Variable Zwangsmaßnahmen
Während sich NAP zum Großteil über den Netzwerkrichtlinien-Server (Network Policy Server = NPS) konfigurieren lässt, sind die Erzwingungsmethoden mit dem Frontend des jeweiligen Netzdienstes einzurichten. So wird etwa die DHCP-Erzwingungsmethode auf dem DHCP-Server verwaltet. Dort kann der Administrator eine Subnetzmaske und DHCP-Optionen speziell für nicht kompatible Clients angeben. Der DHCP-Server muss dafür allerdings auf einem Server mit Windows 2008 laufen.
Für jede Erzwingungsmethode sind die Zugriffsbeschränkungen also in Abhängigkeit von den Möglichkeiten des gewählten Netzdienstes zu formulieren. Es ist auch möglich, mehrere Verfahren parallel einzusetzen. In der Praxis wird man aber vermutlich meist nur mit einer oder zwei Erzwingungsmethoden arbeiten.
Der Administrationsaufwand für die einzelnen Verfahren ist dabei höchst unterschiedlich. Am aufwändigsten dürfte die IPsec-Methode sein. Bei diesem Verfahren erhalten Clients ein digitales Zertifikat, das sie als kompatibel ausweist. Rechner, die nicht über dieses Zertifikat verfügen, haben keinen Zugriff auf andere Systeme im Intranet.
Dies lässt sich auch mit der 802.1x-Methode erreichen. Hierzu müssen aber alle Netzwerk-Switches die Authentifizierung über 802.1x beherrschen und außerdem die automatische Zuweisung von Clients zu virtuellen LANs (VLANs) anhand von Radius-Attributen erlauben. Nicht kompatible Clients landen bei diesem Verfahren in einem speziellen VLAN. Ähnlich funktioniert dies auch bei der VPN-Methode. Statt einem VLAN wird nicht kompatiblen Clients hier ein bestimmtes IP-Subnetz zugewiesen.
TS Gateway ist ein neues Features der Terminal-Services von Windows Server 2008. Es erlaubt den Aufbau einer verschlüsselten RDP-Verbindung über HTTPS. NAP sorgt bei dieser Erzwingungsmethode dafür, dass nicht kompatible Clients via RDP keinen Zugriff auf einen Windows-Server erhalten. Im Gegensatz zu den anderen vier Erzwingungsmethoden unterstützt NAP hier die "automatische Wartung" nicht. Wie bereits angesprochen, verfügt der NAP-Agent über die Fähigkeit, die jeweils notwendigen Prozeduren anzustoßen, die nicht kompatiblen Clients zu einem richtlinienkonformen Zustand verhelfen. (ws)
NAP: Stärken und Schwächen
Plus
NAP kann einen wesentlichen Beitrag zur Sicherheit im Netz leisten, weil Schwachstellen, die für Schadsoftware oder Hacker anfällig sind, automatisch ausgeschaltet werden.
Da mit dem Service Pack 3 auch ein NAP-Client für Windows XP ausgeliefert wird und Mac OS X beziehungsweise Linux ebenfalls NAP unterstützt werden, ermöglicht Windows 2008 den Aufbau einer weitgehend herstellerunabhängigen NAC-Lösung. Windows Vista bringt einen NAP-Client bereits mit.
Drittanbieter können ihre Sicherheitssoftware über Schnittstellen in NAP einklinken, so dass in Zukunft noch weitere Erzwingungsmethoden beziehungsweise Richtlinien zur Verfügung stehen werden. NAP könnte so über kurz oder lang zur Schaltzentrale für die Netzwerksicherheit werden.
Minus
NAP ist bereits in seiner ersten Version eine äußerst komplexe NAC-Lösung. Administratoren müssen daher eine entsprechend lange Einarbeitungszeit einplanen.
Eine Fehlkonfiguration von NAP kann den Netzbetrieb empfindlich stören. Hier ist abzuwägen, ob der Gewinn an Sicherheit die erhöhte Fehleranfälligkeit wettmacht. Entscheidend für die Beantwortung dieser Frage ist, ob die Systemverwaltung über genügend personelle Ressourcen verfügt, um diese neue Herausforderung zu meistern.
Die Richtlinie für die Windows-Firewall bietet zu wenige Einstellungsmöglichkeiten. Die Tatsache, dass die Firewall aktiviert ist, gibt noch keine Auskunft darüber, ob die definierten Regeln den Sicherheitsrichtlinien des Unternehmens entsprechen.
Die DHCP-Erzwingungsmethode bringt nur in begrenztem Umfang zusätzliche Sicherheit, weil die Vergabe von IP-Adressen auch manuell erfolgen kann. Administratoren, die sich auf diese relativ einfach zu konfigurierende Methode verlassen, wiegen sich unter Umständen in trügerischer Sicherheit.
Die anderen Erzwingungsmethoden bieten zwar deutlich mehr Sicherheit, dafür ist der Konfigurationsaufwand entsprechend höher. Insbesondere die IPsec-Methode erfordert eine umfangreiche Planung. Denn hier ist nicht nur NAP aufzusetzen, sondern zudem eine komplette IPsec-Infrastruktur.