NAC-Lösungen - mehr Sicherheitsrisiko als Schutz?

03.08.2006
Experten stellen die Wirksamkeit von Network-Access-Control-Techniken (NAC) in Frage.

Sicherheitsexperten zufolge können gerade NAC-Produkte, von ihren Anbietern als Retter belagerter Firmennetze beworben, externen Angreifern Tür und Tor öffnen. So strotze die aktuelle Generation von NAC-Techniken etwa von Cisco, Microsoft und Symantec vor Schwachstellen, die Angreifern ein Eindringen ins Firmennetz ermöglichten, statuierte Ofir Arkin, Mitgründer und Chief Technology Officer (CTO) bei Insightix, gestern auf der Sicherheitskonferenz "Black Hat USA 2006" in Las Vegas. Ein Beispiel: NAC-Lösungen, die etwa zur Durchsetzung von Sicherheitsrichtlinien DHCP-Proxy-Server (Dynamic Host Configuration Protocol) nutzen, verhindern laut Arkin nicht, dass Systeme statische IP-Adressen (anstelle von DHCP) für ihre Netzverbindungen erhalten. Auf diese Weise würden aber große Bereiche des Firmennetzes für die NAC-Produkte unsichtbar.

Selbst Lösungen, die den Netzzugang über Switches erzwingen wie Ciscos "Network Admission Control", weisen dem Insightix-CTO zufolge Schwächen auf. Da die Cisco-Technik spezifisch für dessen Switches und Router sei, Unternehmen jedoch häufig einen Mix aus Komponenten einsetzten, könnten sich Hacker unschwer über einen nicht verwalteten Switch in das Firmennetz einklinken. Darüber hinaus sei es möglich, MAC- und IP-Adressen von "bekannten" Systemen mit Zugangserlaubnis zu fälschen.