Im Falle der Erzwingungsmethode, die auf dem IEEE-Standard 802.1X zur Authentifizierung und Autorisierung in Ethernet-Netzwerken basiert, müssen hierfür außerdem Einstellungen an den Netzwerk- Swichtes vorgenommen werden. Voraussetzung dafür ist, dass der Switch 802.1X und die Zuweisung von virtuellen LANs anhand von RADIUS-Attributen erlaubt. NAP ist dann in der Lage, nicht kompatible Clients automatisch in ein eigenes VLAN zu verschieben. Wie die DHCP- Erzwingungsmethode eignet sich dieses Verfahren nur für den Einsatz im Intranet.
Die Erzwingungsmethoden, die auf Terminal Services Gateway und VPN aufbauen, finden dagegen beim Remote-Zugriff auf das Firmennetz Verwendung. "TS Gateway" ist ein neues Feature von Windows Server 2008. Es ermöglicht den Aufbau einer sicheren RDP-Verbindung zu einem Terminal Server durch einen SSL-Tunnel. Die TS-Gateway-Erzwingungsmethode ist die einzige, die nicht kompatiblen Clients komplett den Zugriff auf das Netz verwehrt. Bei der VPN-Methode können dagegen ähnlich wie bei den anderen Verfahren nicht kompatible Clients über IP-Filter einem Quarantänenetz zugewiesen werden.
Auch der Konfigurationsaufwand der verschiedenen Verfahren variiert beträchtlich. Bei der IPSec-Erzwingungsmethode muss dafür eigens ein Zertifikatdienst aufgesetzt werden, der digitale Zertifikate an die Clients verteilt. Eine Kommunikation zwischen zwei Rechnern ist im Normalfall dann nur noch möglich, wenn diese für IPSec konfiguriert wurden, wobei NAP dafür sorgt, dass nur kompatible Rechner die entsprechenden Zertifikate erhalten. So sicher dieses Verfahren sein mag, es birgt auch Risiken, denn bei einer Fehlkonfiguration liegt unter Umständen dann das ganze Netz lahm.
Weiter mit: Komplex? Mit viel Sorgfalt doch noch sicher! »
Navigation | Risiken durch Sicherheitsfunktionen
|
| ||||||
|
|
