Ratgeber Network Access Control

Was Sie über NAC wissen sollten

02.09.2008
Von Markus Nispel

Welche Authentifizierungsverfahren sollte eine NAC-Lösung unterstützen?

Folgende Ansätze unterstützt eine NAC-Lösung im Idealfall:

802.1x-Authentifizierung: Die sicherste Lösung stellt die Erkennung der Endsysteme am Switch-Port mittels 802.1x-Authentifizierung dar. Sie erfordert entsprechende Funktionen auf Seiten des Switches, des Clients und einer lokalen Authentifizierungsinstanz (Radius Server). Damit lassen sich sowohl Geräte als auch Benutzer identifizieren. Allerdings ist der flächendeckende Einsatz aufgrund von Einschränkungen in einem der genannten Bereiche meist nicht möglich. So gibt es Endgeräte ohne "802.1x Supplicant" (die Software zur Authentifizierung) wie zum Beispiel ältere Drucker und IP-Video-Anlagen, oder die Switches unterstützen den Standard nicht. Zudem können damit keine Gäste erfasst werden.

MAC-basierende Authentifizierung: Hier wird dieselbe Infrastruktur genutzt wie bei einer 802.1x-Infrastruktur, lediglich auf Zertifikate und/oder Anmeldedaten wird verzichtet. Der Switch verwendet die MAC-Adresse als Ersatz für den Benutzernamen und gleicht diese mit dem Radius-Server ab. In 802.1x-fähigen Netzen kann dieses Verfahren verwendet werden, um Endsysteme ohne "Supplicant" gegen einen Radius-Server abzugleichen. Oder man baut im gesamten Netz ausschließlich auf diese Technik und steigt erst später bei einigen Endgeräten auf 802.1x um. Eine solche Authentifizierung ist allerdings nur bedingt zuverlässig und sollte ausschließlich in Verbindung mit einer sehr restriktiven Autorisierung genutzt werden - wenn keine andere Möglichkeit zur Verfügung steht. Weitere Abfrageinformationen wie etwa den Benutzernamen gibt es nicht, und spätere Autorisierungen können nur an die Hardwareadresse des Endgeräts gebunden werden. Von Vorteil ist hier allerdings die zentrale Verwaltung aller Teilnehmer über den Radius-Dienst.

Web-basierende Authentifizierung: Diese Methode lagert den "Supplicant" auf ein zusätzliches Web-Portal aus, an dem sich der Benutzer anmelden kann. Somit können sich vor allem Gäste und Systeme ohne die erforderlichen Voraussetzungen im Netz registrieren. Bei Gastzugängen ist teilweise sogar nur eine einfache Registrierung notwendig. Eine elegante Lösung für einen sicheren Gastzugang ist die "sponsored Registration", bei der ein existierender Benutzer mit seinen Anmeldedaten für einen Gast "bürgt". Auf diese Weise lässt sich bei eventuellen Verstößen wesentlich leichter nachvollziehen, wer den Besucher in das Netz gebracht hat. Zudem muss die Verwaltung der Gäste nicht durch die IT-Abteilung erfolgen. Diese Methode eignet sich jedoch nicht, um Geräte wie Drucker zu authentifizieren. Üblicherweise ist dies mit einer "Default Policy" verbunden, die ausschließlich Verbindungen zum Web-Portal erlaubt und erst nach einer erfolgreichen Authentifizierung weitere Dienste zulässt. Hierbei ist jedoch zu beachten, dass die meisten Lösungen diese Beschränkung durch eine dynamische VLAN-Konfiguration realisieren. Das trennt ein Endsystem zwar vom produktiven Netz, die Kommunikation zwischen den Geräten in einem solchen Quarantäne-VLAN bleibt dabei jedoch meist uneingeschränkt. Hierbei gilt es zu bedenken, dass VLANs nicht etwa Sicherheits-, sondern nur logische Broadcast-Container sind.

Darüber hinaus gibt es Möglichkeiten wie Kerberos (Snooping), die es erlauben, NAC rasch in bestehende Netze zu implementieren. Beim Snooping erfolgt die Authentifizierung nicht direkt durch das NAC-System - vielmehr inspiziert das System Datenpakete im Netz, die bei einer erfolgreichen Authentifizierung (etwa via Kerberos) ausgetauscht werden. Auf dieser Basis werden dann die weiteren Schritte des NAC-Prozesses angestoßen.