Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

28.04.2006

Ein sicheres Netz für vier Firmen

Hartmut Giesen 
Die Henkel KGaA hat ein Zugangskonzept für ein mandantenfähiges LAN mit vier Unternehmen entwickelt und umgesetzt. Über IEEE 802.1x wird das Netz zuverlässig abgesichert und separiert.
Mobile und stationäre Clients loggen sich über LAN oder WLAN in das Henkel-Netz ein und bekommen über die IEEE-802.1x-basierende Authentifizierung ein virtuelles LAN zugewiesen. (EAPoL = Extensible Authentication Protocol over WAN; EAPoW = Extensible Authentication Protocol over WLAN)
Mobile und stationäre Clients loggen sich über LAN oder WLAN in das Henkel-Netz ein und bekommen über die IEEE-802.1x-basierende Authentifizierung ein virtuelles LAN zugewiesen. (EAPoL = Extensible Authentication Protocol over WAN; EAPoW = Extensible Authentication Protocol over WLAN)

Das Herz von Henkel schlägt seit 1878 in Düsseldorf, wo Labors und Fertigungsstätten in einem 1,5 mal 1,8 km großen Industriepark mit mehreren hundert Gebäuden Produkte entwickeln und produzieren. Doch der Konsumgüterkonzern residiert dort nicht allein. "Mitbewohner" sind Cognis, 1999 aus der Chemiesparte von Henkel hervorgegangen, Ecolab, eine Beteiligungsfirma von Henkel, und T-Systems.

IEEE 802.1x

IEEE 802.1x ist ein Standard zur Authentifizierung in Rechnernetzen. Der Nutzer loggt sich am physikalischen Port eines LAN, VLAN oder WLAN ein und übermittelt dabei seine Login-Daten an den "Authenticator". Der gleicht die Login-Informationen mit einer Datenbank auf dem Authentifizierungs-Server, dem Radius-Server (Remote Authentication Dial-In User Service), ab und lässt den Zugriff auf die dem Nutzer erlaubten Netzdienste zu.

Steckbrief

Best Practices

• Die Möglichkeiten, die IEEE 802.1x durch die dynamische VLAN-Zuweisung an Ports bietet, sind konsequent zu nutzen.

• Die Struktur der Radius-Server und -Proxies sollte zur bestehenden IT-Landschaft passen und sich nahtlos in die Authentifizierungs- und Directory-Dienste der Organisationen integrieren.

• Nutzer- und Organisationsstrukturen sind klar abzubilden, um eine effiziente Verwaltung von Zugangsrechten und die Sicherheit der VLANs zu gewährleisten.

Für Ulrich Kelm ist die Konzentration von Unternehmen in gemeinsam genutzten Gebäuden und Betriebsstätten eine große Herausforderung: Als Leiter des Kompetenzzentrums "Technische IT-Infrastruktur" bei Henkel zeichnet er mit seinen Mitarbeitern dafür verantwortlich, dass den vier auf dem Henkel-Gelände ansässigen Firmen mit insgesamt 11 000 Nutzern jederzeit ein leistungsfähiges und zuverlässiges Datennetz zur Verfügung steht. Parallel dazu gilt es, die Forderungen nach einer strikten logischen Trennung der einzelnen Firmen-LANs und einer Absicherung des Netzes gegen unzulässigen Zugang von "innen" zu erfüllen. Darüber hinaus erfordern die Unternehmensstrukturen mit mobilen Mitarbeitern eine hochflexible Netzinfrastruktur, die sich dynamisch an neue Gegebenheiten anpassen lässt. Hierzu müssen LAN und WLAN nahtlos integriert sein, um überall das für den Arbeitsprozess und die Umgebung optimale Medium bereitstellen zu können.

Im Jahr 2004 begann das IT-Team von Henkel zu überlegen, wie die "Kunden" im Zuge eines Infrastruktur-Redesigns effizient, aber sicher und flexibel mit Netzressourcen versorgt werden könnten. Die Grundbausteine einer solchen Architektur waren rasch identifiziert: MPLS (Multi Protocol Label Switching) als leistungsfähige flexible Backbone-Technik, kombiniert mit VLANs auf der Access-Ebene, erlauben eine durchgängige logische Separation der einzelnen Firmennetze. Der Authentifizierungsstandard IEEE 802.1x wiederum ermöglicht die dynamische Konfiguration der Ports und dient der Zugangsabsicherung über LAN sowie WLAN.

Ganzheitliches Konzept

Mit der Entwicklung des Authentifizierungs- und Zugangskonzepts für das Multi-Client-LAN beauftragte Henkel die auf sichere und mobile Kommunikation spezialisierte Kölner RT-solutions.de GmbH. Nach einer detaillierten Anforderungsanalyse wurde das Grundkonzept der IEEE-802.1x-basierenden Authentifizierung verfeinert und eine redundante, hochverfügbare Systemarchitektur entworfen. Die ausgewählten Protokolle, Komponenten und Produkte wurden auf ihre Interoperabilität untereinander und mit bestehenden Netzkomponenten getestet. Anschließend galt es, die für eine sanfte Migration sowie zum Produktiveinsatz erforderlichen Prozesse zu definieren.

Das Konzept setzt auf PEAP (Protected Extensible Authentication Protocol) als Authentifizierungsprotokoll, da es nahtlos mit dem vorhandenen Active Directory interagiert. Auf diese Weise lässt sich die gesicherte Authentifizierung am Netz auf Client-Seite vollkommen transparent in den gewohnten Anmeldevorgang integrieren. Der User meldet sich also weiterhin mit seinem Nutzernamen und Passwort am Windows-Rechner an, der sich dann mit den Domain-Credentials auch am Netz via IEEE 802.1x einloggt.

Im Hintergrund arbeiten redundant ausgelegte und damit hochverfügbare Radius-Server (Remote Authentication Dial-In User Service), die anhand der Anfrage zunächst erkennen, zu welcher der beteiligten Firmen der Client gehört, und dessen Anmeldung dann anhand des jeweiligen firmenspezifischen Verzeichnisdiensts überprüfen. Ist der Client dort bekannt und zugelassen, wird er automatisch dem richtigen VLAN zugewiesen und gelangt - egal, von wo aus er sich auf dem Campus mit dem Netz verbindet - sicher und automatisch in das Intranet des eigenen Unternehmens.

Bei den Komponenten setzte das Projektteam auf Cisco-Switches und primär auf Microsofts "IEEE802.1x-Supplicant" und "IAS Radius-Server" - Softwarekomponenten, die die bei Henkel bereits im Einsatz befindlichen Microsoft-Systeme von Haus aus mitbringen. Da es sich bei IEEE 802.1x um einen offenen Standard handelt, unterstützt die Gesamtarchitektur auch andere Verfahren und Komponenten. So bleibt sie herstellerunabhängig und lässt den beteiligten Firmen weiterhin freie Wahl hinsichtlich alternativer Authentifizierungsmethoden. Selbst die künftige Rechneranmeldung mittels Smartcard - ein besonders sicheres Verfahren - oder andere Varianten der Zwei-Faktor-Authentifizierung lassen sich mit dem System umsetzen.

Separiertes Gast-VLAN

Das Gesamtkonzept von Henkel umfasst zudem eine sichere WLAN-Verschlüsselung, die auf den IEEE-802.1x-Mechanismen aufsetzt, sowie ein logisch abgetrenntes Gast-VLAN mit beschränkten Zugriffsrechten. Hierzu zählen der Internet-Zugang für Besucher beziehungsweise der Zugriff aufs Henkel-Netz via VPN für Clients, die noch nicht in die IEEE-802.1x-Authentifikation integriert sind. Auf diese Weise behalten Letztere weiterhin Netzverbindung. Zudem sorgt das Gast-VLAN dafür, dass auch externe Mitarbeiter im Henkel-Netz auf die für sie erforderlichen Ressourcen zugreifen können. (kf)