computerwoche.de

Security

Orientierungshilfe für NAC-Interessenten

22.08.2007
Wer eine NAC-Implementierung (Network Access Control) in Betracht zieht, sollte wissen, was NAC kann und was nicht. Zeus Kerravala, Senior Vice President Enterprise Research bei der Yankee Group, klärt auf.

Angesichts des Hypes rund um das Thema NAC ist es ratsam, sich sowohl mit den Fähigkeiten der Technik als auch mit den spezifischen Sicherheitsanforderungen des eigenen LAN auseinanderzusetzen.

Weil sich unterschiedliche NAC-Architekturen zur Lösung unterschiedlicher Geschäftsprobleme eignen, gilt es letztendlich, die eigenen Bedürfnisse auf der richtigen Architektur abzubilden.

Ursprünglich war NAC eine Technik für die Zugangskontrolle, die Nutzer authentifiziert und deren Rechner auf Konformität zu den jeweiligen Sicherheitsregeln überprüft, bevor sie Einlass ins LAN gewährt. Nach wie vor konzentriert sich die Diskussion um NAC primär auf diese doch sehr eng gefasste Definition der Technik.

Als umfassende Lösung für die Netzzugangskontrolle konzipiert kann NAC jedoch weit mehr als nur kontrollieren, wer ins LAN darf und wer nicht. So lassen sich damit die Aktionen derer, die bereits im Netz sind, beschränken. NAC kann demnach bestimmen, auf welche Server und Daten sie zugreifen und welche Applikationen sie nutzen dürfen.

Der Grad der über eine NAC-Lösung zu erzielenden Kontrolle hängt stark von deren Architektur ab. Eine einfache Zugangskontrolle für Gäste etwa lässt sich mit einer simplen Out-of-Band-Architektur realisieren.

Ist mehr Kontrolle vonnöten - etwa eine Beschränkung dessen, was bereits im LAN befindlichen Nutzern erlaubt ist – ist es ratsam, sich Inline-NAC-Architekturen anzusehen. Darauf basierende Geräte liefern eine weitaus solidere Grundlage für eine Kontrolle, da sie den gesamten, sie durchlaufenden Datenverkehr inspizieren. Was sich damit im Detail überprüfen lässt, bestimmt wiederum der Funktionsumfang der jeweiligen Lösung. Für die Nutzerkontrolle beispielsweise ist es unumgänglich, zu verstehen, wie die Applikationen das Netz nutzen. Einige NAC-Systeme betrachten Anwendungen lediglich auf Netzebene 4, während andere auf der Applikationsschicht (Layer 7) ansetzen. Im Prinzip gilt: Je umfangreicher das Feature-Set, desto mehr lässt sich überwachen.

Das sollte eine umfassende Access-Control-Lösung können:

  • Kontrollieren, wer ins LAN darf, und die dort zugänglichen Ressourcen einschränken;

  • Zugriffsmöglichkeiten für weniger vertraute oder unbekannte Nutzer wie Vertragspartner, Techniker, mobile oder Offshore-Mitarbeiter begrenzen;

  • den Zugriff auf sensible Finanz- oder Kundendaten einschränken;

  • den Zugriff auf Daten nach Rollen, Tageszeit, Ort und Applikation überwachen;

  • Nutzer segmentieren, um Compliance-Anforderungen zu erfüllen;

  • gegen bekannte und unbekannte Malware schützen;

  • Reaktionen auf Sicherheitsvorfälle erleichtern;

  • kritische Dienste wie VoIP schützen.

Selbstverständlich dürfen sich die Sicherheitsvorkehrungen nicht auf NAC beschränken, denn Folgendes kann die Technik beispielsweise nicht:

  • Informationen schützen, die das Unternehmen via E-Mail, Notebook-Diebstahl, in ausgedruckter Form oder per USB-Speicher verlassen;

  • gegen Social-Engineering schützen;

  • verhindern, dass bekannte Malware über die WAN-Verbindung eindringt;

  • autorisierte Nutzer davon abhalten, unsachgemäß mit Daten umzugehen. Zwar mögen die Auditing-Fähigkeiten einer NAC-Lösung dabei helfen, herauszufinden, auf welche Dateien ein Nutzer zugegriffen hat. Dennoch kann NAC nicht verhindern, dass diese Informationen die Organisation verlassen.

Unterm Strich sollten demnach andere Sicherheitsmaßnahmen – beispielsweise Data-Leakage-Protection-Techniken (DLP) und Tools zum Sperren von USB-Schnittstellen – eine NAC-Implementierung ergänzen. (kf)