NAC-Projekte planen und ausrollen

ByoD-Trend sorgt für Revival von Network Access Control

Channel Systems Engineer bei ForeScout Technologies
Der stetig zunehmende Trend zu ByoD (Bring your own Device) veranlasst Unternehmen, sich eingehender mit ihren Netzwerken und ihrer Einstellung zur Sicherheit zu beschäftigen. So kommt es, dass immer mehr IT-Experten erneut über Network Access Control (NAC) nachdenken.
NAC und MDM sind ein gutes Team, um das Thema ByoD abzusichern.
NAC und MDM sind ein gutes Team, um das Thema ByoD abzusichern.
Foto: VLADGRIN, Shutterstock

NAC stand vor zwei oder drei Jahren auf der Top-Ten-Liste umzusetzender IT-Projekte, war allerdings gleichzeitig stets einer der ersten Projekte die Budget-Kürzungen zum Opfer fielen. Jetzt, da das ByoD-Phänomen Geschwindigkeit aufnimmt, steigt die Notwendigkeit, Unternehmensnetze und -daten zu sichern. Dieser Trend sorgt dafür, dass sich immer mehr IT-Experten die Frage stellen, ob ihr Unternehmen bereit für NAC ist. Hier einige Vorschläge, wie ein solches Projekt geplant und erfolgreich in die Wege geleitet werden kann.

Welche Aufgabe erfüllt NAC?

Wie der Name Network Acces Control schon vermuten lässt, verwaltet NAC Verbindungen von Menschen und Geräten mit dem Netzwerk. Daneben kontrolliert es den Zugriff der Mitarbeiter auf die Daten durch die IT. In den meisten Fällen ist ein ByoD-Programm der Auslöser für den Bedarf an NAC, oft wird darunter jedoch ein reines Guest-Access-Programm verstanden. NAC kann sicherlich in beiden Fällen hilfreich sein. Allerdings ist es wichtig sich über den Unterschied zwischen beiden Programmen im Klaren zu sein:

  • ByoD-Initiativen zielen darauf ab, Mitarbeitern von ihren persönlichen Geräten - Tablets, Smartphones und Laptops - aus Zugriff auf Unternehmensdaten zu gewähren.

  • Beim Guest Access erlaubt das Management Mitarbeitern, ihre persönlichen Geräte mit ins Büro zu nehmen, schränkt ihre Nutzung aber lediglich in Bezug auf den Internet-Zugang ein.

Soll beides - Guest Access und ByoD - umgesetzt werden, muss zunächst überprüft werden, ob Mitarbeiter ihre LDAP-Credentials (z.B. via Active Directory, eDirectory etc.) nutzen, um Zugriff auf Daten des Unternehmensnetzwerks zu erlangen. Im Gegensatz dazu können auch vorbestimmte Credentials, die auf der NAC-Appliance konfiguriert werden können, für den Zugriff genutzt werden. Wird den Mitarbeitern Zugriff auf Unternehmensinformationen erlaubt, muss entschieden werden wie weit dieser Zugriff reichen soll. Mittels NAC können diese Vorgaben effektiv umgesetzt werden.

Eine dieser Vorgaben könnte regeln, worauf Mitarbeiter je nach Funktion, Standort, Tageszeit usw. Zugriff haben sollen. Es gibt beispielsweise keinen Grund, warum jemand aus der Finanzabteilung Zugriff auf das Datenzentrum haben sollte, wenn es für diese Mitarbeiter keinen Grund gibt, sich dort überhaupt aufzuhalten. Umgekehrt gibt es für die IT-Mitarbeiter keinen Grund, auf den Server der Lohnabrechnungsdaten zuzugreifen - es sei denn für Wartungsarbeiten. Mittels NAC können Richtlinien und Kontrollen festgelegt werden, die bei der Zugriffsverwaltung unterstützen. Zu diesen Richtlinien gehören insbesondere

  • Antivirus-Verifizierung: Welche Antivirusmarke wird unterstützt? Entspricht sie der aktuellsten Version?

  • Prüfungen des Betriebssystems: Welches Betriebssystem läuft? Werden alle Patches angewandt? Laufen nicht autorisierte Anwendungen oder fehlen erforderliche Anwendungen?

Darüber hinaus gibt es gibt noch viel mehr Möglichkeiten, die zu berücksichtigen sind. Wenn eine NAC-Lösung eingeführt wird, sollte im Vorfeld klar sein, welche Kontrollen genau gefordert sind und nach welchen Richtlinien verfahren werden soll.

Ein weiterer Vorteil von NAC ist, dass sogenannte "headless devices" wie z.B. Drucker, IP-Kameras, Telefone usw. automatisch integriert werden können. Eine moderne NAC-Lösung ist üblicherweise in der Lage, jedes drahtgebundene oder drahtlose Gerät, das sich potentiell mit dem Firmennetzwerk verbinden könnte, zu identifizieren und zu klassifizieren. Sobald ein Gerät identifiziert ist, ist NAC in der Lage für den richtigen Zugriff auf das Netzwerk zu sorgen.

Wie wird der Zugriff verwaltet?

Nachdem klar ist, was mit der NAC-Lösung erreicht werden soll, gilt es festzulegen, wie die Einführung der Lösung am besten umzusetzen ist, damit die unterschiedlichen Funktionen zuverlässig festgelegt werden können. Einige der Funktionen verwalten den Zugriff selbst, während andere die Endpunkte abfragen um sicherzustellen, dass sie die eingeführten Richtlinien erfüllen. Für die Verwaltung des Zugriffs auf das Netzwerk stehen grundsätzlich zwei unterschiedliche Methoden zur Verfügung; VLAN-Neuordnung und Access Control Lists (ACLs). Daneben gibt es eine weitere Alternative, die Virtual Firewall. Diese Funktion ermöglicht die Zugriffskontrolle aller Geräte die versuchen eine Verbindung zum Netzwerk herzustellen.

VLAN-Neuordnung ist das gebräuchlichste Verfahren der Zugangskontrolle. Stellt ein Gerät eine Verbindung her und verfügt über die entsprechende Authentifizierung, kann NAC das Gerät dem vorbestimmten VLAN zuordnen. Dies wird durch die Integration der Netzwerk-Switches, Router und Wireless Controller erreicht. Diese dynamische VLAN-Zuordnung erfolgt temporär - wenn ein Gerät die Verbindung trennt und ein anderes Gerät die Verbindung herstellt, kann diesem Port, oder innerhalb der SSID, ein neues VLAN zugewiesen werden.

Dynamische ACLs sind eine andere Umsetzungsmethode. Sie sind zwar nicht so weit verbreitet, können aber genauso wirksam sein. In manchen Fällen wird sogar eine Kombination aus VLANs und ACLs verwendet. Ein Nutzer kann beispielsweise die Verbindung zum Netzwerk herstellen, einem VLAN zugewiesen werden und, entsprechend ihrer Authentifizierung, ACLs zur Beschränkung des Zugriffs einsetzen.

Wer muss miteinbezogen werden?

Bei der Einführung einer NAC-Lösung ist es wichtig, verschiedene Teams möglichst frühzeitig mit ins Boot zu nehmen: Das Netzwerk-Team muss mit einbezogen werden, da NAC in die Netzeinrichtungen integriert werden muss. Dies schließt SNMP-read/write und die Rechte Änderungen an der Switch-Konfiguration vorzunehmen ein.

Ein weiteres Team, das einbezogen werden sollte, ist das Sicherheits-Team. So gibt es üblicherweise spezielle Anforderungen oder Richtlinien, die Bestand haben müssen um die Unternehmenssicherheit zu gewährleisten. Darüber hinaus erfordert NAC die Abfrage der Endpunkte, weshalb auch das Desktop-Support-Team mit ins Boot geholt werden sollte. Gleich, ob ein Agent genutzt oder eine agentenlose Methode angewandt wird, am Endpunkt werden Änderungen vorgenommen und deshalb muss das Desktop-Team informiert werden.

Bei der Planung einer NAC müssen also viele verschiedene Entscheidungen getroffen und Überlegungen angestellt werden. Je besser man vorbereitet ist, je mehr Zeit man auf die gründliche Planung verwendet, desto erfolgreicher wird die Implementierung. In einer dynamischen Welt gibt es stetig Veränderungen - genauso dynamisch muss auch eine NAC-Lösung sein: es entstehen stetig neue Geschäfts- und Sicherheitsrichtlinien und es ist essentiell, diese laufend in die NAC-Pläne zu integrieren. (mb)

* Ken Daniels ist Channel Systems Engineer bei Forescout Technologies