zur Übersicht

Von Menschen & Maschinen – Benutzerauthentifizierung im Firewall-Umfeld

Eine Firewall schützt Ihr Unternehmen vor Bedrohungen von außen. Dazu verwendet sie ein festgelegtes Regelwerk und lässt nur die Menschen und/oder Maschinen zu ihren Ressourcen durch, denen es auch erlaubt ist. Wechseln die Benutzer aber ihre Geräte, da sie z.B. im Office an einem anderen Endgerät arbeiten als im Homeoffice, oder aber werden fixe Geräte von unterschiedlichen Usern verwendet, muss die Firewall sich an diese dynamischen Umgebungen anpassen können.

In unserem Blogbeitrag „Die Firewall als eine Art Bodyscannerging es um die verschiedenen Kriterien, anhand derer eine Firewall entscheiden kann, ob Traffic durchgelassen oder geblockt wird. Neben dem klassischen Quintupel von Quell-IP, Ziel-IP, Quell-Port, Ziel-Port und IP-Protokoll, wurden hier auch Applikations-spezifische Charakteristika zur Entscheidungsfindung herangezogen.

Willkommen in einer dynamischen Welt

Diese Anforderungen sind jedoch kaum mehr abbildbar, sobald sie sich in einer dynamischen Umgebung befinden. So wird z.B. mittels Dynamic Host Configuration Protocol (DHCP) verschiedenen Geräten, dynamische IP-Adressen zugewiesen. Wechselt ein bestimmter User zwischen unterschiedlichen Geräten spricht man von einer 1:n-Nutzung, wird ein bestimmtes Gerät von diversen Menschen verwendet, heißt es n:1. Alle Fälle führen dazu, dass die in der Regel an eine Person bzw. deren Aufgabe im Unternehmen gebundenen Anforderungen, nicht mehr darstellbar sind.

Damit die Firewall dennoch ihre Aufgabe erfüllen kann, müsste also nicht auf der IP-Ebene entschieden werden wer Zutritt erhält, sondern auf Personenebene. Im TCP/IP-Protokoll ist für diese Information aber leider kein Bereich vorgesehen. Rein auf Basis der im empfangenen IP-Paket vorhandenen Informationen, hat die Firewall also kaum eine Chance, den initiierenden User zu ermitteln und dann über Zutritt oder Verweigerung zu entscheiden.

Ein AD-Agent hilft beim Identifizieren der User

Lösungen, wie Captive Portals decken auch nur Teilbereiche der Anforderungen ab und sind darüber hinaus mit zusätzlichem Aufwand für den User verbunden. Ihre Akzeptanz ist daher entsprechend gering.

Die Firewall muss also auf anderem Weg herausfinden, welcher Benutzer sich hinter einem gerade empfangenen Datenpaket verbirgt. Der de-facto-Standard für die Nutzerverwaltung in Unternehmen ist eine Active Directory-Infrastruktur - die AD weiß, von welcher Quelle aus sich ein User angemeldet hat.

Nun existieren verschiedene Möglichkeiten, damit die Firewall an diese Informationen gelangt: Palo Alto geht hier den Weg über einen AD-Agenten. Der Agent wird auf den AD-Servern installiert und meldet nach dem erfolgreichen Login eines Users, von welcher Quell-IP dieser sich angemeldet hat zurück an die Firewall. Sobald der User sich abmeldet, gelangt auch diese Information an die Palo Alto. Das o.g. 1:n-Szenario ist damit abgedeckt. Für die Nutzung eines gemeinsamen Gerätes durch mehrere User (z.B. im Terminalserver-Umfeld I n:1) fehlt dann aber noch eine Lösung.

Die Lösung für Terminalserver-Umgebungen

Auch für die gängigsten Terminalserver (TS)-Umgebungen von Microsoft und Citrix, hat Palo Alto eine Lösung. Da auf den TS-Servern die Übermittlung der Quell-IP des Users nicht mehr zur Entscheidung ausreicht, wird jedem Nutzer auf dem entsprechenden Terminalserver ein bestimmter Quellport-Bereich zugewiesen. Palo Alto TS-AgentDer TS-Agent sorgt dann dafür, dass ausgehende Datenpakete von einem Quellport gesendet werden, welcher dem entsprechenden User zugewiesen ist. Anschließend wird der Firewall die Adresse des TS-Agents mitgeteilt. Sobald die Firewall diese Informationen kennt, kann Sie anhand der Quell-IP in Kombination mit dem Quellport dann wieder jedem User seine Datenpakete zuweisen.

Von Gruppen und Geräten

Darüber hinaus kann die Firewall von Palo Alto sogar die Gruppenmitgliedschaften der einzelnen User auswerten: hierzu fragt sie direkt die AD-Server via LDAP (Lightweight Directory Access Protocol I lesen Sie hierzu auch unseren Blog-Beitrag „Microsoft stellt um auf LDAPS – nur wann, weiß noch Niemand“) ab. Damit müssen in den Firewall-Regeln nicht mehr die einzelnen User angegeben werden, sondern nur noch die übergeordneten Gruppen. So lässt sich eine sehr flexible und gut skalierende Ressourcen-Zugriffskontrolle über die klassischen Möglichkeiten hinaus implementieren.Palo Alto Gruppenzuordnung

Sofern ein Datenpaket keinem menschlichen User zuzuordnen ist, sondern von einem IoT-Gerät stammt, greifen natürlich weiter die traditionellen Entscheidungskriterien.

Fazit: Eine intelligente Benutzerauthentifizierung erweitert die Möglichkeiten einer Firewall erheblich. Hiermit lassen sich sehr fein granulare Regelwerke erstellten, welche gerade bei der Nutzung von User-Gruppen hervorragend skalieren.

Verfasser: Kai Krebber

Wenn wir Sie zum Thema Sicherheit und/oder zum Sortiment von Palo Alto beraten dürfen, nehmen Sie gerne Kontakt zu uns auf. Wir freuen uns auf Ihre Anfragen.

Vereinbaren Sie einen Beratungstermin mit uns!

zur Übersicht

Kai Krebber

Sie haben Fragen?

Gerne beantworten wir Ihre Fragen und informieren Sie über unsere Referenzprojekte!

Nehmen Sie Kontakt auf

Das könnte Sie auch interessieren

Moderner Schutz fürs Data Center: Trend Micro Hybrid Cloud Security

Im Lauf der letzten Jahrzehnte konnten wir innerhalb der IT-Welt bei einer Art Transformation zusehen. Das Wort Transformation steht dafür, dass ein grundlegender Wandel stattfindet. Es treten sprunghafte Veränderungen z.B. bei technologischen Entwicklungen auf, die daraus resultieren, dass es sowohl neue Möglichkeiten, also auch veränderte Bedürfnisse gibt. Dabei ist dieser Entwicklungsprozess auch immer mit vielen Unsicherheiten verbunden.

30.04.21 09:30

Eine Firewall mit Röntgenblick

Firewalls sind aus den heutigen Kommunikationsketten zwischen Firmennetzen und dem Internet nicht mehr wegzudenken und auch den Ruf sie seien reine Paketfilter, haben sie schon lange abgelegt.

16.04.21 09:13

Sicher & performant – immer & überall, mit Citrix

Weltweit arbeiten mehrere Millionen Anwender aus dem Mittelstand, Konzernen und auch aus der öffentlichen Verwaltung mit den Technologien von Citrix. Im letzten Jahr ist die Nutzung sprunghaft angestiegen – kein Wunder, denn wir sorgen mit unseren Lösungen dafür, dass Mitarbeiter*innen ihre tägliche Arbeit unabhängig von Zeit und Ort ausführen können. New Work ist im Alltag angekommen.

09.04.21 10:36

Robert F. Krick

Geschäftsführer

Starten Sie jetzt
eine Anfrage

In unseren Stellenausschreibungen nicht den passenden Job gefunden? Macht nichts. Unser Team wächst stetig, deshalb sind wir immer auf der Suche nach Teamplayern und freuen uns über Deine Initiativbewerbung. Sende uns diese an: bewerbung@krick.net