Foto:
Projekte zur Network Access Control (NAC) bestehen aus einer Reihe von Sicherheitsmaßnahmen und Prozessen zum Schutz der gesamten Netzinfrastruktur und der darüber transportierten Daten eines Unternehmens. NAC betrifft dabei keineswegs, wie Friedhelm Zawatzky-Stromberg, Vorstand der Comco AG, betont, nur die IT-Abteilung. Vielmehr verberge sich dahinter in der Regel ein umfangreiches Projekt mit weitreichenden Konsequenzen für die tägliche Arbeit fast aller Mitarbeiter.
Umso wichtiger ist eine gründliche Vorbereitung, in die neben der IT-Abteilung und den Sicherheitsverantwortlichen auch die Geschäftsleitung einbezogen sein sollte. Alle Verantwortlichen müssen überzeugt sein, dass ein solches System nicht der Mitarbeiterüberwachung dient, sondern das Unternehmen vor Datenmissbrauch und Spionage schützt.
Zunächst sollten die Betreiber in der Vorbereitungsphase die vorhandene Infrastruktur komplett inventarisieren, um sich einen Überblick über die technischen Realisierungsmöglichkeiten und notwendigen Investitionen zu verschaffen. Als Nächstes gilt es, den Blick auf die erforderlichen Ziele zu richten. Dabei ist festzulegen, wann und in welchen Schritten die einzelnen NAC-Prozesse implementiert werden können. Der erste Schritt sollte dabei zum Erkennen und Autorisieren aller Hardwarekomponenten führen, und zwar möglichst mit Hilfe der vorhandenen Netzkomponenten und Technologien. Eine Investition in neue Infrastrukturkomponenten kann auf diese Weise vermieden werden. In der Regel ist damit ein erheblicher Schritt in Richtung Sicherheit getan, und dies oft mit überschaubarem Aufwand.
Typische Probleme bei der Planung
Foto: Lampertz (http://www.lampertz.de/)
NAC-Planungen müssen sich an dem Grundsatz orientieren, mit wirtschaftlich vertretbarem Aufwand und unter Einbeziehung der vorhandenen Infrastrukturen und Ressourcen die größtmögliche Sicherheit in einem vertretbaren Zeitrahmen zu schaffen. Doch der Anwender steht dadurch bei seiner Konzeptentwicklung vor einer entscheidenden Schwierigkeit, weil das Marktangebot an NAC-Lösungen unübersichtlich ist und zudem viele Lösungen aus einer Sammlung von Einzellösungen und Komponenten bestehen, die jeweils nur Teilbereiche abdecken. Auch das Zusammenspiel von Produkten verschiedener Hersteller weist erhebliche Defizite auf. Zwar gibt es oft Schnittstellen, die jedoch meistens wie ein Buch mit sieben Siegeln wirken und nur als Alibi zur Verfügung gestellt werden. Auch Hersteller, die mit ihrem Produktportfolio die gesamte NAC-Thematik abdecken, haben oft nicht dafür gesorgt, dass die einzelnen Produkte zusammenspielen.
NAC und die Geräteerkennung
Foto: Getty Images,Jeffrey Cooligde
Ein weiteres Problem besteht darin, bei der Ermittlung von Geräten zu erfahren, um welche Art von Gerätetyp es sich handelt und wie bei Erkennung eines solchen Systems zu verfahren ist. Dies stellt sich deshalb als schwierig dar, weil nur ein Teil der erkannten Systeme Endgeräte wie Laptops und PCs sind. Ein erheblicher Teil dürfte aus Servern, Druckern, WLAN, VoIP, Routern etc. bestehen, die ihrerseits redundante Systeme (Cluster) bilden können. Je nach Hersteller und verwendeten Protokollen ist es mühsam, hier Fehlalarme auszuschließen, zumal solche Systeme ständig durch Wartungsarbeiten und Failover geändert werden. Dies führt gerade bei der Erstkonfiguration von NAC-Systemen mitunter zu erheblichen Schwierigkeiten. Da eine automatische Erkennung oft nicht gewährleistet werden kann, werden hier Systeme mit vielfältigen Hilfefunktionen gebraucht.
Erschwerend kommt hinzu, dass in den meisten Unternehmen die Geräte und Applikationen unter administrativer Kontrolle verschiedener Abteilungen stehen, die unabhängig voneinander arbeiten. Aus diesem Grund bedarf es für die Einrichtung und den Betrieb von NAC-Systemen einer entsprechenden Berechtigungsstruktur. Zu klären ist außerdem, wer auf welche Ressourcen zugreifen darf. Diese Informationen finden sich häufig bereits in Verzeichnisdiensten.
NAC-Leitfaden
Das Erkennen und Lokalisieren von Endsystemen ist die Grundlage eines jeden NAC-Projekts und sollte bereits vor der eigentlichen Planung erfolgen. Zur Identifizierung der Endgeräte empfiehlt sich die MAC- und IP-Adresse.
Je eindeutiger eine Identifizierung ist, desto sicherer ist das Gesamtsystem. Deshalb sollten grundsätzlich alle Endgeräte mit MAC- und IP-Adressen wie Computer, Drucker, Router, Switches und Server in die NAC-Infrastruktur einbezogen werden.
Jeder Ansatz, der nicht herstellerübergreifend mit hohem Implementierungsgrad in die Infrastruktur integriert werden kann und dabei auf Standardschnittstellen aufsetzt, führt mittelfristig in eine Sackgasse und zu unverhältnismäßig hohen Folgekosten oder Abhängigkeiten.
Bei der Produktauswahl muss eine transparente Roadmap des Herstellers erkennbar sein, die plausibel darlegt, dass das Produkt ausgereift ist. Der präferierten NAC-Lösung sollte ein zukunftssicheres und praxisbewährtes Konzept zugrunde liegen.
Da solch ein NAC-Projekt schnell unübersichtlich werden kann, ist in jedem Fall eine schrittweise Implementierung zu empfehlen. Die ausgesuchten Lösungen sollten zunächst in kleinen Umgebungen hinsichtlich Funktion und Schnittstellen getestet werden. Dies macht transparent, wie hoch der Aufwand für Installation, Betrieb und Wartung der Systeme ist.
Den Autorisierungsprozess gilt es in der NAC-Konzeption mit besonderer Sorgfalt zu planen. Nicht umsonst scheuen sich viele Unternehmen, diesen Prozess einzuführen, da es zu eklatanten Problemen kommen kann, wenn er versagt. Denn dadurch können nicht nur einzelne Endgeräte, sondern auch Unternehmensbereiche oder wichtige Ressourcen gestört werden oder gar nicht mehr verfügbar sein. Trotzdem ist dieser Prozess unverzichtbar, da er den größten Beitrag zum Schutz des Unternehmens leistet.
Konzeption für NAC-Projekte
Angesichts der beträchtlichen Komplexität der NAC-Projekte besteht die Gefahr, sich im Dschungel von Anforderungen und Marktprodukten zu verlieren. In der Praxis hat es sich deshalb bewährt, entsprechende Projekte anhand eines Leitfadens (siehe Kasten) zu realisieren. Umfassendere Hilfen und Best-Practice-Beispiele bietet beispielsweise auch der NAC-Leitfaden der Comco AG, der gegen Registrierung kostenlos unter http://www.comco.de/aktuelles/praxishilfen-leitfaeden/ abzurufen ist.