|
|
|
 |
|
|
|
ODYSSEY STEEL BELTED RADIUS SERVER |
 |
|
|
|
Überblick über das Produkt Fragen? Wir beraten Sie gerne!
Odyssey ist eine Lösung zur Verwaltung des WLAN-Zugriffs und der WLAN-Sicherheit, die nicht nur für optimale Sicherheit beim Funkverkehr sorgt, sondern sich auch schnell und einfach unternehmensweit installieren und verwalten lässt.
Odyssey enthält sowohl Client- als auch Serversoftware. Die Lösung sichert die Authentifizierung und Verbindung von WLAN-Benutzern und sorgt so dafür, dass nur autorisierte Benutzer eine Verbindung zum WLAN herstellen können, dass die Anmeldeinformationen nicht in unbefugte Hände geraten und dass die Vertraulichkeit der Daten gewahrt bleibt.
Odyssey basiert auf dem IEEE-Sicherheitsstandard 802.1x und unterstützt eine breite Palette von 802.1x-Sicherheitsverfahren, einschließlich des effektiven und einfach zu verwaltenden Sicherheitsverfahrens EAP-TTLS.
EAP-TTLS bietet den entscheidenden Vorteil, dass es nicht verlangt, auf jedem WLAN-fähigen PC Clientzertifikate einzurichten und diese zu verwalten. Stattdessen wird der WLAN-Benutzer mittels gewöhnlicher kennwortbasierter Anmeldeinformationen gegenüber dem Netzwerk authentifiziert, wobei die Anmeldeinformationen gegen aktive und passive Angriffe geschützt werden, indem sie in einem TLS-Sicherheits-Wrapper eingeschlossen sind. Sie können den WLAN-Zugang ohne Sicherheitseinbußen zusammen mit ihrer vorhandenen Authentifizierungsinfrastruktur bereitstellen und so den Verwaltungsaufwand beträchtlich senken. Darüber hinaus dürfen die Benutzer weiterhin die Anmeldeinformationen verwenden, an die sie sich gewöhnt haben.
Odyssey Client kann auf verschiedenen Windows-Plattformen ausgeführt werden. Sowohl Odyssey Client als auch Odyssey Server unterstützen alle 802.1x-fähigen Geräte und bieten so maximale herstellerübergreifende Kompatibilität.
Odyssey Client
Läuft unter WindowsXP, 2000, 98, Me, PocketPC2002 und Windows Mobile2003 für PocketPC und ermöglicht die Herstellung sicherer Verbindungen zu WLANs. Der Client kann mit Odyssey Server oder anderen Authentifizierungsservern kommunizieren, die einen der Odyssey-Authentifizierungstypen unterstützen, um die erforderlichen Sicherheits- und Verbindungsinformationen abzurufen.
Odyssey Server
Odyssey Server ist ein RADIUS-Server für den Umgang mit WLAN-Benutzern und die WLAN-Sicherheit. Er verarbeitet Verbindungsanfragen von Odyssey Clients und anderen 802.1x-Clients, die WLAN-Authentifizierungstypen unterstützen.
Odyssey ist sowohl als Client/Server-System als auch als Standalone-Client erhältlich.
Unterstützung verschiedener Authentifizierungstypen
Wie sicher ein WLAN ist, hängt davon ab, welcher „EAP-Authentifizierungstyp“ verwendet wird. EAP (Extensible Authentication Protocol)-Authentifizierungstypen bieten Anmeldedatensicherheit, Datensicherheit oder beides. Odyssey unterstützt die folgenden EAP-Authentifizierungstypen:
EAP-TTLS ist ein IETF-Entwurf, der von Funk Software und Certicom gemeinsam erarbeitet wurde und in den Rang eines Arbeitsdokuments der PPP Extensions Group erhoben wurde. EAP-TTLS ermöglicht die sichere Benutzerauthentifizierung, wobei zum Verschlüsseln der kennwortbasierten Anmeldeinformationen ein TLS-Tunnel verwendet wird. Ohne diese Tunnelung könnten die auf dem Funkweg übertragenen Anmeldeinformationen mittels eines Wörterbuchangriffs ausspioniert werden. Dieses Verfahren bietet ein hohes Maß an Sicherheit und unterstützt dabei weiterhin auch ältere Kennwortprotokolle – dies ermöglicht die schnelle Bereitstellung der Lösung und deren Einbindung in Ihre vorhandene Sicherheitsinfrastruktur. EAP-TTLS wird von Odyssey Client, Odyssey Client for Pocket PC und Odyssey Server unterstützt.
EAP-PEAP ähnelt EAP-TTLS und bietet ein ähnliches Sicherheitslevel. Bei Verwendung von EAP-PEAP kann jedoch nur EAP als Protokoll innerhalb des Tunnels verwendet werden. EAP-PEAP eignet sich für den Einsatz mit Windows Active Directory und Domänen (via EAP-MS-CHAP-V2). Odyssey Client und Odyssey Server unterstützen sowohl die Microsoft- als auch die Cisco-Version von EAP-PEAP.
EAP-TLS ist eine Weiterentwicklung des Protokolls SSL (Secure Socket Layer). Das Protokoll bietet ein hohes Maß an Sicherheit, nutzt zur Benutzerauthentifizierung jedoch Clientzertifikate. EAP-TLS wird sowohl von Odyssey Client als auch von Odyssey Server unterstützt.
LEAP kommt vor allem bei WLAN-Clients zum Einsatz, die eine Verbindung zu Cisco-WLAN-Access-Points (z.B. Cisco Aironet Series) herstellen. LEAP wird von Odyssey Client, Odyssey Client for Pocket PC und Odyssey Server unterstützt.
EAP-MD5 macht im Prinzip nichts anderes, als den CHAP-Kennwortschutz im WLAN zu duplizieren. EAP-MD5 bietet eine Art EAP-Basisunterstützung für 802.1x-Geräte. EAP-MD5 wird von Odyssey Client unterstützt.
Dort, wo Sicherheit eine große Rolle spielt, empfehlen wir die Verwendung von EAP-TTLS, EAP-PEAP oder EAP-TLS.
Vorteile von EAP-TTLS
Einer der Hauptvorteile von EAP-TTLS besteht darin, dass er komplette Sicherheit für die Anmeldeinformationen von Benutzern (also Benutzername und Kennwort) bietet, während diese für den Netzwerkzugang authentifiziert werden.
Mit EAP-TTLS werden die Identitäts- und Kennwortinformationen des WLAN-Benutzers während der Authentifizierung getunnelt und können so nicht über den Kommunikationskanal beobachtet werden. Diese hohe Sicherheit verhindert Wörterbuchangriffe und die Entführung von Verbindungen durch WLAN-Spione und schützt Ihr Netzwerk vor den Folgen, die ein Angreifer anrichten kann, wenn er sich mit gültigen Anmeldeinformationen Zugang verschafft.
EAP-PEAP und EAP-TLS bieten ein ebenso hohes Maß an Sicherheit für die Anmeldeinformationen. Bei LEAP können zu kurze oder zu einfach gestaltete Kennwörter leicht durch Wörterbuchangriffe ausspioniert werden.
Ein zweiter großer Vorteil von EAP-TTLS besteht darin, dass dieses Verfahren alle großen Kennwortprotokolle, einschließlich PAP, CHAP, MS-CHAP, MS-CHAP-V2, EAP-MD5Challenge und EAP-TokenCard, unterstützt.
Mit EAP-TTLS können WLAN-Benutzer sichere Verbindungen mit den gewohnten Anmeldeinformationen aufbauen, ohne dabei Gefahr zu laufen, dass das Kennwort durch kryptografische Angriffe „gehackt“ wird. Auf diese Weise können Sie die Verwaltung der Benutzer im kabelgebundenen Netzwerk mit der der Benutzer im WLAN zusammenführen, während die WLAN-Benutzer weiterhin die bekannten Anmeldeinformationen nutzen können, sodass der Zugang zum WLAN nicht unnötig erschwert wird.
Odyssey Server kann WLAN-Benutzer direkt für Windows NT-Domänen oder native Windows2000-Domänen authentifizieren. EAP-TTLS-Anfragen können zur Authentifizierung von WLAN-Benutzern mittels Nicht-Windows-Datenbanken, wie Token-Systemen oder SQL/LDAP, auch an andere RADIUS-Server, z.B. den Steel-Belted Radius-Server von Funk Software, weitergeleitet werden.
Ein dritter wichtiger Vorteil von EAP-TTLS besteht darin, dass bei diesem Verfahren keine Clientzertifikate erforderlich sind, um die Anmeldeinformationen wirksam zu schützen.
Sowohl EAP-TTLS als auch EAP-TLS verwenden für die effektive Verschlüsselung das Protokoll TLS (Transport Layer Security, den Nachfolger von SSL). Der Unterschied bei EAP-TTLS liegt darin, dass nur die RADIUS-Server Zertifikate benötigen, nicht aber die einzelnen Benutzer. Der WLAN-Benutzer wird gegenüber dem Netzwerk mittels gewöhnlicher kennwortbasierter Anmeldeinformationen authentifiziert, wobei die Anmeldeinformationen gegen aktive und passive Angriffe geschützt werden, indem sie in einem TLS-Sicherheits-Wrapper eingeschlossen sind.
EAP-TTLS erspart Administratoren die aufwendige Einrichtung und Wartung einer Zertifikatinfrastruktur. Da bei EAP-TLS jeder Benutzer ein Zertifikat haben muss, müssen Unternehmen, die dieses Verfahren einzusetzen gedenken, mit einem hohen Administrationsaufwand bei der Unterhaltung einer CA (Certificate Authority) für die Verteilung, Rücknahme und anderweitige Verwaltung der Benutzerzertifikate rechnen.
Während EAP-TLS ein hohes Maß an Sicherheit bietet und sich für Unternehmen eignet, bei denen bereits eine PKI-Infrastruktur im Einsatz ist, erfordert EAP-TTLS bei einem ähnlich hohen Sicherheitslevel nur wenig zusätzlichen Aufwand gegenüber der Arbeit, die Sie bereits für die Administration Ihrer Windows-Benutzer aufbringen müssen.
Zusätzliche Sicherheits-Features
Bei EAP-TTLS werden dynamische, sitzungsspezifische Schlüssel generiert, um die WLAN-Verbindung zu verschlüsseln und die Vertraulichkeit der Daten zu schützen. Odyssey Server kann so konfiguriert werden, dass in beliebigen Intervallen eine erneute Authentifizierung stattfindet und, damit einhergehend, ein neuer Schlüssel erstellt wird. Die häufige Schlüsseländerung (sogenanntes „Re-keying“) bewahrt Sie vor bekannten Angriffen gegen die bei der WLAN-Kommunikation verwendete Verschlüsselungsmethode (WEP).
EAP-TTLS bietet darüber hinaus die effektive gegenseitige Authentifizierung zwischen Client und Odyssey Server und verhindert so Eindringversuche ins Netzwerk durch unbefugte Benutzer. Außerdem wird sichergestellt, dass sich der Client mit dem richtigen Server verbindet.
EAP-PEAP, EAP-TLS und LEAP verfügen ebenfalls über diese Sicherheitsfunktionen.
Authentifizierung
Odyssey kann WLAN-Benutzer sicher und direkt gegenüber der vorhandenen Authentifizierungsdatenbank für die native Windows2000-Domäne oder die NT-Domäne authentifizieren und bietet uneingeschränkte Unterstützung für Benutzer- und Gruppenzuordnungen.
Und für die nahtlose Integration in Netzwerke, die nicht ausschließlich Windows-basiert sind, kann Odyssey EAP-TTLS-Authentifizierungsanfragen auch an andere RADIUS-Server, wie den Steel-Belted Radius-Server von Funk Software, weiterleiten, um eine sichere Authentifizierung gegenüber nicht von Windows stammenden Authentifizierungsdatenbanken zu ermöglichen.
Wenn Sie Odyssey für die Weiterleitung von EAP-TTLS-Authentifizierungsanfragen an den Steel-Belted Radius-Server einrichten, können WLAN-Benutzer gegenüber den folgenden Systemen authentifiziert werden:Token-Systeme (RSA Security ACE/Server, SQL/LDAP-Datenbanken) TACACS+ Solaris NIS, NIS+ NT-Domänen/native Windows 2000-Domänen Jede Kombination aus den genannten Systemen
Kompatibilität im Sinn
Odyssey ist eine Komplettlösung, die bei Nutzung von EAP-TTLS neue Standards in puncto Sicherheit und Verwaltbarkeit setzt. Sie wurde so gestaltet, dass sie in einer Vielzahl von WLAN-Umgebungen und mit anderen 802.1x-Lösungen kompatibel ist.
Odyssey unterstützt eine große Vielfalt von WLAN-Netzwerkadaptern und -Access-Points, darunter Produkte von 3Com, Agere, Avaya, Cisco, Enterasys, Proxim und Symbol, und sorgt so für einen möglichst hohen Kompatibilitätsgrad in Ihrer Netzwerkumgebung.
Odyssey Server kann Verbindungen verwalten, die von Microsoft- (via EAP-PEAP oder EAP-TLS) oder Cisco- (via EAP-PEAP oder EAP-LEAP) 802.1x-Clients ausgehen, die bei Ihnen bereits installiert sind.
Odyssey Client ist mit Odyssey Server, Steel-Belted Radius und anderen EAP-kompatiblen RADIUS-Servern kompatibel, und da der Client mit gleichwertiger Sicherheitsfunktionalität ausgestattet ist und über Schnittstellen zu mehr Windows-Plattformen verfügt, ergänzt er hervorragend den nur für XP verfügbaren Microsoft-Client.
Mit Odyssey erhalten Sie die Flexibilität, einfach von einem Authentifizierungstyp zum anderen wechseln zu können. Odyssey Server kann problemlos sowohl LEAP- als auch EAP-TTLS-Methoden unterstützen, während Sie Ihre WLAN-Clients auf Odyssey/EAP-TTLS umstellen.
Einfache Bereitstellung im gesamten Unternehmen
Odyssey Client beinhaltet zahlreiche bequeme Funktionen für Benutzer und viele Bereitstellungstools für Netzwerkmanager. Diese leistungsfähige Kombination von Features ermöglicht eine schnelle Akzeptanz durch die Benutzer und eine deutliche Senkung der Support- und Schulungskosten. Außerdem lassen sich auf diese Weise schnell und einfach konfigurierte Clients auf allen WLAN-Geräten in Ihrem Zuständigkeitsbereich installieren.
Odyssey Server – ein RADIUS-Server, der speziell für die Verwaltung des WLAN-Zugriffs entwickelt wurde –, spiegelt die einfache Einrichtung, den zuverlässigen und leistungsfähigen Betrieb und die herstellerübergreifende Kompatibilität wider, die zum Markenzeichen von Steel-Belted Radius, dem marktführenden RADIUS/AAA-Server geworden ist.
Zur Vereinfachung der Berichterstellung und Diagnose unterhält Odyssey Server eine Protokolldatei, in der alle WLAN-Zugriffsaktivitäten aufgezeichnet werden. |
|
Druckbare Version
|
|
INTERMEC
