Aruba WLAN mit Geräten ohne 802.1X
802.1X und MAC-Authentication
In Enterprise Netzwerken wird der Netzwerkzugang häufig mit Network Access Control Servern wie Aruba Clearpass und 802.1X Anmeldemethoden abgesichert. Damit kann zum einen eine sichere Anmeldung am Netzwerk und zum anderen eine Zugangskontrolle hinsichtlich der Rechtevergabe gewährleistet werden. Damit so etwas möglich ist, muss neben der Netzwerkinfrastruktur aber auch der Client die Anmeldemethoden unterstützen. Ist dies nicht der Fall, wird im kabelgebundenen Netzwerkhäufig auf eine MAC-Authentication zurückgegriffen. Im kabellosen Netzwerk wird für diesen Fall häufig ein Pre-Shared-Key WLAN, also ein WLAN mit statischem Passwort, verwenden. Wird dieses Passwort publik, ist die Sicherheit des Netzwerkes nicht mehr gewährleistet. Wie aber kann Druckern, Handscannern und Co. ein Netzwerkzugang zur Verfügung gestellt werden, welcher die Sicherheit der Infrastruktur nicht beeinträchtigt?
Netzwerkabsicherungsmethoden im WLAN
Neben der Absicherung des WLAN mittels PSK (Pre-Shared-Key) können mit Aruba WLAN Produkten noch weitere Absicherungsmethoden verwendet werden. Klassicherweise kann nicht 802.1X-fähigen Geräte mithilfe eines Captive-Portals, also einer Anmeldeseite, Zugang zum Netzwerk gewährt werden. Dies ist die Standardmethode um Gästen Zugang zum Unternehemensnetz zu ermöglichen. Allerdings setzt das voraus, dass die Clients über ein Betriebssystem mit Browser verfügen, welches die Anmeldeseite anzeigt. Seit mit WPA3 die Verschlüsselung von Traffic zwischen Sender und Empfänger innerhalb einer offenen SSIDs eingeführt wurde, ist dies eine gute Möglichkeit, welche in der Regel wenig Administrationsaufwand benötigt. Doch auch für Clients ohne Betriebssystem und Browser gibt es Mittel und Wege. Zum einen besteht die Möglichkeit, eine MAC-Authentication innerhalb einer PSK abgesicherten SSID zu verwenden und zum anderen kann man mit Aruba WLAN Produkten auch eine Multi-Pre-Shared-Key SSID verwenden.
Captive Portal
Für alle Clients, die über ein Betriebssystem mit Browser verfügen, kann der Zugang über ein Captive Portal zur Verfügung gestellt werden. Häufig wird diese Lösung bereits für Gäste WLANs verwendet. Die bestehende Installation kann dann mithilfe der entsprechenden Konfiguration auf dem Aruba Clearpass Server um einen Anwendungsfall für interne Geräte erweitert werden.
Mac Authentication mit WPA3
Neben einer einfachen Absicherung der SSID mit einem PSK, kann man bei Aruba WLAN Produkten zusätzlich eine MAC-Authentication durchführen. Damit wird die Sicherheit hinsichtlich der Authentifizierung erhöht und ergänzend kann auf einem NAC-Server auch einen Autorisierung konfiguriert werden. So kann nicht nur bestimmt werden, welcher Client Zugang zum Netzwerk erhält, sondern beispielsweise auch, in welchem VLAN der Client Traffic von der WLAN-Umgebung transportiert werden soll.
Multi-Pre-Shared-Key SSID
Das erhöht die Sicherheit, da jedes Passwort immer nur mit der MAC-Adresse eines einzelnen Clients verwendet werden kann. Aruba Produkte arbeiten für die Zuordnung von PSK zu Client dabei mit einer MAC-Authentication. Aruba Clearpass weißt dann dem WLAN Controller den entsprechenden PSK für jeden Client zu. Zur einfachen Konfiguration existiert auf allen WLAN-Controllern ein eigener Konfigurationspunkt. In Clearpass existiert ein entsprechendes Template. Nachteil: Bisher kann MSPK nur mit WPA2 verwendet werden.
Zusammenfassung
Alle hier vorgestellten Lösungsansätze sind mit Aruba WLAN Hardware und Aruba Clearpass als Network Access Control Server abbildbar. Passen die hier vorgestellten Szenarien nicht zu Ihren Anforderungen im Netzwerk oder haben Sie sich eine andere Lösung vorgestellt? Mit Aruba Clearpass lassen sich nahezu alle Anforderungen hinsichtlich eines sicheren Enterprise-Netzwerks erfüllen.