zurück zur Übersicht

Geschlossene Benutzergruppen für sichere Netze

Kategorien:

Für Aufbau und Betrieb sicherer Netze sind geschlossene Benutzergruppen in vielen Bereichen unumgänglilch. So wird der geschlossene Anwenderkreis z.B. von der Energiewirtschaft oder der Sicherheitsbranche vorausgesetzt.

Realisiert wird die geschlossene Benutzergruppe u.a. durch das ITENOS-eigene Radius-System. Ein Radius-System ist ein sog. Triple-A-System (AAA), also ein System, das drei Funktionen ermöglicht: Authentifizierung, Autorisierung und Accounting. Es steht für „Remote Authentication Dial In User Service“. Ein Triple-A bzw. Radius-System wird in der Regel dazu verwendet, Zugänge bzw. Zugriffe auf ein Netzwerk zu gewähren oder ggf. zu verwehren und die Kommunikation zu ermöglichen.

Authentifizierung und Autorisierung sind dabei – obwohl häufig in einen Topf geworfen – unterschiedliche Dinge. Bei der Authentifizierung geht es darum, festzustellen, ob der Benutzer tatsächlich derjenige ist, für den er sich ausgibt. Hier kommt in der Regel eine Benutzername-Passwort-Überprüfung zum Einsatz. Auf welche Dienste und Leistungen der Benutzer tatsächlich zugreifen darf, welche Rechte er eingeräumt bekommt, das festzulegen, ist Aufgabe der Autorisierung. Darf der Kunde den Zugang momentan überhaupt benutzen? Bekommt er eine feste IP-Adresse? Hat er Zugriff auf Mehrwertdienste? All dies ist Gegenstand der Autorisierung.

Bleibt die Aufgabe des Accountings bzw. der Abrechnung. Hierbei geht es um die Erfassung der Leistungsdaten, in der Regel die Zugriffsdauer und das Übertragungsvolumen. Auch hier ist Radius hilfreich und bietet geeignete Mechanismen an.

Auch bei ITENOS setzen wir Radius-Systeme mit Triple-A-Funktionen ein. Prominentes Beispiel ist die Plattform ProtectService, in der wir mit dem dort integrierten Radius-System die Filialen unserer Protect-Kunden authentifizieren, autorisieren und das Datenvolumen sowie die Verbindungsdauer aller Verbindungen erfassen (Accounting).

Das Radius-System ist eine für die Funktionsfähigkeit der Plattform zentrale und sehr wichtige Funktion, die hinsichtlich ihrer Verfügbarkeit und Kapazität den höchsten Anforderungen entsprechen muss. Wir haben nun unsere Radius-Umgebung weiter optimiert:

  • Mehrfache Redundanz aufgebaut
  • Georedundanz über zwei Standorte realisiert
  • Skalierbarkeit auf weitere Redundanzknoten ermöglicht
  • Erhöhung der Performance für die gleichzeitige Einwahl von Filialen (call-setup-rate)
  • Optimierung der betrieblichen Verfahren

Die grundsätzliche Architektur der Radius-Umgebung zeigt nachfolgendes Schaubild exemplarisch:

Die Triple-A-Funktionen bilden die dargestellten FreeRadius-Nodes ab, die von den Netz-Komponenten der Plattform ProtectService (im Schaubild LNS 1-n) bei einem Verbindungsaufbau einer Filiale hinsichtlich der Authentifizierung und Autorisierung angefragt werden. Die Accounting-Daten und Logging-Daten werden von den Radius-Nodes kontinuierlich je Verbindung erfasst und gespeichert.

Alle Daten der Triple-A-Funktionen werden über eine zentrale Datenbank-Instanz (Meta-DB) synchronisiert, über die die betrieblichen Auswertungen, Analysen und Administrationen zentral erfolgen können.