NAC und die Geräteerkennung
Foto: Getty Images,Jeffrey Cooligde
Ein weiteres Problem besteht darin, bei der Ermittlung von Geräten zu erfahren, um welche Art von Gerätetyp es sich handelt und wie bei Erkennung eines solchen Systems zu verfahren ist. Dies stellt sich deshalb als schwierig dar, weil nur ein Teil der erkannten Systeme Endgeräte wie Laptops und PCs sind. Ein erheblicher Teil dürfte aus Servern, Druckern, WLAN, VoIP, Routern etc. bestehen, die ihrerseits redundante Systeme (Cluster) bilden können. Je nach Hersteller und verwendeten Protokollen ist es mühsam, hier Fehlalarme auszuschließen, zumal solche Systeme ständig durch Wartungsarbeiten und Failover geändert werden. Dies führt gerade bei der Erstkonfiguration von NAC-Systemen mitunter zu erheblichen Schwierigkeiten. Da eine automatische Erkennung oft nicht gewährleistet werden kann, werden hier Systeme mit vielfältigen Hilfefunktionen gebraucht.
Erschwerend kommt hinzu, dass in den meisten Unternehmen die Geräte und Applikationen unter administrativer Kontrolle verschiedener Abteilungen stehen, die unabhängig voneinander arbeiten. Aus diesem Grund bedarf es für die Einrichtung und den Betrieb von NAC-Systemen einer entsprechenden Berechtigungsstruktur. Zu klären ist außerdem, wer auf welche Ressourcen zugreifen darf. Diese Informationen finden sich häufig bereits in Verzeichnisdiensten.
NAC-Leitfaden
Das Erkennen und Lokalisieren von Endsystemen ist die Grundlage eines jeden NAC-Projekts und sollte bereits vor der eigentlichen Planung erfolgen. Zur Identifizierung der Endgeräte empfiehlt sich die MAC- und IP-Adresse.
Je eindeutiger eine Identifizierung ist, desto sicherer ist das Gesamtsystem. Deshalb sollten grundsätzlich alle Endgeräte mit MAC- und IP-Adressen wie Computer, Drucker, Router, Switches und Server in die NAC-Infrastruktur einbezogen werden.
Jeder Ansatz, der nicht herstellerübergreifend mit hohem Implementierungsgrad in die Infrastruktur integriert werden kann und dabei auf Standardschnittstellen aufsetzt, führt mittelfristig in eine Sackgasse und zu unverhältnismäßig hohen Folgekosten oder Abhängigkeiten.
Bei der Produktauswahl muss eine transparente Roadmap des Herstellers erkennbar sein, die plausibel darlegt, dass das Produkt ausgereift ist. Der präferierten NAC-Lösung sollte ein zukunftssicheres und praxisbewährtes Konzept zugrunde liegen.
Da solch ein NAC-Projekt schnell unübersichtlich werden kann, ist in jedem Fall eine schrittweise Implementierung zu empfehlen. Die ausgesuchten Lösungen sollten zunächst in kleinen Umgebungen hinsichtlich Funktion und Schnittstellen getestet werden. Dies macht transparent, wie hoch der Aufwand für Installation, Betrieb und Wartung der Systeme ist.
Den Autorisierungsprozess gilt es in der NAC-Konzeption mit besonderer Sorgfalt zu planen. Nicht umsonst scheuen sich viele Unternehmen, diesen Prozess einzuführen, da es zu eklatanten Problemen kommen kann, wenn er versagt. Denn dadurch können nicht nur einzelne Endgeräte, sondern auch Unternehmensbereiche oder wichtige Ressourcen gestört werden oder gar nicht mehr verfügbar sein. Trotzdem ist dieser Prozess unverzichtbar, da er den größten Beitrag zum Schutz des Unternehmens leistet.