Das Angebot an Lösungen zum Schutz vor Fremdgeräten im Firmennetz ist in den vergangenen Jahren stark gewachsen. Es handelt sich dabei um einen recht jungen Markt, der sich vor allem technisch noch stark entwickeln wird. Im Angebot sind derzeit weniger Komplettlösungen als vielmehr eine Sammlung aus Einzellösungen und Komponenten für verschiedene Teilbereiche. Entsprechend stehen die Anwender vor einer Vielfalt an technischen Methoden, die sich in ihrem Sicherheitsniveau und Implementierungsaufwand stark unterscheiden.
Zwar richten die NAC-Hersteller zwischen ihren Produkten immer mehr Schnittstellen ein, die aber eher eine Alibifunktion haben. Selbst Hersteller, die mit ihrem Portfolio die gesamte NAC-Thematik abdecken, weisen noch Lücken auf und bieten ein Sammelsurium an Produkten, deren Zusammenspiel oft nicht gewährleistet ist. Wie die Beratungspraxis zeigt, fehlt es auf Anwenderseite zudem häufig an genauen Kenntnissen der verschiedenen Methoden. Ein Vergleich der wichtigsten Verfahren soll Orientierungshilfe im NAC-Dschungel bieten.
802.1x mit Radius
Diese zurzeit wohl sicherste Methode hat den Vorteil, dass eine Authentifizierung am Switchport erfolgt, noch bevor der Zugriff auf das Netz gewährt wird. Bei diesem Standard sind allerdings mindestens drei Komponenten (Client, Switch und Radius-Server) erforderlich, die aufeinander abgestimmt sein müssen. Schwierig ist, dass nicht alle Endgeräte diese Authentifizierungsmethode unterstützen. Darüber hinaus sind die Implementierungsmethoden der Switch-Hersteller nicht einheitlich. Für einen unternehmensweiten Einsatz in heterogener Umgebung ist der Standard 802.1x derzeit noch schwer umzusetzen. Bei Anschaffung einer neuen homogenen Infrastruktur ist er jedoch eine sinnvolle Alternative.
Bewertung: teuer, aufwändig, sicher.
MAC-Authentifizierung
Sie stellt eine Alternative zu 802.1x dar - vor allem für ältere oder heterogene Netze. Hierbei wird nur die bei der Anmeldung ans Netz erkannte MAC-Adresse vom Radius-Server überprüft, bevor ein Netz-Port freigeschaltet wird. Das ist zwar kein hoher Sicherheitsstandard, bei älteren Endgeräten aber häufig die einzige Möglichkeit zur Authentifizierung. Die Implementierung erfordert die gleichen Voraussetzungen für die Switches und den Radius-Server wie 802.1x.
Bewertung: mittlere Kosten, mittlerer Aufwand, geringe Sicherheit.
Web-basierende Authentifizierung
Hierzu ist die Eingabe von Benutzername und Passwort an einem eigens zur Verfügung stehenden Web-Server erforderlich. Es handelt sich dabei um eine Alternative für Benutzer, bei denen die Implementierung eines Supplicants für 802.1x nicht möglich ist.
Bewertung: mittlere Kosten, wenig Aufwand, mittlere Sicherheit.
Statische Port-/MAC-Zuordnung
Diese Methode sieht eine feste Zuordnung von MAC-Adressen und Switch-Ports vor. Dabei müssen alle kommunizierenden Systeme in die Konfiguration jedes Switchs eingetragen werden. Jedes neue Gerät und jede Löschung zieht somit eine Konfigurationsänderung auf dem Switch nach sich.
Bewertung: günstig, hoher Aufwand, geringe Sicherheit.
Dynamische Port-/MAC-/IP-Zuordnung mittels SNMP
Hier wird die vorhandene Infrastruktur genutzt. Es ist kein Agent auf den Endgeräten notwendig - die gesamte Kommunikation erfolgt mit der Netzinfrastruktur (Switches und Router). SNMP ist ein weit verbreiteter Standard, der nahezu flächendeckend in Unternehmen eingesetzt wird und mit Version 3 auch hinreichend sicher ist. Nahezu alle Netz-Management-Systeme basieren darauf. Durch Verwendung zusätzlicher Tools wie Port-Scanner, VoIP- und WLAN-Module, sFlow/netFlow oder Router-Module können solche Systeme sehr leistungsstark sein und ein Netz-Management-System nahezu ersetzen.
Bewertung: günstig, mittlerer Aufwand, mittlere Sicherheit.
Kerberos Snooping
Damit lassen sich keine Endgeräte lokalisieren, sondern ausschließlich Benutzer authentifizieren. Hierzu muss eine "Inline"-Komponente im Datenstrom zum Anmelde-Server (Active Directory) eingerichtet werden.
Bewertung: günstig, geringer Aufwand, mittlere Sicherheit.
Diese Liste praktikabler Verfahren ist längst nicht umfassend, konzentriert sich aber auf die wichtigsten Methoden zur Identifizierung und Lokalisierung in Netzen. Welcher Ansatz der beste ist, hängt vor allem vom Schutzbedarf und den Investitionsmöglichkeiten eines Unternehmens sowie den jeweils bereits vorhandenen Komponenten ab. Von den vorgestellten Methoden weisen allerdings zweifellos die Systeme mit dynamischer Port-/MAC-/IP-Zuordnung mittels SNMP die größten Vorteile auf, da sie zahlreiche weitere Sicherheits- und Netz-Management-Funktionen bieten. Zudem sind sie mit anderen Methoden gut kombinierbar.
NAC-Projekte richtig planen
Die Auswahl eines bestimmten Ansatzes allein garantiert noch keine bedarfsgerechte NAC-Lösung: Bei diesen Projekten sind nicht nur Hard- und Softwarefragen, sondern auch viele organisatorische und gesetzliche Aspekte zu berücksichtigen. Vor allem ein NAC-Vorhaben kann schnell scheitern, wenn es ausschließlich auf technischer Ebene angesiedelt wird. Es erfordert eine enge Zusammenarbeit zwischen der Geschäftsführung, dem Datenschutzverantwortlichen und dem Security-/IT-Bereich. Gemeinsam gilt es, ein klares Anforderungsprofil zu entwickeln, indem unter anderem folgende Fragen zu klären sind:
-
Gibt es Regelungen, die den Zugriff auf das Netz für Mitarbeiter, Unternehmensgäste und Freiberufler definieren?
-
Ist eine Erkennung und Lokalisierung von Geräten auf Basis der MAC-Authentifizierung möglich und erforderlich?
-
Ist eine Benutzerauthentifizierung beim Netzzugang notwendig (etwa mittels des Standards 802.1x) - und ist sie realisierbar?
-
Dürfen Benutzer auf alle Ressourcen zugreifen oder muss über VLAN-Steuerung eine logische Trennung erfolgen?
-
Sind dafür die Möglichkeiten in der Infrastruktur bereits gegeben?
-
Ist eine Überwachung der Software-Stände und deren Aktualität auf den Endsystemen erforderlich?
-
Gibt es hierfür ein Patch-Management und ist dafür ein Quarantänenetz vorgesehen?
-
Welche Voraussetzungen gelten für Gäste und Mitarbeiter anderer Unternehmen etwa durch ein Gastnetz?
-
Bedarf es einer Überwachung des Gastnetzes?
-
Soll auch für Gäste eine Überprüfung und ein Patch-Management zur Verfügung gestellt werden?
-
Werden im Unternehmen zeitliche Zugangsbeschränkungen praktiziert?
-
Gibt es Regelungen hinsichtlich "Quality of Service" für Benutzer?
-
Bestehen Verfahrensweisen zur Analyse des Benutzerverhaltens im Verdachtsfall (sFlow/netFlow)?
-
Werden Methoden und Techniken eingesetzt, die bei einem Netzzugang spezielle Gerätetypen (etwa Router, VoIP, WLAN) automatisch erkennen?
-
Nutzt das Unternehmen Lösungen, die auch Infrastrukturangriffe und Konfigurationsänderungen bei Infrastrukturkomponenten erkennen, die in den einzelnen NAC-Prozessen nicht detailliert genug definiert sind?
Hierbei handelt es sich nur um eine Auswahl der relevanten Aspekte. Je nach firmenspezifischen Erfordernissen und Infrastrukturbedingungen kann diese wesentlich umfangreicher ausfallen - was die Bedeutung einer präzisen Planung verdeutlicht. Weitere Hilfestellung und Best Practices bietet ein produktneutraler und kostenloser NAC-Leitfaden der COMCO AG. (kf)