Seit etwa zwei Jahren diskutiert die Sicherheitsbranche neuartige Konzepte, die sich um Begriffe wie Endpoint Security und Quarantänenetze drehen. Dabei geht es immer darum, der zunehmenden Aufweichung der Unternehmensgrenzen dadurch Rechnung zu tragen, dass die Endgeräte stärker in die Sicherheitsarchitektur einbezogen werden. Indem nur solche Clients Zugriff zum Netz erhalten, die den im Unternehmen geltenden Sicherheitsvorgaben entsprechen, sollen sich die Verbreitung schädlicher Inhalte und Ausfälle der zentralen IT-Infrastruktur verhindern lassen.

Eine Frage der Regeln

Anwender können dabei selbst definieren, welche Sicherheitsansprüche sie im Einzelnen an ihre Endgeräte stellen. Unter anderem lässt sich abfragen, ob eine Firewall installiert und aktiviert ist, ob ein Antivirenscanner vorhanden ist und über aktuelle Signaturen verfügt oder ob sich das System auf einem bestimmten Patch-Status befindet. Abhängig vom Ergebnis dieser Überprüfung erhält das anfragende Gerät dann unbeschränkten Netzzuggriff, wird geblockt oder in einen Quarantäne-Bereich geleitet, der nur begrenzte Funktionen bietet oder das Gerät auf den verlangten Status bringt.

Cisco Systems vermarktet diese Technik und die dazugehörigen Lösungen unter dem Schlagwort Network Admission Control (NAC). NAC wurde erstmals vor zwei Jahren vorgestellt, jetzt hat der Hersteller offiziell die zweite Phase eingeläutet. Unter anderem geht es dabei darum, dass nun auch ein Großteil der Switches sowie Wireless-Access- Points NAC-fähig sind. Eine Reihe von Herstellern, darunter Sygate, Juniper Networks oder Portwise, bietet ähnliche Konzepte für das Absichern von Endgeräten an. Selbst Microsoft arbeitet unter dem Schlagwort Network Access Protection (NAP) an einer diesbezüglichen Lösung.

Nach Angaben von Klaus Lenßen, Business Development Manager Security & Government Affairs bei Cisco, gibt es zwischen beiden Herstellern jedoch eine Übereinkunft, dass Microsoft den für die Client-Überwachung zuständigen "Cisco Trust Agent" (CTA) als Bestandteil von Windows Vista mit ausliefern wird.

Neben dem CTA setzt NAC auf weitere zentrale Komponenten: Zusätzlich zu den jeweiligen Netzzugangsgeräten (also Routern, Switches oder WLAN-Access-Points), an denen sich der Client anmeldet, ist hier der zentrale Policy-Server (Ciscos "Secure Access Control Server" in Verbindung mit Policy-Servern von Drittherstellern) zu nennen. Wie diese zusammenspielen, erläutert ein Beispiel.

Das Prinzip

Will ein Mitarbeiter mit seinem Laptop über WLAN auf das Unternehmensnetz zugreifen, meldet sich der auf dem Rechner installierte CTA bei einem Access Point an. Dieser schickt daraufhin eine Anfrage an den zentralen Policy-Server und erkundigt sich nach den für das Gerät geltenden Sicherheitsbestimmungen, die der zuständige Administrator zuvor definiert hat. Anhand der Policys fragt der CTA die auf dem Client installierten Security-Programme und deren Status ab und meldet das Ergebnis an das Zugangsgerät. Abhängig von dem sich in der Summe ableitenden Sicherheitsstatus wird dem Client nun ein Label zugeordnet ("Healthy", "Checkup", "Quarantine", "Infected" oder "Unknown"), das darüber entscheidet, welche Rechte das Gerät erhält.

Entscheidend hierfür sind die Richtlinien, die auf dem Access Control Server (ACS) entweder direkt hinterlegt sind oder die dieser von produktspezifischen Policy-Servern bezieht. So sieht es zum Beispiel bei NAC und Trend Micros "Officescan"-Lösungen so aus, dass die für die Antivirenlösung geltenden Sicherheitsregeln für die Clients auf Trends eigenem Policy-Server hintergelegt sind. Zusätzlich zu diesem liefert der Hersteller seine Officescan-Suite mit einem "Policy Server für Cisco NAC" aus, der als eine Art Middleware agiert: Über diese Komponente lassen sich die Regeln definieren, die von Ciscos ACS aus abzufragen sind.

Vorsicht bei der Implementierung

Unternehmen, die mit einer Implementierung von NAC in ihrem Netz liebäugeln, sollten einige Punkte beachten. Die größte Einstiegshürde dürfte wohl sein, dass das Konzept nur in einer reinen Cisco-Umgebung funktioniert. Sind im Netz Switches oder Router anderer Anbieter installiert, werden Neuanschaffungen fällig. Wie Stefan Strobel, Geschäftsführer der Sicherheitsfirma Cirosec, berichtet, sind "nur wenige Unternehmen reine Cisco-Shops". Selbst wenn Cisco-Geräte vorhanden sind, ist Vorsicht angebracht: Dierk Steeneck, Systems Engineer beim Sicherheitsdienstleister Ampeg, warnt, dass Switches "höchstens zwei bis drei Jahre alt" sein dürfen, da sie sonst mit hoher Wahrscheinlichkeit nicht NAC-tauglich sind.

Diese Einschätzung teilt Christian Koch, Senior Consultant für Netzwerke bei Secaron, Hallbergmoos. Dem Experten zufolge sind beispielsweise die bereits von Cisco abgekündigten Switches der Reihe "Catalyst 5500" nicht für NAC geeignet und auch nicht dementsprechend nachzurüsten. Es empfiehlt sich auf jeden Fall, einen Blick auf Ciscos Web-Seiten zu werfen und zu überprüfen, ob die vorhandenen Geräte NAC-tauglich sind.

Konkurrenz involvieren

Diesem Problem will Cisco in Zukunft begegnen, indem es anderen Netzausrüstern ermöglicht, NAC-Funktionen in ihre Router und Switches zu integrieren. Sicherheitsexperte Lenßen bestätigt, dass es entsprechende Pläne gebe, die Technik zu öffnen. Wie der Manager erklärt, soll sich NAC in Umgebungen mit unterschiedlichen Netzkomponenten, aber auch mit Hilfe der "NAC Appliance" (früher "Clean Access Appliance") und dem dazugehörigen Management-Server realisieren lassen. Das hätte den Vorteil, dass nicht unbedingt alle Clients mit Trust Agents ausgestattet werden müssen. Nachteil hiervon: Es sind weniger granulare Abfragen nach dem Sicherheitsstatus der Endgeräte möglich.

Für wirklich detaillierte Abfragen führt jedoch kein Weg an einer Installation des CTA auf den Clients vorbei. Diesen Punkt sollten Unternehmen nicht unterschätzen, denn hier herrschen noch einige Unklarheiten. Obwohl Cisco selbst in dem auf seiner Website verfügbaren "Trust Agent Adminstrator Guide" davor warnt, dass die Installation und Konfiguration des CTA auf vielen Clients ein "zeitraubender Prozess" sein kann, sieht Lenßen hier keine Probleme. Der CTA sei sehr schlank und ohne Systemeingriffe zu installieren. Von Vorteil ist sicher, dass Dritthersteller dazu übergehen, die Komponente in ihre eigenen Produkte zu integrieren. So berichtet Ampag-Mann Steeneck, dass aktuelle Versionen von Trend Micros Officescan-Client den CTA bereits mitbringen, er muss nur noch aktiviert werden.

Auch das Erweitern des Trust Agent, so dass er zusätzliche Anwendungen abfragen kann, stellt aus Sicht von Secaron-Experte Koch kein Problem dar: Während der Installation würden lediglich einige Dynamic Link Libraries (DLLs) in ein spezielles Verzeichnis kopiert. Findet der CTA diese beim Start vor, ist er automatisch in der Lage, die dazugehörige Applikation anzusprechen.
Skalierbares Backend

Daneben fordert der Access Control Server einige Aufmerksamkeit. Aus Gründen der Verfügbarkeit sollte das Gerät mindestens in zweifacher Ausführung vorhanden sein. Wie viele ACS tatsächlich benötigt werden, hängt letztlich jedoch vom jeweiligen Umfeld ab und davon, wie häufig der Sicherheitsstatus der Clients abgefragt wird.

Ampeg-Experte Steeneck zufolge stellt die Integration von Ciscos Lösung mit Policy-Servern von Drittherstellern "kein Problem" dar. Er warnt je- doch, das Erstellen von Sicherheitsregeln auf dem ACS zu unterschätzen. Zwar verfügt der Server über eine Web-basierende Oberfläche, insgesamt muss sich ein Administrator jedoch durch "eine Menge Masken" durcharbeiten. In diese sind zur Definition der Regeln auch von Hand Kommandos und Parameter einzugeben, wobei streng auf die Einhaltung der Cisco-typischen Kürzel und der Syntax zu achten ist.

Nicht nur deswegen mahnt der Experte zur Vorsicht und rät "jedem Unternehmen, sich intensiv mit der Ersteinrichtung beziehungsweise der Pflege der Sicherheitsregeln zu beschäftigen". Es bestehe sonst die Gefahr, selbst durch einen kleinen Fehler das gesamte Netz lahm zu legen.

Experte Strobel rät Unternehmen auf jeden Fall, das Thema NAC in mehreren Stufen anzugehen. So lasse sich zuerst die notwendige Infrastruktur schaffen, aber noch niemand in die Quarantäne-Zone zwingen. Dann sollten Daten darüber gesammelt werden, wie viele Clients die erwogene Policy überhaupt erfüllen. In einem nächsten Schritt sind die Clients anzupassen, so dass mindestens 90 Prozent die Zugangsbedingungen erreichen. "Erst wenn das erledigt ist, kann ich daran denken, die Lösung scharf zu schalten", fasst der Cirosec-Mann zusammen.