Nicht selten gibt es Konflikte zwischen Verfügbarkeit und anderen Sicherheitsgrundwerten. Zum Beispiel werden zum Erreichen von Vertraulichkeit eine Reihe von Mechanismen angewandt, zu denen Netzzugriffskontrolle gehört. Netzzugriffskontrolle (Network Access Control, NAC) kann jedoch unter Umständen die Verfügbarkeit beeinträchtigen.
Ein Fall aus der Praxis
Ein Unternehmen hatte für die Verbesserung der Informationssicherheit NAC eingeführt. Endgeräte wurden durch Kommunikation von LAN-Switches mit einem Authentisierungsserver authentisiert. Der Authentisierungsserver wiederum nutzte dazu Informationen aus Microsoft Active Directory (AD). Eines Morgens konnten tausende User ihre PCs nicht nutzen. Es stellte sich heraus, dass die Authentisierung im Rahmen von NAC nicht funktionierte und die PCs vom produktiven Netz ausgeschlossen wurden.
Was war passiert?
Die PCs mussten sich gegenüber dem LAN-Switch authentisieren. Die ausgewählte Methode zur Authentisierung sah eine Einbeziehung eines AD-Domain-Controllers (DC) vor. Der Authentisierungsserver leitete die Anfragen der Switches zur Authentisierung der Endgeräte an einen DC weiter. Dieser hatte die Anfragen zur Authentisierung von tausenden PCs negativ beschieden. Der Authentisierungsserver verweigerte daraufhin die Bestätigung der Authentisierung der PCs. Die Switches schlossen die PCs vom produktiven Netz aus.
War das Problem vermeidbar?
Das Problem hätte vermieden werden können. Active Directory ist ein verteiltes System. In diesem System werden die Informationen über Endgeräte, User und ihre Berechtigungen zwischen DCs ausgetauscht (repliziert). In jedem verteilten System kann es hin und wieder passieren, dass die Replikation der Information zu einem Knoten misslingt. Dafür kann es verschiedene Gründe geben, von Fehlkonfiguration bis hin zur Hardware-Überlastung. Deshalb ist es wichtig, dass Authentisierungsanfragen an verschiedene DCs geschickt werden. Jeder AD-Teilnehmer kennt deshalb eine Liste von DCs und nicht nur einen einzigen. Im besagten Fall hätte der Authentisierungsserver nicht bei der ersten negativen Antwort aufgeben, sondern weitere DCs fragen sollen. Dann wäre es nicht zu dem Problem gekommen.
Was lernen wir daraus?
Damit Konflikte zwischen Verfügbarkeit und anderen Sicherheitsgrundwerten aufgelöst oder zumindest minimiert werden, bedarf es eines möglichst umfassenden Testplans, in dem mögliche Ausfallszenarien durchgespielt werden. Im beschriebenen Fall hätte die misslungene Replikation zu einem DC als Ausfallursache getestet werden sollen. Dann wäre das Fehlverhalten des Authentisierungsservers aufgefallen.
Der Netzwerk Insider gehört mit seinen Produkt- und Markt-Bewertungen rund um IT-Infrastrukturen zu den führenden deutschen Technologie-Magazinen. Der Bezug des Netzwerk Insiders ist kostenlos.