Eine automatische Zugangskontrolle für das eigene Netz? Für viele Netzverantwortliche klingt das nach der Erfüllung ihrer geheimsten Wünsche. Doch die Komplexität und Kosten einer solchen Lösung schrecken viele Firmen davon ab, das Ziel einer verlässlichen und sicheren Netzwerkzugangskontrolle zu verfolgen. Die Vorteile überwiegen jedoch, so dass sich die Implementierung auf Basis eines durchdachten Konzepts lohnt.

Sinn und Zweck eines Kontrollsystems für den Netzzugang ist, dass nur die Geräte Zutritt zu einem Netz erhalten, die nach vorheriger Prüfung als ungefährlich eingestuft werden. Somit wahrt das System die vom Unternehmen aufgestellten Policies und leistet einen wichtigen Beitrag zur Compliance.

Für eine effiziente NAC ist eine eindeutige Identifizierung der angeschlossenen Geräte die Grundvoraussetzung. Dabei wird geprüft, ob sie den Sicherheitsanforderungen des Netzes entsprechen. Rechner, die sich als "nicht konform" erweisen, landen automatisch in Quarantäne und werden erst nach Wiederherstellung der Sicherheitsfunktionen für den Eintritt ins Netzwerk zugelassen. Des Weiteren ermöglicht NAC das Erstellen und Verwalten individueller Richtlinien und Rollen für verschiedene Nutzergruppen wie Gast-User.

Kein Plug-and-Play

Obwohl die Vorteile klar auf der Hand liegen, scheuen sich viele Firmen, ein NAC-Projekt zu realisieren – nicht zuletzt aufgrund der hohen Kosten. Zudem sind viele NAC-Lösungen teuer, komplex oder lassen sich leicht umgehen. Einfache Plug-and-Play-Lösungen gibt es nicht; stattdessen ist ein hohes Maß an Konzeption im Vorfeld erforderlich.

In diesem Zusammenhang verfolgen Hersteller verschiedene Ansätze. Viele davon erfordern die Anschaffung einer komplexen Netzwerkarchitektur, die nicht selten auf Komponenten basiert, die in absehbarer Zeit überholt sein werden. Des Weiteren gibt es Lösungen, die nicht alle Teilbereiche eines Netzwerks berücksichtigen und beispielsweise ältere Komponenten außer Acht lassen, so dass weiterhin gefährliche Sicherheitslücken bestehen. Da jede NAC-Lösung zunächst eine Prozedur zur Netzwerkerkennung durchläuft, bei der viele manuelle Eingaben erfolgen müssen, gestaltet sich der Implementierungsprozess oft kompliziert und langatmig. Das gilt insbesondere, wenn Geräte erkannt werden müssen, die sich hinter Firewalls befinden oder nicht zentral administrierbar sind. Zudem wirft der Eingriff in Fremdrechner, etwa von Gast-Usern, rechtliche Fragen auf, beispielsweise bei der Installation spezieller Clients. Die Quintessenz: Der Markt ist verunsichert, und in Unternehmen bleiben erhebliche Sicherheitslücken.

Trotz aller Schwierigkeiten ist eine vollständige und verlässliche NAC, die im Rahmen des jeweiligen Security-Budgets bleibt und sich in das bereits vorhandene Netzwerk-Setup einfügen lässt, realisierbar und lohnend. Dazu sind aber einige Punkte zu berücksichtigen.

Wie kann ein Netzwerk gegen Zugriffe von Fremdgeräten gesichert werden, wenn es nicht imstande ist, diese zu erkennen? Fakt ist, dass es mit lediglich partiellen Kenntnissen eines Netzwerks praktisch unmöglich ist, dieses sicher zu gestalten. Demnach müssen als Basis immer die Sichtbarkeit sowie die Identifizierung der Netzwerkkomponenten in Echtzeit gewährleistet sein. Ist dies nicht der Fall und werden lediglich bereits bekannte Geräte überwacht, ist das Netzwerk offen für Schädlinge, die sich von Fremd- oder nicht überprüften Rechnern einspeisen.

Netz inventarisieren

Daher ist es von zentraler Bedeutung, dass eine NAC-Lösung ein vollständiges Inventar aller im Netzwerk vertretenen Geräte anlegt und regelmäßig aktualisiert. Dabei sollte ebenfalls für Hardware-Firewalls und nicht verwaltbare beziehungsweise virtuelle Systeme ein ausführliches Profil angelegt werden. Zur Sichtbarkeit zählt auch, dass eine akkurate physikalische Karte des Netzwerks erstellt wird, um die vollständige IT-Infrastruktur abzubilden. Sie dient IT-Verantwortlichen als Grundlage für die zu ergreifenden Sicherheitsmaßnahmen.

Das Einhalten von Sicherheitsrichtlinien wird durch verschärfte Gesetze zur Pflicht. Unternehmen müssen nachweisen können, dass sie alles in ihrer Macht Stehende tun, um einen wirksamen Schutz ihrer beziehungsweise der Kundendaten zu gewährleisten. NAC kommt dabei eine gewichtige Rolle zu, da es für jedes Gerät ein Profil erstellt, welches nach jeder Sicherheitsprüfung (Audit) aktualisiert wird. Darin enthalten sind User-Informationen, Funktionen und die eingesetzte Soft- und Hardware. Die Profile fungieren als Basis für die Entscheidung, ob ein Gerät den bestehenden Anforderungen durch Policies entspricht und ihm der Zugang zum Netz gewährt wird oder nicht. Hierbei ist es wichtig, dass wiederum sämtliche Systeme erfasst werden. Im Zuge der regelmäßigen Überprüfung identifizieren Audits Geräte, die nicht-konform, ungemanagt oder bösartig sind, noch bevor sie mit der Netzzugangskontrolle in Berührung kommen. Des Weiteren werden jegliche Änderungen an einem System – seien es beispielsweise von Mitarbeitern installierte Programme auf Software- oder der Anschluss fremder Datenträger auf Hardwareebene – durch die Audits erkannt und gemeldet. Die Sicherheitsprüfungen werden in Form von Berichten gespeichert und bieten somit bei Compliance-Prüfungen die erforderlichen Nachweise über die Sicherheitsbemühungen eines Unternehmens.

Jede Netzwerkzugangskontrolle muss in Echtzeit operieren. Nur so lässt sich sicherstellen, dass sämtliche neu angeschlossenen Geräte sofort erkannt und in den NAC-Prozess einbezogen werden. Ohne Echtzeitkontrolle haben Angreifer eine große Auswahl an Möglichkeiten, ein Netzwerk zu attackieren und Schadcode einzuschleusen. Aus diesem Grund wird für unbekannte oder bei einer Prüfung aufgefallene Geräte eine Quarantänefunktion verwendet, die einen wichtigen Puffer vor dem eigentlichen Netzwerk bildet und mit diesem keine gemeinsame infrastrukturelle Basis haben darf.

Innerhalb der Quarantäne müssen standardisierte Sicherheits-Checks vorgenommen werden. Hierbei analysiert die NAC beispielsweise, ob aktuelle Service Packs, Patches, Updates oder eine aktive Antivirussoftware auf dem jeweiligen System installiert sind. Zutritt zum Netzwerk wird erst dann gewährt, wenn ein Check vollständig erfolgreich ausfällt. Rechner, bei denen die NAC nicht Policy-konforme Änderungen feststellt, müssen dieselbe Prozedur durchlaufen.

Transparente NAC

Von Vorteil ist für den Benutzer eine transparent agierende NAC. Das bedeutet, dass das System lediglich im Falle eines Verstoßes gegen die bestehenden Sicherheitsrichtlinien bemerkt wird, da es den Benutzer aus dem Netzwerk ausschließt. Konforme User werden ohne eine gesonderte Anmeldeprozedur völlig unauffällig durch den NAC-Prozess geleitet.

Soll die Möglichkeit gegeben werden, dass auch Besucher Zutritt zum Unternehmensnetz erhalten, steigen die Anforderungen an die Flexibilität eines NAC-Systems immens. Da die Gäste nicht von der NAC gemanagt werden, bedürfen sie einer Sonderbehandlung, bei der sichergestellt wird, dass keine Schädlinge ins Netzwerk hinein- beziehungsweise keine vertraulichen Daten hinausgelangen. Dementsprechend muss die NAC sie identifizieren und nur für ein im Vorfeld festgelegtes, mit Einschränkungen verbundenes Benutzerprofil autorisieren.

Geht es um die Einhaltung von Policies, bedingen viele NAC-Lösungen ein blindes Handeln der Benutzer. Die Konsequenzen der umgesetzten Richtlinien lassen sich oftmals nicht vorhersagen. Eine gute Netzzugangskontrolle beinhaltet daher die Möglichkeit, das Umsetzen bestimmter Richtlinien im Vorfeld zu simulieren. Zuletzt sollte eine NAC-Lösung das gesamte Spektrum eines Netzwerkes abdecken.

Fazit

Network Access Control sollte als Sicherheitsmethodik betrachtet werden. Eine NAC-Lösung lohnt sich nur dann, wenn sie im ersten Schritt das Netz grundlegend überprüft. Dazu erstellt sie Profile von jeglichen Geräten, die mit dem Netzwerk verbunden sind, und erkennt dabei die nicht konformen, unbekannten und unautorisierten Geräte, noch bevor die NAC-Prozesse aktiviert werden. Ferner sollte eine Netzwerkzugangskontrolle skalierbar sowie relativ einfach in die gesamte IT-Infrastruktur zu implementieren sein, um sich schnell zu rentieren.