Von CW-Redakteur Martin Seiler

Seit einiger Zeit macht in der Security-Branche ein neues Konzept von sich reden, dem die Branchenriesen Cisco und Microsoft mit Begriffen wie Network Admission Control (NAC) beziehungsweise Network Access Protection (NAP) ihren Stempel aufzudrücken versuchen. Im Grunde geht es dabei immer darum, der zunehmenden Auflösung der Unternehmensgrenzen dadurch zu begegnen, dass man versucht, Clients beim Anmelden ans Netz daraufhin zu kontrollieren, ob sie die im Unternehmen geltenden Sicherheitsmaßnahmen erfüllen. Fallen sie durch die Sicherheitsprüfung, wird der Zugriff entweder eingeschränkt oder komplett verweigert.

Leider sind diese auch unter dem Oberbegriff Endpoint-Security vermarkteten Lösungen nur bedingt offen und setzen je nachdem, wie intensiv die Lösung genutzt werden soll, das Vorhandensein bestimmter Komponenten des jeweiligen Herstellers voraus. Dabei sind Anwender nicht gezwungen, sich auf eines der Konzepte festzulegen, sondern können auch auf Anbieter wie Consentry oder Mirage Networks ausweichen. Die haben Ansätze erarbeitet, wie man eine Netzzugangskontrolle für Clients realisieren kann, ohne dafür in die bestehende Infrastruktur eingreifen zu müssen.

NAC in a Box

Consentry hat hierfür seine Lösung "Lanshield" entwickelt, die jetzt in Version 2.0 vorliegt und laut Anbieter "NAC in a Box" bieten soll. Tom Barsi, President und CEO des drei Jahre alten kalifornischen Unternehmens, verspricht, dass Anwender "die existierende Infrastruktur nicht anfassen" müssen, wenn sie die Lösung einsetzen wollen.

Sie müssen sich hierfür lediglich Consentry-Produkte wie den "Lanshield Switch" oder den "Lanshield Controller" anschaffen. Diese bauen auf einer speziellen Architektur auf und verfügen neben einem 128-Core-Prozessor über zwei programmierbare Asics (Application-specific Integrated Circuits), um eine schnelle Reaktionszeit zu erreichen. Das eigens entwickelte Lanshield OS sorgt für die Kopplung von IP- und Hardware-Adresse mit den während des Anmeldeprozesses erfassten Anwenderinformationen.

Installiert wird die Komponente zwischen den Anwendern (gegebenenfalls mit einem Edge-Switch dazwischen) und den Backbone-Switches des Netzes. Anschließend werden sämtliche Daten im Netz von Layer 2 bis Layer 7 erfasst und analysiert. Das erlaubt es den Geräten, einzelne Anwender, Gruppen von Anwendern, Applikationen, Ressourcen, Protokolle, Layer-4-Ports, Transaktionen, oder Dateizugriffe zu beobachten. Durch die Unterstützung des Verfahrens "Integrity Clientless Security" (ICS) von Check Point ist es zudem möglich, den Sicherheitsstatus von Endgeräten zu untersuchen.

Will sich ein Client am Netz anmelden, werden ihm nur Basisfunktionen wie DNS oder DHCP bereitgestellt, bis er sich vollständig gegenüber einem entsprechenden Server authentifiziert hat. Zusätzlich prüft ein "dissolvable Agent" das Endgerät auf die in den Security-Richtlinien des Unternehmens vorgeschriebenen Sicherheitsmaßnahmen. Der Agent besteht entweder aus einem Active X Control oder einem Java-Applet und untersucht, ob das Endgerät über Service-Packs für Windows, installierte Hotfixes, aktivierten Viren- und Spyware-Schutz verfügt. Ist die Kontrolle vollzogen, löscht sich das Modul. Je nachdem, wie weit das Ergebnis mit den geltenden Sicherheitsregeln übereinstimmt, wird der Zugriff auf das Netz eingeschränkt, erlaubt oder komplett verweigert.

Die Steuerung des Systems erfolgt über das "Insight Command Center", ein Java-basierendes Tool, das auf gängigen Windows-PCs läuft. Hier legen die IT-Mitarbeiter auch die Sicherheitsregeln fest und definieren zudem, was geschehen soll, wenn ein Client nicht oder nur teilweise den Vorgaben entspricht. Von der Konsole aus können Administratoren zudem in Echtzeit verfolgen, was im Netz geschieht, zum Beispiel auf welche Ressourcen die Anwender zugreifen.

Integration mit anderen Ansätzen

Ein Vorteil der Consentry-Lösung ist zudem, dass sie hardwareunabhängig arbeitet: Es spielt keine Rolle, über welches Endgerät ein Anwender auf das Netz zugreifen will, selbst PDAs, Smartphones oder sonstige Netz-Clients lassen sich in das System integrieren. Consentry unterstützt zudem andere Endpoint-Secu- rity-Ansätze wie Ciscos NAC, Microsofts NAP oder die Spezifikation Trusted Network Connect der Trusted Computing Group (TCG). Lanshield 2.0 ist ab einem Preis von rund 3000 Dollar pro Lanshield-Gerät zu haben.

Mirage Networks hat einen etwas anderen Ansatz gewählt, um das Problem der Netzzugangskontrolle und Endpoint Security in den Griff zu bekommen. Wie Consentry kommt auch die Appliance-basierende Lösung "Mirage NAC" ohne Client-Komponente aus und ist ebenfalls in der Lage, nicht nur PCs, sondern sämtliche IP-tauglichen Endgeräte im Netz zu überwachen. Selbst mit passiven Komponenten, etwa Faxmaschinen oder Drucker, kommt Mirage NAC klar. Unterschiede zu Consentry finden sich vor allem bei der Arbeitsweise.

Laut Hersteller lässt sich Mirage NAC im laufenden Betrieb installieren, ohne Eingriffe in die Netzinfrastruktur vornehmen zu müssen. Des Weiteren ist keine zusätzliche Netzhardware erforderlich. Über eine offen gelegte Programmierschnittstelle lässt sich die Verbindung zu anderen Sicherheitslösungen herstellen.

Der dunkle IP-Adressraum

Um unbekannte oder potenziell gefährliche Geräte im Netz zu isolieren, kommt Mirage laut Hersteller ohne virtuelle LANs (VLANs) oder das Blockieren von Ports aus. Stattdessen verwendet die Lösung unbenutzte IP-Ad- resses (den "dunklen" IP-Adressraum) und das ARP-Management (Adress Resolution Protocol). Das sieht so aus: Die Appliance überwacht den kompletten Datenverkehr im Netz inklusive des ungenutzten IP-Adressraums. Will ein unbekanntes Gerät in das Netz eindringen, versucht es auf mehrere IP-Adressen zuzugreifen, darunter auch unbenutzte. Das bedeutet einen Verstoß gegen eine der Regeln der Appliance und somit eine Bedrohung. Insgesamt besitzt die Appliance nur 16 solcher verhaltensbasierenden Regeln. Diese Algorithmen sollen nach Angaben des Herstellers jedoch ausreichen, um Unternehmensnetze bereits unmittelbar nach Abschluss der Konfiguration der Appliance vor unbefugten Zugriffen zu schützen.

Kommunikation lähmt Angreifer

Wird also eine Bedrohung festgestellt, leitet das Gerät Gegenmaßnahmen ein. Diese können beispielsweise so aussehen, dass das Produkt eine bestimmte Rolle, etwa die eines Linux-Rechners, einnimmt und mit dem Angreifer dann eine IP-Konversation beginnt. Diese findet dann jedoch mit einer sehr niedrigen Frequenz statt und hat vor allem zum Ziel, den Angreifer mit einer langen und unproduktiven Kommunikation lahm zu legen.

Daneben besteht auch die Möglichkeit, das ARP-Management zu manipulieren: Dabei manipuliert die Appliance die IP-Adressauflösung im Netz und schaltet sich selbst als Gateway zwischen Angreifer und Opfer. Den von dem Eindringling ausgehenden Traffic kann sie auf einen speziellen Server umleiten oder blocken.

Quarantäne als Option

Darüber hinaus ist das System in der Lage, bereits bei der Anmeldung an das Netz einen Integritäts- beziehungsweise Sicherheitscheck vorzunehmen. Dabei wird geprüft, ob der jeweilige Client schon Zugriff hatte. Ist das der Fall, checkt Mirage, ob er den geltenden Sicherheitsvorschriften entspricht, ob bereits Bedrohungen von ihm ausgingen und welche Geräte möglicherweise an ihn angeschlossen sind. Es ist auch möglich, Sicherheitsscans mit Hilfe von Produkten von Drittanbietern vorzunehmen. Besteht der Client den Check nicht, wird er auf einen Quarantäne-Server umgeleitet.

Mirage NAC ist in verschiedenen Versionen zu haben. Das Modell "N-125" beispielsweise ist für Netze mit bis zu 100 Endpunkten ausgelegt und kostet 5400 Euro. Bis zu 2000 Endgeräte schafft die 21 600 Euro teure "N-245".