computerwoche.de

Security

Ratgeber Network Access Control

Was Sie über NAC wissen sollten

02.09.2008
Von Markus Nispel

Wie unterscheidet sich NAP von NAC?

Einige IT-Anbieter setzen weniger auf offene Standards und bringen eigene Interpretationen des beschriebenen NAC-Konzepts auf den Markt. So etwa Microsoft, dessen Zugangskontrolllösung NAP (Network Access Protection) mit MS Vista und Server 2008 Einzug hielt. Der NAP-Client unterstützt DHCP, VPN und 802.1x Enforcement.

Folgendes Mapping gilt für NAP in Bezug auf das NAC-Modell der Internet Engineering Task Force (IETF), einer Organisation, die sich mit der technischen Weiterentwicklung des Internets befasst, um dessen Funktionsweise zu verbessern:

  • Posture Collector: System Health Agent (SHA);

  • Client Broker: NAP Agent (Quarantine Agent QA);

  • Network Access Requestor: NAP Enforcement Client (Quarantine Enforcement Client QEC);

  • Policy Enforcement Point: NAP Enforcement Server (Quarantine Server QS);

  • Network Access Authority: Network Policy Server (NPS);

  • Server Broker: Network Policy Administration Server;

  • Posture Validator: System Health Validator (SHV)

Der "Enforcement Point" kann aber auch in der Netzinfrastruktur liegen, die Steuerung erfolgt dann via Radius-Server.

Allerdings besteht der Endgerätemarkt nicht nur aus Microsoft-Produkten. Aus Gründen der Kompatibilität ist daher ein offener NAC-Ansatz vorzuziehen, der auch NAP integrieren kann.

Wer ist in die Planung eines NAC-Projekts zu involvieren?

Unternehmensweit eingeführt ist NAC ein umfangreiches Projekt, das gute Vorbereitung erfordert. Letztere ist entscheidend für den Erfolg der späteren Umsetzung, da sich viele Probleme im Vorfeld erkennen und lösen lassen. Um die gewünschten Effekte zu erzielen, müssen Netz-, Security- und Desktop-Management-Abteilung eng zusammenarbeiten - sowohl in der Konzeption als auch im Betrieb: Für die Netzabteilung gilt es, Endgeräte und Nutzer entsprechend zu authentifizieren. Dazu muss Zugriff auf Directory Services erfolgen. Die Sicherheitsabteilung hat die Compliance-Vorgaben zu definieren und zu kommunizieren. Aufgabe der Abteilung Desktop-Management wiederum ist es, die Vorgaben zu prüfen und der Netzabteilung in geeigneter Form als zusätzlichen Parameter für die Authentifizierungsphase mitzuteilen. Security- und Netzabteilung haben zusammen zu definieren, wie mit einem nicht konformen Endsystem zu verfahren ist, welche Zugriffe noch möglich sein sollen und in welchen Schritten das Problem zu beheben ist.