Security – Standard IEEE 802.1X
Der CS141 setzt neue Sicherheitsstandards

Einbrüche in halboffene oder nicht vollständig geschlossene Netzwerke waren schon immer eines der größten Probleme für Systemadministratoren: Sobald ein Nutzer sich mit seinem Gerät in einem Netzwerk anmelden darf, hat er schon mal den grundsätzlichen Zugang zu den Infrastrukturpunkten, dessen IP-Adressen bekannt sind. Die erste Verteidigungslinie besteht also darin, dass einfach nicht jedes netzwerktaugliche Gerät einen Zugang zum Netzwerk bekommen darf, und zwar unabhängig von seinem Nutzer.
Das ein Unternehmen ungeprüfte Privatgeräte den Zugang zum eigenen geschützten Intranet verwehren will ist verständlich. Das durchzusetzen wird jedoch mit steigender Mitarbeiterzahl und Computern im Unternehmen immer schwieriger. Die einfachste Lösung ist hier, unzulässige Hardware einfach per IEEE 802.1X aus dem System auszusperren: Ein Gerät, dass die Zugangskriterien nicht erfüllt, bekommt keinen Port zugewiesen, und ohne offenen Port gibt es keine Möglichkeit, in ein Netzwerk einzudringen.

Das Prinzip von IEEE 802.1X ist relativ einfach erklärt:

Auf der einen Seite haben wir einen sog. Supplikanten, der sich an einem Netzwerk anmelden möchte. Sobald die Verbindung hergestellt ist, fragt, dieser nach einer IP-Adresse aus dem Netzwerk: Durch IEEE 802.1X ist das allerdings nicht so „ohne weiteres“ möglich. Der Router klärt in seiner Funktion als “Authentificator“ nämlich zunächst einmal, ob das anfragende Gerät überhaupt Zugang zum Netzwerk haben darf: Ein Supplikant benötigt vom zuständigen Server die Erlaubnis, das Netzwerk zu betreten zu dürfen.
Nur dann, wenn der Server zustimmt, wird für den Client ein Port aufgemacht, über den er das Netzwerk dann betreten darf. Auf diesem Weg stellt man in erster Instanz von einer zentralen Stelle aus – in diesem Fall ein RADIUS Server – sicher, dass nur Geräte Zugang zu einem LAN haben, die auch seitens des Administrators berechtigt sind.

Mit der Firmware 2.04 bietet jeder CS141 / BACS die RADIUS-Funktion mit Unterstützung für IEEE 802.1X an, so dass IT-Entscheider nur „bekannte vertrauenswürdige USV Netzwerkgeräte“ in ihren Netzwerken identifizieren und zulassen können!