computerwoche.de

Security

Netzzugangskontrolle auf reiner Softwarebasis

04.10.2006
Der Hersteller InfoExpress testet derzeit ein Softwaresystem namens "Dynamic NAC" (DNAC), das die Entscheidungsgewalt über die Zugangsberechtigung auf vertrauenswürdige Endpunkte verlagert.

Vorteil dieses Ansatzes sei vor allem der geringe Implementierungsaufwand, so Stacey Lum, CEO bei dem im kalifornischen Mountain View ansässigen Unternehmen. DNAC setzt in punkto Authentifizierung auf die 802.1x-Technik - was weder schwierig sei, noch große Eingriffe erfordere. Laut Lum benötigt DNAC neben dem Zugangs-Switch lediglich einen Supplicant gemäß IEEE 802.1x sowie einen Radius-Server.

Ein weitaus komplexeres Unterfangen sei die Verwendung von 802.1x zur Durchsetzung von Regeln, so der InfoExpress-Chef. Eben hier soll DNAC greifen, das auf so genannte Enforcer setzt. Dabei handelt es sich um vertrauenswürdige Endgeräte mit einem Softwareagenten. Diese überwachen das Netz ständig auf neue Endgeräte und prüfen diese auf die Einhaltung bestimmter Sicherheitsrichtlinien. Eine zentrale Kontrollinstanz in Form eines dedizierten Geräts entfällt.

Die Lösung sei dadurch auch fähig, Endgeräte ohne Agenten - beispielsweise Drucker - zu handhaben. Möglich sei dies, da die als Durchsetzungsinstanzen bestimmten Endpunkte die Regelkonformität der anderen überprüfen und den von diesen stammenden Datenverkehr an Drucker oder andere Netzressourcen blockieren könnten. Darüber hinaus würden die in Quarantäne gestellten Endpunkte an einen Policy-Server gemeldet.

Ein Netz mit DNAC setzt sich aus vier Endpunkt-Kategorien zusammen: Dabei handelt es sich um Enforcer, Standby-Enforcer, Gastgeräte sowie unverwaltete, bereits auf der White-List befindliche Geräte. Wann immer ein neuer, nicht vertrauenswürdiger Endpunkt Netzzugang verlangt, wird er unter Quarantäne gestellt, bis eine Überprüfung erfolgt ist. Nachdem er einen flüchtigen Agenten für die so genannte Web-basierende Kontrolle erhalten hat, rückt er auf in die Kategorie der vertrauenswürdigen Gäste.

Der Policy-Server ist eine Weiterentwicklung der "CyberGatekeeper"-Appliance, einer früheren NAC-Lösung des Anbieters, die für DNAC in eine reine Softwarelösung umgewandelt wurde. Laut Lum lassen sich die Agenten mittlerweile über Microsofts Systems Management Server (SMS) oder jeden anderen, im Unternehmen eingesetzten Mechanismus zur Softwaredistribution liefern.

Da sich DNAC kurz vor der Markteinführung befindet, wollte sich der Anbieter zu den endgültigen Preisen nicht äußern. Das Preismodell soll jedoch eine Gebühr für die Server-Software sowie pro Endpoint vorsehen. (kf)