. Alle authenticatieverzoeken van de diverse computers worden via één switchpoort naar de Radius-server doorgezonden.
Zodra een computer zich met succes heeft geauthenticeerd ontvangt deze geheime sleutels van de Radius-server voor het opnieuw authentiseren van verbonden apparaten. Op deze manier kunnen alleen apparaten die eerder via deze switchpoort werden geauthenticeerd toegang tot het netwerk krijgen.
Authenticatie op basis van een MAC-adres.
Een andere, relatief oude, methode voor authenticatie van clients bij een switchpoort is om het MAC-adres van een client aan een Radius-server te presenteren. De switchpoort zal alleen worden geopend voor apparaten en clients met hun eigen specifieke MAC-adres. Andere apparaten en clients kunnen geen netwerktoegang via deze poort krijgen. Deze methode is ideaal voor netwerkauthenticatie van onintelligente apparaten en clients.
Een voorbeeld is een printer die met de switchpoort is verbonden. Het MAC-adres van de printer wordt gebruikt voor authenticatie bij de Radius-server om toegang tot het netwerk te krijgen.
De switchpoort is exclusief geconfigureerd voor het MAC-adres van de printer, zodat andere clients met een ander MAC-adres geen toegang tot het netwerk kunnen krijgen via die switchpoort.
Niet elke switch is geschikt
Hoe de toegang tot het netwerk wordt geregeld is uiteindelijk de keuze van de netwerkbeheerder. Er is echter sprake van veel minder keuzevrijheid als het gaat om het selecteren van switches. Alleen intelligent beheerde switches bieden de functionaliteit die nodig is voor de bewaking en controle van de netwerktoegang en het blokkeren van de toegang voor ongemachtigde apparaten en clients. Hoewel onbeheerde – dus niet intelligente – switches een betaalbare oplossing zijn voor kleinschalige netwerken, vertegenwoordigen ze een grote kwetsbaarheid in de beveiliging. Met een iets grotere investering zijn de beheerde switches binnen bereik.
