Ciscos Sicherheitskonzept ist zu komplex

Seit etwa zwei Jahren diskutiert die Sicherheitsbranche neuartige Konzepte, die sich um Begriffe wie Endpoint Security und Quarantänenetze drehen. Dabei geht es immer darum, der zunehmenden Aufweichung der Unternehmensgrenzen dadurch Rechnung zu tragen, dass die Endgeräte stärker in die Sicherheitsarchitektur einbezogen werden. Indem nur solche Clients Zugriff zum Netz erhalten, die den im Unternehmen geltenden Sicherheitsvorgaben entsprechen, sollen sich die Verbreitung schädlicher Inhalte und Ausfälle der zentralen IT-Infrastruktur verhindern lassen.

Eine Frage der Regeln

Anwender können dabei selbst definieren, welche Sicherheitsansprüche sie im Einzelnen an ihre Endgeräte stellen. Unter anderem lässt sich abfragen, ob eine Firewall installiert und aktiviert ist, ob ein Antivirenscanner vorhanden ist und über aktuelle Signaturen verfügt oder ob sich das System auf einem bestimmten Patch-Status befindet. Abhängig vom Ergebnis dieser Überprüfung erhält das anfragende Gerät dann unbeschränkten Netzzuggriff, wird geblockt oder in einen Quarantäne-Bereich geleitet, der nur begrenzte Funktionen bietet oder das Gerät auf den verlangten Status bringt.

Cisco Systems vermarktet diese Technik und die dazugehörigen Lösungen unter dem Schlagwort Network Admission Control (NAC). NAC wurde erstmals vor zwei Jahren vorgestellt, jetzt hat der Hersteller offiziell die zweite Phase eingeläutet. Unter anderem geht es dabei darum, dass nun auch ein Großteil der Switches sowie Wireless-Access- Points NAC-fähig sind. Eine Reihe von Herstellern, darunter Sygate, Juniper Networks oder Portwise, bietet ähnliche Konzepte für das Absichern von Endgeräten an. Selbst Microsoft arbeitet unter dem Schlagwort Network Access Protection (NAP) an einer diesbezüglichen Lösung.

Nach Angaben von Klaus Lenßen, Business Development Manager Security & Government Affairs bei Cisco, gibt es zwischen beiden Herstellern jedoch eine Übereinkunft, dass Microsoft den für die Client-Überwachung zuständigen "Cisco Trust Agent" (CTA) als Bestandteil von Windows Vista mit ausliefern wird.

Neben dem CTA setzt NAC auf weitere zentrale Komponenten: Zusätzlich zu den jeweiligen Netzzugangsgeräten (also Routern, Switches oder WLAN-Access-Points), an denen sich der Client anmeldet, ist hier der zentrale Policy-Server (Ciscos "Secure Access Control Server" in Verbindung mit Policy-Servern von Drittherstellern) zu nennen. Wie diese zusammenspielen, erläutert ein Beispiel.

Das Prinzip

Will ein Mitarbeiter mit seinem Laptop über WLAN auf das Unternehmensnetz zugreifen, meldet sich der auf dem Rechner installierte CTA bei einem Access Point an. Dieser schickt daraufhin eine Anfrage an den zentralen Policy-Server und erkundigt sich nach den für das Gerät geltenden Sicherheitsbestimmungen, die der zuständige Administrator zuvor definiert hat. Anhand der Policys fragt der CTA die auf dem Client installierten Security-Programme und deren Status ab und meldet das Ergebnis an das Zugangsgerät. Abhängig von dem sich in der Summe ableitenden Sicherheitsstatus wird dem Client nun ein Label zugeordnet ("Healthy", "Checkup", "Quarantine", "Infected" oder "Unknown"), das darüber entscheidet, welche Rechte das Gerät erhält.

Entscheidend hierfür sind die Richtlinien, die auf dem Access Control Server (ACS) entweder direkt hinterlegt sind oder die dieser von produktspezifischen Policy-Servern bezieht. So sieht es zum Beispiel bei NAC und Trend Micros "Officescan"-Lösungen so aus, dass die für die Antivirenlösung geltenden Sicherheitsregeln für die Clients auf Trends eigenem Policy-Server hintergelegt sind. Zusätzlich zu diesem liefert der Hersteller seine Officescan-Suite mit einem "Policy Server für Cisco NAC" aus, der als eine Art Middleware agiert: Über diese Komponente lassen sich die Regeln definieren, die von Ciscos ACS aus abzufragen sind.