Ratgeber für Reseller

NAC - so sichern Sie ein Netzwerk ab

25.08.2009 von Thomas Hruby
In Zeiten von Datendiebstahl und -missbrauch ist ein zuverlässiges Sicherheitssystem für Unternehmensnetze obligatorisch. Unter dem Schlagwort NAC (Network Access Control) existieren Lösungen, die automatisch den Zugang regeln sollen.

In Zeiten von Datendiebstahl und -missbrauch ist ein zuverlässiges Sicherheitssystem für Unternehmensnetze obligatorisch. Unter dem Schlagwort NAC (Network Access Control) existieren Lösungen, die automatisch den Zugang regeln sollen.

Ein NAC-Lösung kontrolliert mit einem mehrstufigen Verfahren den Zugang zum Netz.
Foto: sxc.hu

Eine automatische Zugangskontrolle für das eigene Netz? Für viele Netzverantwortliche klingt das nach der Erfüllung ihrer geheimsten Wünsche. Doch die Komplexität und Kosten einer solchen Lösung schrecken viele Firmen davon ab, das Ziel einer verlässlichen und sicheren Netzwerkzugangskontrolle zu verfolgen. Die Vorteile überwiegen jedoch, so dass sich die Implementierung auf Basis eines durchdachten Konzepts lohnt.

Sinn und Zweck eines Kontrollsystems für den Netzzugang ist, dass nur die Geräte Zutritt zu einem Netz erhalten, die nach vorheriger Prüfung als ungefährlich eingestuft werden. Somit wahrt das System die vom Unternehmen aufgestellten Policies und leistet einen wichtigen Beitrag zur Compliance.

So funktioniert NAC

Ein NAC-Lösung (Network Access Control) soll in einem mehrstufigen Verfahren automatisch den Zugang zum Netz regeln:

  • eindeutige Identifizierung der Geräte

  • Prüfung, ob der Rechner die Sicherheitsforderungen des Netzes erfüllt

  • Falls nein - Gerät kommt in Quarantäne

  • Nach Wiederherstellung der Sicherheitsfunktionen erfolgt Zutritt zum Netz.

Für eine effiziente NAC ist eine eindeutige Identifizierung der angeschlossenen Geräte die Grundvoraussetzung. Dabei wird geprüft, ob sie den Sicherheitsanforderungen des Netzes entsprechen. Rechner, die sich dabei als "nicht konform" erweisen, landen automatisch in Quarantäne und werden erst nach Wiederherstellung der Sicherheitsfunktionen für den Eintritt ins Netzwerk zugelassen. Des Weiteren ermöglicht NAC das Erstellen und Verwalten individueller Richtlinien und Rollen für verschiedene Nutzergruppen wie Gast-User.

Der Weg erscheint mühsam

Obwohl die Vorteile klar auf der Hand liegen, scheuen sich viele Firmen davor, ein NAC-Projekt zu realisieren - nicht zuletzt aufgrund der hohen Kosten. Zudem sind viele NAC-Lösungen teuer, komplex oder lassen sich leicht umgehen. Einfache Plug-and-Play-Lösungen gibt es nicht; stattdessen ist ein hohes Maß an Konzeption im Vorfeld erforderlich.

In diesem Zusammenhang verfolgen Hersteller verschiedene Ansätze. Viele davon erfordern die Anschaffung einer komplexen Netzwerkarchitektur, die nicht selten auf Komponenten basiert, die in absehbarer Zeit überholt sein werden. Des Weiteren gibt es Lösungen, die nicht alle Teilbereiche eines Netzwerks berücksichtigen und beispielsweise ältere Komponenten außer Acht lassen, so dass weiterhin gefährliche Sicherheitslücken bestehen. Da jede NAC-Lösung zunächst eine Prozedur zur Netzwerkerkennung durchläuft, bei der viele manuelle Eingaben erfolgen müssen, gestaltet sich der Implementierungsprozess oft kompliziert und langatmig. Das gilt insbesondere, wenn Geräte erkannt werden müssen, die sich hinter Firewalls befinden oder nicht zentral administrierbar sind. Zudem wirft der Eingriff in Fremdrechner, etwa von Gast-Usern, rechtliche Fragen auf, beispielsweise bei der Installation spezieller Clients. Die Quintessenz: Der Markt ist verunsichert, und in Unternehmen bleiben erhebliche Sicherheitslücken.

Trotz aller Schwierigkeiten ist eine vollständige und verlässliche NAC, die im Rahmen des jeweiligen Security-Budgets bleibt und sich in das bereits vorhandene Netzwerk-Setup einfügen lässt, realisierbar und lohnenswert. Dazu sind aber einige Punkte zu berücksichtigen.

Transparenz ist der Schlüssel

Mit mobilen Endgeräten werden leicht digitale Schädlinge ins eigene Netz eingeschleppt, wenn keine Kontrolle stattfindet.

Wie kann ein Netzwerk gegen Zugriffe von Fremdgeräten gesichert werden, wenn es nicht imstande ist, diese zu erkennen? Fakt ist, dass es mit lediglich partiellen Kenntnissen eines Netzwerks praktisch unmöglich ist, dieses sicher zu gestalten. Demnach müssen als Basis immer die Sichtbarkeit sowie die Identifizierung der Netzwerkkomponenten in Echtzeit gewährleistet sein. Ist dies nicht der Fall und werden lediglich bereits bekannte Geräte überwacht, ist das Netzwerk offen für Schädlinge, die sich von Fremd- oder nicht überprüften Rechnern einspeisen.

Daher ist es von zentraler Bedeutung, dass eine NAC-Lösung ein vollständiges Inventar aller im Netzwerk vertretenen Geräte anlegt und regelmäßig aktualisiert. Dabei sollte ebenfalls für Hardware-Firewalls und nicht verwaltbare beziehungsweise virtuelle Systeme ein ausführliches Profil angelegt werden. Zur Sichtbarkeit zählt auch, dass eine akkurate physikalische Karte des Netzwerks erstellt wird, um die vollständige IT-Infrastruktur abzubilden. Sie dient IT-Verantwortlichen als Grundlage für die zu ergreifenden Sicherheitsmaßnahmen.

Audit und Compliance

Das Einhalten von Sicherheitsrichtlinien wird durch verschärfte Gesetze zur Pflicht. Unternehmen müssen nachweisen können, dass sie alles in ihrer Macht Stehende tun, um einen wirksamen Schutz ihrer beziehungsweise der Kundendaten zu gewährleisten. NAC kommt dabei eine gewichtige Rolle zu, da es für jedes Gerät ein Profil erstellt, welches nach jeder Sicherheitsprüfung (Audit) aktualisiert wird. Darin enthalten sind User-Informationen, Funktionen und die eingesetzte Soft- und Hardware. Die Profile fungieren als Basis für die Entscheidung, ob ein Gerät den bestehenden Anforderungen durch Policies entspricht und ihm der Zugang zum Netz gewährt wird oder nicht.

Hierbei ist es wichtig, dass wiederum sämtliche Systeme erfasst werden. Im Zuge der regelmäßigen Überprüfung identifizieren Audits Geräte, die nicht-konform, ungemanagt oder bösartig sind, noch bevor sie mit der Netzzugangskontrolle in Berührung kommen. Des Weiteren werden jegliche Änderungen an einem System - seien es beispielsweise von Mitarbeitern installierte Programme auf Software- oder der Anschluss fremder Datenträger auf Hardwareebene - durch die Audits erkannt und gemeldet. Die jeweiligen Sicherheitsprüfungen werden in Form von Berichten gespeichert und bieten somit bei Compliance-Prüfungen die erforderlichen Nachweise über die Sicherheitsbemühungen eines Unternehmens.

Anforderungen an eine NAC-Lösung

Jede Netzwerkzugangskontrolle muss in Echtzeit operieren. Nur so lässt sich sicherstellen, dass sämtliche neu angeschlossenen Geräte sofort erkannt und in den NAC-Prozess mit einbezogen werden. Ohne Echtzeitkontrolle haben Angreifer eine große Auswahl an Möglichkeiten, ein Netzwerk zu attackieren und Schadcode einzuschleusen. Aus diesem Grund wird für unbekannte oder bei einer Prüfung aufgefallene Geräte eine Quarantänefunktion verwendet, die einen wichtigen Puffer vor dem eigentlichen Netzwerk bildet und mit diesem keine gemeinsame infrastrukturelle Basis haben darf. Daher sollte eine übergreifende Security Policy die Behandlung von Fremdgeräten für das gesamte Unternehmen einheitlich regeln, so dass es nicht in bestimmten Abteilungen zu Ausnahmefällen komm

Innerhalb der Quarantäne müssen standardisierte Sicherheits-Checks vorgenommen werden. Hierbei analysiert die NAC beispielsweise, ob aktuelle Service Packs, Patches, Updates oder eine aktive Antivirussoftware auf dem jeweiligen System installiert sind. Zutritt zum Netzwerk wird erst dann gewährt, wenn ein Check vollständig erfolgreich ausfällt. Rechner, bei denen die NAC nicht Policy-konforme Änderungen feststellt, müssen dieselbe Prozedur durchlaufen. Anhand der gespeicherten Profile sollte eine Lösung auch erkennen, ob zum Beispiel die MAC-Adresse eines Rechners missbraucht wird, um ein Fremdgerät ins Netzwerk zu schmuggeln.

Von Vorteil ist für den Benutzer eine transparent agierende NAC. Das bedeutet, dass das System lediglich im Falle eines Verstoßes gegen die bestehenden Sicherheitsrichtlinien bemerkt wird, da es den Benutzer aus dem Netzwerk ausschließt. Konforme User werden ohne eine gesonderte Anmeldeprozedur völlig unauffällig durch den NAC-Prozess geleitet.

Soll die Möglichkeit gegeben werden, dass auch Besucher Zutritt zum Unternehmensnetz erhalten, steigen die Anforderungen an die Flexibilität eines NAC-Systems immens. Da die Gäste nicht von der NAC gemanagt werden, bedürfen sie einer Sonderbehandlung, bei der sichergestellt wird, dass keine Schädlinge ins Netzwerk hinein- beziehungsweise keine vertraulichen Daten hinausgelangen. Dementsprechend muss die NAC sie identifizieren und automatisch nur für ein im Vorfeld festgelegtes, mit starken Einschränkungen verbundenes Benutzerprofil autorisieren.

Geht es um die Einhaltung von Policies, bedingen viele NAC-Lösungen ein blindes Handeln der Benutzer. Die Konsequenzen der umgesetzten Richtlinien lassen sich oftmals nicht vorhersagen, so dass eventuell fehlerhafte Policies einen erheblichen Schaden in der IT-Infrastruktur eines Unternehmens anrichten. Eine gute Netzzugangskontrolle beinhaltet daher die Möglichkeit, das Umsetzen bestimmter Richtlinien im Vorfeld zu simulieren. Zuletzt sollte eine NAC-Lösung das gesamte Spektrum eines Netzwerkes abdecken.

Fazit

Network Access Control sollte als Sicherheitsmethodik betrachtet werden. Eine NAC-Lösung lohnt sich nur dann, wenn sie im ersten Schritt das Netz grundlegend überprüft. Dazu erstellt sie Profile von jeglichen Geräten, die mit dem Netzwerk verbunden sind, und erkennt dabei die nicht konformen, unbekannten und unautorisierten Geräte, noch bevor die NAC-Prozesse aktiviert werden.

Lesen Sie auch folgende Ratgeber:

Die besten Netzwerktools für kleinere Windows-LANs

So verkaufen Sie Kunden den richtigen Virenscanner

PC zu langsam? So helfen Sie Ihren Kunden

Datenvernichtung: In fünf Schritten zur sauberen Festplatte

Ferner sollte eine Netzwerkzugangskontrolle in hohem Maße skalierbar sowie relativ einfach in die gesamte IT-Infrastruktur zu implementieren sein, um sich schnell zu rentieren. Eine Lösung, die alle oben genannten Punkte erfüllt, bietet beispielsweise der Hersteller Insightix an. Hierbei handelt es sich um eine umfassende Zugangskontrolle in Echtzeit, wobei garantiert ist, dass nur autorisierte sowie Compliance-konforme Geräte Zugriff auf das Netzwerk erhalten beziehungsweise in diesem operieren dürfen. (computerwoche/cm)