Von Menschen & Maschinen – Benutzerauthentifizierung im Firewall-Umfeld

Verfasst von Kai Krebber am 16.10.20 09:03
Kai Krebber

Eine Firewall schützt Ihr Unternehmen vor Bedrohungen von außen. Dazu verwendet sie ein festgelegtes Regelwerk und lässt nur die Menschen und/oder Maschinen zu ihren Ressourcen durch, denen es auch erlaubt ist. Wechseln die Benutzer aber ihre Geräte, da sie z.B. im Office an einem anderen Endgerät arbeiten als im Homeoffice, oder aber werden fixe Geräte von unterschiedlichen Usern verwendet, muss die Firewall sich an diese dynamischen Umgebungen anpassen können.

In unserem Blogbeitrag „Die Firewall als eine Art Bodyscanner“  ging es um die verschiedenen Kriterien, anhand derer eine Firewall entscheiden kann, ob Traffic durchgelassen oder geblockt wird. Neben dem klassischen Quintupel von Quell-IP, Ziel-IP, Quell-Port, Ziel-Port und IP-Protokoll, wurden hier auch Applikations-spezifische Charakteristika zur Entscheidungsfindung herangezogen.

Willkommen in einer dynamischen Welt

Diese Anforderungen sind jedoch kaum mehr abbildbar, sobald sie sich in einer dynamischen Umgebung befinden. So wird z.B. mittels Dynamic Host Configuration Protocol (DHCP)  verschiedenen Geräten, dynamische IP-Adressen zugewiesen. Wechselt ein bestimmter User zwischen unterschiedlichen Geräten spricht man von einer 1:n-Nutzung, wird ein bestimmtes Gerät von diversen Menschen verwendet, heißt es n:1. Alle Fälle führen dazu, dass die in der Regel an eine Person bzw. deren Aufgabe im Unternehmen gebundenen Anforderungen, nicht mehr darstellbar sind.

Damit die Firewall dennoch ihre Aufgabe erfüllen kann, müsste also nicht auf der IP-Ebene entschieden werden wer Zutritt erhält, sondern auf Personenebene. Im TCP/IP-Protokoll ist für diese Information aber leider kein Bereich vorgesehen. Rein auf Basis der im empfangenen IP-Paket vorhandenen Informationen, hat die Firewall also kaum eine Chance, den initiierenden User zu ermitteln und dann über Zutritt oder Verweigerung zu entscheiden.

Ein AD-Agent hilft beim Identifizieren der User

Lösungen, wie Captive Portals  decken auch nur Teilbereiche der Anforderungen ab und sind darüber hinaus mit zusätzlichem Aufwand für den User verbunden. Ihre Akzeptanz ist daher entsprechend gering.

Die Firewall muss also auf anderem Weg herausfinden, welcher Benutzer sich hinter einem gerade empfangenen Datenpaket verbirgt. Der de-facto-Standard für die Nutzerverwaltung in Unternehmen ist eine Active Directory-Infrastruktur - die AD weiß, von welcher Quelle aus sich ein User angemeldet hat.

Nun existieren verschiedene Möglichkeiten, damit die Firewall an diese Informationen gelangt: Palo Alto  geht hier den Weg über einen AD-Agenten. Der Agent wird auf den AD-Servern installiert und meldet nach dem erfolgreichen Login eines Users, von welcher Quell-IP dieser sich angemeldet hat zurück an die Firewall. Sobald der User sich abmeldet, gelangt auch diese Information an die Palo Alto. Das o.g. 1:n-Szenario ist damit abgedeckt. Für die Nutzung eines gemeinsamen Gerätes durch mehrere User (z.B. im Terminalserver-Umfeld I n:1) fehlt dann aber noch eine Lösung.

Die Lösung für Terminalserver-Umgebungen

Auch für die gängigsten Terminalserver (TS)-Umgebungen von Microsoft und Citrix, hat Palo Alto eine Lösung. Da auf den TS-Servern die Übermittlung der Quell-IP des Users nicht mehr zur Entscheidung ausreicht, wird jedem Nutzer auf dem entsprechenden Terminalserver ein bestimmter Quellport-Bereich zugewiesen. Palo Alto TS-AgentDer TS-Agent sorgt dann dafür, dass ausgehende Datenpakete von einem Quellport gesendet werden, welcher dem entsprechenden User zugewiesen ist. Anschließend wird der Firewall die Adresse des TS-Agents mitgeteilt. Sobald die Firewall diese Informationen kennt, kann Sie anhand der Quell-IP in Kombination mit dem Quellport dann wieder jedem User seine Datenpakete zuweisen.

Von Gruppen und Geräten

Darüber hinaus kann die Firewall von Palo Alto sogar die Gruppenmitgliedschaften der einzelnen User auswerten: hierzu fragt sie direkt die AD-Server via LDAP (Lightweight Directory Access Protocol I lesen Sie hierzu auch unseren Blog-Beitrag „Microsoft stellt um auf LDAPS – nur wann, weiß noch Niemand“) ab. Damit müssen in den Firewall-Regeln nicht mehr die einzelnen User angegeben werden, sondern nur noch die übergeordneten Gruppen. So lässt sich eine sehr flexible und gut skalierende Ressourcen-Zugriffskontrolle über die klassischen Möglichkeiten hinaus implementieren.Palo Alto Gruppenzuordnung

Sofern ein Datenpaket keinem menschlichen User zuzuordnen ist, sondern von einem IoT-Gerät stammt, greifen natürlich weiter die traditionellen Entscheidungskriterien.

Fazit: Eine intelligente Benutzerauthentifizierung erweitert die Möglichkeiten einer Firewall erheblich. Hiermit lassen sich sehr fein granulare Regelwerke erstellten, welche gerade bei der Nutzung von User-Gruppen hervorragend skalieren.

Wenn wir Sie zum Thema Sicherheit und/oder zum Sortiment von Palo Alto beraten dürfen, nehmen Sie gerne Kontakt zu uns auf. Wir freuen uns auf Ihre Anfragen.

VEREINBAREN SIE EINEN TERMIN MIT UNS!

Themen: firewall, it-security, palo alto