Sicherheitsexperten zufolge können gerade NAC-Produkte, von ihren Anbietern als Retter belagerter Firmennetze beworben, externen Angreifern Tür und Tor öffnen. So strotze die aktuelle Generation von NAC-Techniken etwa von Cisco, Microsoft und Symantec vor Schwachstellen, die Angreifern ein Eindringen ins Firmennetz ermöglichten, statuierte Ofir Arkin, Mitgründer und Chief Technology Officer (CTO) bei Insightix, gestern auf der Sicherheitskonferenz "Black Hat USA 2006" in Las Vegas. Ein Beispiel: NAC-Lösungen, die etwa zur Durchsetzung von Sicherheitsrichtlinien DHCP-Proxy-Server (Dynamic Host Configuration Protocol) nutzen, verhindern laut Arkin nicht, dass Systeme statische IP-Adressen (anstelle von DHCP) für ihre Netzverbindungen erhalten. Auf diese Weise würden aber große Bereiche des Firmennetzes für die NAC-Produkte unsichtbar.
Selbst Lösungen, die den Netzzugang über Switches erzwingen wie Ciscos "Network Admission Control", weisen dem Insightix-CTO zufolge Schwächen auf. Da die Cisco-Technik spezifisch für dessen Switches und Router sei, Unternehmen jedoch häufig einen Mix aus Komponenten einsetzten, könnten sich Hacker unschwer über einen nicht verwalteten Switch in das Firmennetz einklinken. Darüber hinaus sei es möglich, MAC- und IP-Adressen von "bekannten" Systemen mit Zugangserlaubnis zu fälschen.
Mehr Kontrolle bieten nach Ansicht von Arkin NAC-Produkte, die Zugangsbedingungen auf Basis des Übertragungsprotokolls 802.1x erzwingen, bevor Systemen eine IP-Adresse zugewiesen wird. Außen vor blieben dabei allerdings Geräte (etwa Legacy-Hardware), die das Protokoll nicht unterstützten.
Auch andere Sicherheitsexperten auf der Konferenz äußerten Zweifel am NAC-Paradigma. Lösungen, die sich auf Antivirensoftware stützten, um Auskunft über die "Gesundheit" eines Systems zu geben, seien unzuverlässig zu Zeiten, in denen immer wieder kritische Schwachstellen in Produkten von Symantec, McAfee und anderen Herstellern entdeckt würden, so Marc Maiffret von eEye Digital Security. Die Vulnerabiltity-Scanning-Tools des Anbieters arbeiten unter anderem mit Ciscos NAC zusammen. Hacker könnten sich Exploits von Antivirensoftware, Web-Browsern und anderen Desktop-Programmen zu Nutze machen, um infizierte Clients so aussehen zu lassen, als seien sie perfekt geschützt, so Maiffret.
Mit der Kritik konfrontiert, räumte Cisco Chief Security Officer (CSO) John Steward ein, dass die NAC-Technik noch in den Kinderschuhen stecke und erst mittelfristig umfassende Sicherheit bieten könne. "Die Technik ist zwar noch nicht ausgereift, erhöht aber die Fähigkeit, das eigene Firmennetz in einem guten Zustand zu halten", so Steward. Naturgemäß ließen sich Schwachstellen finden. Das sei jedoch der falsche Fokus. Cisco wolle die Schwächen beseitigen, sich aber primär auf die Vorteile der Technik konzentrieren. (kf)