Neue Spezifikation soll NAC-Akzeptanz erhöhen

24.05.2007
Microsoft und die Trusted Computing Group (TCG) rücken in Sachen Network Access Control (NAC) zusammen.

Das internationale Standardisierungskonsortium TCG hat auf der Fachmesse Interop in Las Vegas eine neue Spezifikation für seine Softwareplattform Trusted Network Connect (TNC) angekündigt, die es ermöglicht, auf Basis des Standards entwickelte Produkte direkt mit Microsofts proprietärer NAP-Infrastruktur (Network Access Protection) zu integrieren. Dies soll die Einbindung einer Vielzahl heterogener NAC-Techniken erleichtern und Installation wie Verwaltung der Tools vereinfachen.

NAC-Produkte wie Microsofts NAP sollen Endgeräte wie PCs oder Laptops vor der Anmeldung am Firmennetz identifizieren und authentifizieren und gewährleisten, dass sie bestimmte Sicherheitsprüfungen durchlaufen. Darüber hinaus versprechen diese Systeme, etwa durch Scans nach Anomalien der Verbreitung von Malware via infizierte Endgeräte entgegenzuwirken.

Auf Anwenderseite wächst indes die Frustration über die mangelnde Interoperabilität bereits seit einigen Jahren erhältlicher NAC-Produkte und die daraus resultierende Komplexität.

Dank der Verbindung des mittlerweile weithin unterstützten TCG-Standards und Microsofts NAP – letzteres ist fester Bestandteil des Desktop-Betriebssystems Vista und auch für die kommenden "Longhorn"-Server-Pendants der Gates-Company geplant – sollen NAC-Tools künftig eher das leisten können, was sie versprechen.

Nach Angaben von Steve Hanna, Mitglied der TNC-Arbeitsgruppe von TCG und Engineer bei Juniper Networks, wird NAC von den Unternehmen als zunehmend verwirrend wahrgenommen. Entsprechend laut und deutlich sei deren Forderung an die Industrie, sich auf einen Standard zu einigen, um die Leistung der Produkte zu erhöhen. Die neue Spezifikation werde die Implementierung spürbar erleichtern. Zudem müssten sich Kunden dadurch künftig nicht mehr auf nur einen Anbieter beschränken.

Cisco Systems, das sich mit seinem Network Admission Control im NAC-Segment selbst als führend bezeichnet, hat keine Unterstützung für die TCG-Spezifikation zugesagt, aber bereits eine NAP-betreffende Partnerschaft mit Microsoft angekündigt. Support von Seiten des Netzriesen für die TCG-Plattform wäre ideal, räumt Hanna ein. Seit einigen Jahren koexistierten nun drei separate, miteinander nur begrenzt kompatible (NAC)-Architekturen. Langfristiges Bestreben sei, alle drei Techniken unter einen Hut zu bringen – aber schon das Alignment zweier Konzepte zur Netzzugangskontrolle sei ein Riesenschritt nach vorn.

Um den neuen Standard "IF-TNCCS-SOH" zu ermöglichen, hat Microsoft, selbst TCG-Mitglied, sein NAP-Client-Server-Protocol "Statement of Health" (SOH) dem Konsortium gegenüber offen gelegt. Konkret soll die Spezifikation die Interoperabilität von NAP-Clients und -Servern mit TNC-konformen Clients, -Servern und -Infrastruktur gewährleisten. Zu den großen Vorzügen des Standards zählt nach Ansicht der Partner, dass Unternehmen, die darauf basierende Produkte einsetzen, keine zusätzliche Software auf Endgeräten und Servern mehr installieren müssten, um die Verwendung heterogener NAC-Techniken zu vereinfachen.

So soll damit beispielsweise der konzertierte Einsatz von Juniper Networks UAC-Produkte (Unified Access Control) und den in Vista eingebauten NAP-Funktionen möglich sein. Anwendern von Microsofts Windows XP sollen Letztere über ein Service-Pack-Update im Lauf dieses Jahres ebenfalls zur Verfügung gestellt werden.

"Wir freuen uns darüber, dass sich die Industrie hier zusammentut, um die Barrieren abzubauen und die Zweifel auszuräumen, die bislang mit dieser Art von Techniken assoziiert wurden", kommentiert Mike Schulz, Group Product Manager für Security und Access bei Microsoft, den Schritt.

Um die Vorzüge des neuen TCG-Standards vor Augen zu führen, stellen einige in die Bemühungen involvierte Anbieter Produkte auf der Fachmesse zur Schau, die mit Hilfe der Spezifikation integriert wurden. So zeigt Juniper beispielsweise, wie sein "Infranet Controller", der zentrale Policy-Management-Server seiner UAC-Produktlinie, die Security-Assessment-Funktionen in Vista nutzen kann. Eine UAC-Version, die den jüngsten TCG-Standard unterstützt, soll voraussichtlich in der ersten Hälfte 2008 auf den Markt kommen. (kf)