Bei Network Admission Control handelt es sich um eine von Cisco geführte Initiative mehrerer Sicherheitsanbieter, die helfen soll, Firmennetze vor dem Befall mit Viren und Würmern zu schützen. Kooperierende Schutzsysteme sollen dafür sorgen, dass nur Rechner, die über einen aktuellen Virenschutz sowie Software-Patches verfügen, auf ein Firmennetz zugreifen können. Netzzugangsgeräte entscheiden anhand von Sicherheitsrichtlinien, ob und mit welchen Zugriffsrechten sich ein remoter Nutzer, sei es nun von einem Rechner in einem Home Office, Filiale, Extranet, Wireless LAN oder Partnerunternehmen aus, Zugang erhält.
Das NAC-Konzept besteht aus Softwarekomponenten für die Endgeräte (PCs oder PDAs), Netzzugangsgeräte sowie Server, auf denen Sicherheitsrichtlinien verwaltet werden. Die Lösungen entwickelt Cisco gemeinsam mit den Partnern Network Associates, Symantec und Trend Micro. So arbeitet der nun verfügbare "Trust Agent" von Cisco mit den lokalen Virenschutzprogrammen der Sicherheitsspezialisten zusammen. Dazu zählen "McAfee Virusscan Enterprise" in den Versionen 8.0i und 7.x, "Officescan Corporate Edition 6.5" von Trend Micro und die Symantec-Produkte "Client Security" sowie "Antivirus Corporate Edition".
Aufgabe des Trust Agent ist es, Informationen über jeden Computer zu sammeln, der um Einlass ins Firmennetz begehrt. Auf den mit der Komponente ausgestatteten Rechnern läuft ferner der "Cisco Security Agent", der als Firewall beziehungsweise Intrusion-Detection-System fungiert. Aufgrund der vom Trust Agent gelieferten Daten entscheidet der Access-Router, wie mit dem Fernzugriffsrechner zu verfahren ist. Ihre Handlungsanweisungen erhält die Netzkomponente dabei aus nachgelagerten Richtlinien-Servern von Cisco beziehungsweise der an NAC beteiligten Antivirenprodukt-Anbieter.
Die Sicherheitsrichtlinien vergibt der Administrator des Unternehmens selbst. Er soll damit in der Lage sein, die eigene Sicherheitspolitik in Regeln zu fassen und so Zugriffe entweder zu erlauben, eingeschränkt zuzulassen oder abzublocken. Virenverseuchte PCs lassen sich in einen Quarantänebereich stellen.
Erste NAC-fähige Produkte sind verfügbar
Jetzt hat Cisco die Router der Serien 830 bis 7200 mit NAC-Features ausgestattet. Diese sind Teil des Betriebssystems "Internetwork Operating System" (IOS). Darüber hinaus sind nun auch die Produkte "Secure Access Control Server 3.3", "Security Alert 4.02" und "Ciscoworks Security Information Management 3.2" NAC-fähig.
Der Netzausrüster plant in einem nächsten Schritt, die Schnittstellen (Application Programming Interfaces, kurz APIs) von NAC offen zu legen und so auch Drittherstellern, die noch nicht mit dem Anbieter kooperieren, zu erlauben, ihre Produkte beispielsweise mit dem Trust Agent zu koppeln. Dazu zählen Personal Firewalls, die einzelne Rechner absichern sollen, Intrusion-Detection-Lösungen und Patch-Management-Software.
Konkurrenten verfolgen eigene Pläne
Der NAC-Ansatz konkurriert mit einer ähnlichen Initiative der Trusted Computing Group (TCG) namens "Trusted Network Connect", die im Mai angekündigt wurde, also mehr als ein halbes Jahr, nachdem Cisco seine Sicherheitspläne veröffentlicht hatte. Beteiligt sind unter anderem Konkurrenten des Netzausrüsters wie Juniper Networks und Foundry Networks, aber auch die gleichen Virenbekämpfungs-Spezialisten, die auch Mitglied im NAC-Club sind.
Die Cisco-Wettbewerber kritisieren, dass der Hersteller zwar die Schnittstelle zum Trust Agent öffnen möchte, jedoch nicht die erforderlichen Interfaces, die nötig sind, um auch Netzgeräte von Rivalen in eine NAC-Umgebung einzubinden. Diese Meinung vertritt zum Beispiel der Personal-Firewall-Spezialist Zone Labs. Die Firma gehört mittlerweile dem Sicherheitsanbieter Checkpoint, dessen Firewall-Systeme mit Cisco-Angeboten im Wettbewerb stehen. (fn)
Abb: Virenschutz und Netzgeräte arbeiten Hand in Hand
Ciscos Network Admission Control bietet eine Zugangskontrolle für Remote-Access, etwa vom Home Office, Extranet oder Wireless LAN. Gemäß der vordefinierten Richtlinien erhalten nur mit Virenschutz ausgestattete Endgeräte Zugang zu Netzressourcen. Quelle: Cisco