Open in new window
Title (deu)
Netzwerkauthentifizierung mit Fokus auf KMUs
Evaluierung von Authentifizierungslösungen mit Berücksichtigung des IT-Budgets
Author
Michael Sailer
Degree supervisor
Gabor Österreicher
Description (deu)
Fachhochschule St. Pölten, Masterarbeit 2023, Studiengang Information Security
Description (deu)
Der Zugriffsschutz im Netzwerk ist eine essenzielle Sicherheitsbarriere, um die Verfugbarkeit von Netzwerkressourcen auf die notwendigen Clients einzuschranken. Standards fur die IT-Sicherheit (z.B. ISO 27001) definieren Anforderungen wie das Least-Privilege-Prinzip oder die Segmentierung von Netzwerken, die eine Implementierung einer Netzwerkauthentifizierung erforderlich machen. Die Kosten hierfur sind nicht fur alle kleinen und mittleren Unternehmen (KMU) stemmbar, wodurch sich unterschiedliche Zielgruppen mit individuellen Anforderungen ergeben. In dieser Arbeit werden drei unterschiedliche Ansatze verfolgt: • Firmen mit bestehender IT-Infrastruktur und Know-how, deren Anforderungen nicht vom Microsoft RADIUS-Server gedeckt werden konnen (Open Source Network-Access-Control (NAC)) • (kleine) Firmen im Aufbau ihrer IT-Infrastruktur mit geringen Anforderungen an einen RADIUSServer (All-in-one-Ansatz) • (kleine) Firmen mit keiner oder wenig IT-Infrastruktur (Cloud-basierter Ansatz) Die Arbeit verfolgt drei Ziele: Das erste Ziel ist die Recherche und Evaluierung von Open Source Network- Access-Control-(NAC-)Losungen, die einen vergleichbaren Funktionsumfang wie die Produkte der Marktfuhrer Cisco, Aruba und ForeScout versprechen. Die vielversprechendste Losung wird dabei mithilfe eines Proof-of-Concepts (PoC) untersucht. Des Weiteren werden All-in-one-Losungen gesucht, die neben der NAC-Funktionalitat auch Features von branchenublichen Verzeichnisdiensten, wie z.B. Microsoft AD, anbieten, wobei ein Produkt im Anschluss in einem PoC analysiert wird. Abschliesend soll untersucht werden, welche cloudbasierten Losungen fur eine Netzwerkanmeldung existieren, die nicht von einer lokalen Server- Infrastruktur abhangig sind. Im Zuge dieser Arbeit konnten einige Produkte identifiziert werden, die fur den Einsatz in einem KMU denkbar sind. Mit PacketFence wurde ein NAC-Produkt in einem Proof-of-Concept untersucht, welche quelloffen, d.h. Open Source, ist und viele Anforderungen fur eine Netzwerkauthentifizierung abdecken kann. In vereinzelten Bereichen, wie der Produktdokumentation oder der Untersuchung von Clients auf vordefinierte Richtlinien, gibt es allerdings einige Einschrankungen im Vergleich zu kommerziellen Produkten. Zentyal wurde als All-in-one-Alternative zu Microsoft AD im Proof-of-Concept untersucht, wobei sich hiereinige Schwächen und Einschränkungen in der IT-Sicherheit offenbarten. Es besteht Potential für den Hersteller, dieses Produkt zu verbessern, um anschließend in einer produktiven Umgebung eingesetzt werden zu können. Die Recherche für den cloudbasierten Ansatz Ansatz hat einige kreative Lösungen aufgezeigt. So kann ein RADIUS-Server oder Captive Portal gänzlich in der Cloud betrieben werden. Mit Zscaler gibt es ein Produkt, welches eine andere Philosophie verfolgt und das Zero-Trust-Modell in der Cloud einsetzt, wodurch Berechtigungen feingranularer im Vergleich zu RADIUS-Server oder Captive Portal definiert werden können.
Description (eng)
Network access control is an essential security barrier to limit the availability of network resources to the necessary clients. Standards for IT security such as ISO 27001 define requirements such as the least privilege principle or the segmentation of networks, which require the implementation of network authentication. The costs for this are not affordable for all small and medium-sized enterprises (SMEs), resulting in different target groups with individual requirements. Three different approaches are followed in this paper: • Companies with existing IT infrastructure and know-how whose requirements cannot be met by the Microsoft RADIUS server (Open-Source network access control (NAC)) • (small) companies in the process of building their IT infrastructure with low requirements for a RADIUS server (All-in-one approach) • (small) companies with no or little IT infrastructure (Cloud-based approach) The work has three goals: The first objective is to research and evaluate open source network access control (NAC) solutions that offer similar functionality to the products of market leaders Cisco, Aruba, and ForeScout. The most promising solution will be reviewed using a proof-of-concept (PoC). Furthermore, all-in-one solutions that offer features of industry-standard directory services, such as Microsoft AD, in addition to NAC functionality will be searched, followed by a product analysis in a PoC. Finally, it will be evaluated which cloud-based solutions for network logon exist that are not dependent on a local server infrastructure. In the context of this work, a number of products were identified that are suitable for use in an SME. With PacketFence, a NAC product was analyzed in a practical test, which is open source and can cover many requirements for network authentication. However, there are some limitations compared to commercial products in certain areas, such as product documentation or compliance assessment of clients. Zentyal was proof-of-concept evaluated as an all-in-one alternative to Microsoft AD, revealing some weaknesses and limitations in IT security. There is potential for the manufacturer to improve this product for subsequent use in a production environment. The research for the cloud-based approach revealed some creative solutions. For example, a RADIUS server or captive portal can be run entirely in the cloud. With Zscaler, there is a product that follows a different philosophy and uses the zero-trust model in the cloud, allowing permissions to be defined in a more finegrained way compared to RADIUS server or Captive Portal.
Keywords (deu)
Klein- und MittelbetriebComputersicherheitAuthentifikation
Type (eng)
other
Language
[deu]
Persistent identifier
https://phaidra.ustp.at/o:7125
AC number
AC16865825
License
All rights reserved
University of Applied Sciences St. Pölten | Campus-Platz 1 | A-3100 St. Pölten | T +43/2742/313 228-234
Impressum | Terms of Use | Credits