Was Sie über NAC wissen sollten

Was ist NAC?

Es ist immer wieder überraschend, wie sehr die Erwartungen und Vorstellungen zu NAC auseinandergehen. Manche verbinden hiermit die schlichte Registrierung und Autorisierung von Endgeräten anhand der (nicht ganz so) eindeutigen MAC-Adresse im IP-Netz. Andere hingegen verstehen unter NAC den Schutz des gesamten Netzes vor Viren und Würmern sowie Netzgeräten, die nicht den Unternehmensrichtlinien entsprechen. Oft wird auch eine Lösung für den kontrollierten Netzzugriff durch Gäste als NAC bezeichnet.

Wer braucht NAC?

NAC ist für jedes Unternehmen sinnvoll, das die genannten Funktionen abdecken möchte. Realistisch ist es ab etwa 500 Arbeitsplätzen interessant - abhängig nicht zuletzt vom Know-how der IT-Mitarbeiter. Grundsätzlich gilt: je mehr Standorte involviert sind, desto höher der Bedarf. Bei kleineren Unternehmen empfiehlt sich ein entsprechender Managed Service beziehungsweise eine Erweiterung bestehender Services hin zu NAC.

Welche Prozesse beinhaltet NAC?

NAC umfasst eine Vielzahl von Prozessen, die den Zugang zum Netz ermöglichen und gleichzeitig Sicherheit gewährleisten sollen. Die einzelnen Prozesse beziehungsweise Schritte sind:

• Detect: eindeutige Identifizierung und Lokalisierung von neuen Geräten am Netz;

• Authenticate: eindeutige Authentifizierung der Identität des Nutzers und/oder Geräts;

• Assess: Prüfung des Endgeräts auf Richtlinienkonformität und/oder Schwachstellen;

• Authorize: Zugangserlaubnis mit möglichen Beschränkungen (wie Quarantäne) basierend auf dem Ergebnis der Authentifizierung und des Assessments;

• Remediate: Beheben von Problemen und Sicherheitsmängeln, aber auch automatisierte Kommunikation mit den Nutzern (Hilfestellung, Statusmeldungen);

• Monitor: Überprüfung des Nutzer- und Geräteverhaltens während der gesamten Zeit im Netz;

• Contain: reaktive Quarantäne bei der Feststellung von verdächtigem Verhalten des Endsystems.

Wie unterscheidet sich NAP von NAC?

Einige IT-Anbieter setzen weniger auf offene Standards und bringen eigene Interpretationen des beschriebenen NAC-Konzepts auf den Markt. So etwa Microsoft, dessen Zugangskontrolllösung NAP (Network Access Protection) mit MS Vista und Server 2008 Einzug hielt. Der NAP-Client unterstützt DHCP, VPN und 802.1x Enforcement.

Folgendes Mapping gilt für NAP in Bezug auf das NAC-Modell der Internet Engineering Task Force (IETF), einer Organisation, die sich mit der technischen Weiterentwicklung des Internets befasst, um dessen Funktionsweise zu verbessern:

• Posture Collector: System Health Agent (SHA);

• Client Broker: NAP Agent (Quarantine Agent QA);

• Network Access Requestor: NAP Enforcement Client (Quarantine Enforcement Client QEC);

• Policy Enforcement Point: NAP Enforcement Server (Quarantine Server QS);

• Network Access Authority: Network Policy Server (NPS);

• Server Broker: Network Policy Administration Server;

• Posture Validator: System Health Validator (SHV)

Der "Enforcement Point" kann aber auch in der Netzinfrastruktur liegen, die Steuerung erfolgt dann via Radius-Server.

Allerdings besteht der Endgerätemarkt nicht nur aus Microsoft-Produkten. Aus Gründen der Kompatibilität ist daher ein offener NAC-Ansatz vorzuziehen, der auch NAP integrieren kann.

Wer ist in die Planung eines NAC-Projekts zu involvieren?

Unternehmensweit eingeführt ist NAC ein umfangreiches Projekt, das gute Vorbereitung erfordert. Letztere ist entscheidend für den Erfolg der späteren Umsetzung, da sich viele Probleme im Vorfeld erkennen und lösen lassen. Um die gewünschten Effekte zu erzielen, müssen Netz-, Security- und Desktop-Management-Abteilung eng zusammenarbeiten - sowohl in der Konzeption als auch im Betrieb: Für die Netzabteilung gilt es, Endgeräte und Nutzer entsprechend zu authentifizieren. Dazu muss Zugriff auf Directory Services erfolgen. Die Sicherheitsabteilung hat die Compliance-Vorgaben zu definieren und zu kommunizieren. Aufgabe der Abteilung Desktop-Management wiederum ist es, die Vorgaben zu prüfen und der Netzabteilung in geeigneter Form als zusätzlichen Parameter für die Authentifizierungsphase mitzuteilen. Security- und Netzabteilung haben zusammen zu definieren, wie mit einem nicht konformen Endsystem zu verfahren ist, welche Zugriffe noch möglich sein sollen und in welchen Schritten das Problem zu beheben ist.

Wie viel Zeit erfordert eine NAC-Implementierung, und mit welchen Kosten ist zu rechnen?

Je nach Einsatzszenario, Ausgangssituation und Größe des Unternehmens kann die Dauer einer Implementierung stark variieren - zwischen vier Wochen und 18 Monaten ist hier alles möglich. Was die Kosten betrifft, sind pro Endgerät etwa zehn bis 20 Euro zu veranschlagen.

Wie lässt sich ein Endsystem oder Benutzer eindeutig identifizieren?

Im Netzbereich sind MAC- und IP-Adressen besonders beliebt - allerdings bieten diese im Bezug auf den Wahrheitsgehalt keine Sicherheit. Da sich diese Adressen ohne größere Probleme in weniger als zwei Minuten ändern lassen, sind sie als Identifizierungsmerkmale nur bedingt geeignet. In der Tat hängt die Erkennung der Endgeräte eng mit der Authentifizierung zusammen. Meist verzichtet man in diesem ersten Schritt allerdings auf die Durchsetzung eines Regelwerks, nutzt aber dennoch dieselben Mechanismen der Authentifizierung zur Erkennung des Endsystems.

Welche Authentifizierungsverfahren sollte eine NAC-Lösung unterstützen?

Folgende Ansätze unterstützt eine NAC-Lösung im Idealfall:

802.1x-Authentifizierung: Die sicherste Lösung stellt die Erkennung der Endsysteme am Switch-Port mittels 802.1x-Authentifizierung dar. Sie erfordert entsprechende Funktionen auf Seiten des Switches, des Clients und einer lokalen Authentifizierungsinstanz (Radius Server). Damit lassen sich sowohl Geräte als auch Benutzer identifizieren. Allerdings ist der flächendeckende Einsatz aufgrund von Einschränkungen in einem der genannten Bereiche meist nicht möglich. So gibt es Endgeräte ohne "802.1x Supplicant" (die Software zur Authentifizierung) wie zum Beispiel ältere Drucker und IP-Video-Anlagen, oder die Switches unterstützen den Standard nicht. Zudem können damit keine Gäste erfasst werden.

MAC-basierende Authentifizierung: Hier wird dieselbe Infrastruktur genutzt wie bei einer 802.1x-Infrastruktur, lediglich auf Zertifikate und/oder Anmeldedaten wird verzichtet. Der Switch verwendet die MAC-Adresse als Ersatz für den Benutzernamen und gleicht diese mit dem Radius-Server ab. In 802.1x-fähigen Netzen kann dieses Verfahren verwendet werden, um Endsysteme ohne "Supplicant" gegen einen Radius-Server abzugleichen. Oder man baut im gesamten Netz ausschließlich auf diese Technik und steigt erst später bei einigen Endgeräten auf 802.1x um. Eine solche Authentifizierung ist allerdings nur bedingt zuverlässig und sollte ausschließlich in Verbindung mit einer sehr restriktiven Autorisierung genutzt werden - wenn keine andere Möglichkeit zur Verfügung steht. Weitere Abfrageinformationen wie etwa den Benutzernamen gibt es nicht, und spätere Autorisierungen können nur an die Hardwareadresse des Endgeräts gebunden werden. Von Vorteil ist hier allerdings die zentrale Verwaltung aller Teilnehmer über den Radius-Dienst.

Web-basierende Authentifizierung: Diese Methode lagert den "Supplicant" auf ein zusätzliches Web-Portal aus, an dem sich der Benutzer anmelden kann. Somit können sich vor allem Gäste und Systeme ohne die erforderlichen Voraussetzungen im Netz registrieren. Bei Gastzugängen ist teilweise sogar nur eine einfache Registrierung notwendig. Eine elegante Lösung für einen sicheren Gastzugang ist die "sponsored Registration", bei der ein existierender Benutzer mit seinen Anmeldedaten für einen Gast "bürgt". Auf diese Weise lässt sich bei eventuellen Verstößen wesentlich leichter nachvollziehen, wer den Besucher in das Netz gebracht hat. Zudem muss die Verwaltung der Gäste nicht durch die IT-Abteilung erfolgen. Diese Methode eignet sich jedoch nicht, um Geräte wie Drucker zu authentifizieren. Üblicherweise ist dies mit einer "Default Policy" verbunden, die ausschließlich Verbindungen zum Web-Portal erlaubt und erst nach einer erfolgreichen Authentifizierung weitere Dienste zulässt. Hierbei ist jedoch zu beachten, dass die meisten Lösungen diese Beschränkung durch eine dynamische VLAN-Konfiguration realisieren. Das trennt ein Endsystem zwar vom produktiven Netz, die Kommunikation zwischen den Geräten in einem solchen Quarantäne-VLAN bleibt dabei jedoch meist uneingeschränkt. Hierbei gilt es zu bedenken, dass VLANs nicht etwa Sicherheits-, sondern nur logische Broadcast-Container sind.

Darüber hinaus gibt es Möglichkeiten wie Kerberos (Snooping), die es erlauben, NAC rasch in bestehende Netze zu implementieren. Beim Snooping erfolgt die Authentifizierung nicht direkt durch das NAC-System - vielmehr inspiziert das System Datenpakete im Netz, die bei einer erfolgreichen Authentifizierung (etwa via Kerberos) ausgetauscht werden. Auf dieser Basis werden dann die weiteren Schritte des NAC-Prozesses angestoßen.

Welche Arten von Assessments gibt es, und was sind deren Aufgaben?

Aufgabe des Assessments ist es, das Endsystem auf Konformität und/oder Schwachstellen zu prüfen. Hierbei wird unter anderem getestet, ob die Firewall arbeitet oder wie anfällig ein System für Angriffe ist. Ein fest in den Anmeldeprozess eingebundenes Assessment ist noch nicht weit verbreitet, obwohl dieser Aspekt ebenso zu NAC gehört wie die Authentifizierung. Hier sind "Standards" wie Microsofts NAP und Trusted Network Connect (TNC) der Trusted Computing Group anzusiedeln. Auch die IETF versucht sich hier - allerdings bleibt abzuwarten, wie sich dies entwickelt. Ziel des Assessments ist, über den Port-Rand hinaus zu blicken und zu prüfen, wie es auf dem Client selbst aussieht. Unterschieden werden dabei zwei Hauptvarianten mit den dazugehörigen Unterkategorien:

Agentenlos:

• "Network based": ein Netzscanner, der das Endgerät von "außen" prüft.

• "Applet based": ein Java-Applet, das nur im Browser ausgeführt wird.

Agenten-basierend:

• "Thin Agent": ein Agent, der nur zur Laufzeit des Systems vorhanden ist.

• "Fat Agent": in der Regel eine persistente Suite mit Firewall und Host Intrusion Detection.

Welche Vor- und Nachteile haben agentenlose Lösungen?

Der Umfang der Testmöglichkeiten hängt hier stark von der Software für ein Assessment ab. Der Markt für Vulnerability-Scanner ist mittlerweile gut ausgeprägt und bietet eine Vielzahl an Programmen, die genau diese Aufgabe übernehmen und durch ständig neue Testsets aktuell gehalten werden können. Vorteile dieses Ansatzes sind eine schnelle Implementierung, häufige Signatur-Updates, umfangreiche Tests und hohe Endsystemkompatibilität. Zu den Nachteilen zählen limitierte Skalierbarkeit, hohe Netzlast und eine möglicherweise lange Scan-Dauer.

Welche Vor- und Nachteile haben agentenbasierende Lösungen?

Ein Agent ist eine eigenständige Software, die autonom auf einem Endsystem ausgeführt wird und dort, hinter den feindlichen Linien des Switch-Ports, über den jeweiligen Zustand berichtet und in manchen Fällen sogar proaktiv gegen Verstöße vorgeht (Self Enforcement). Der große Vorteil: Alle Daten lassen sich direkt auf dem System abfragen und sofort prüfen. Die Kehrseite der Medaille: Der Agent muss erst einmal auf dem Endsystem installiert werden und muss zudem wissen, was überhaupt zu prüfen ist. Gerade in Umgebungen mit vielen unterschiedlichen Betriebssystemen und Anwendungen kann das viele Konfigurationsänderungen am Client nach sich ziehen - oder den Einsatz gar verhindern. Weiterhin muss der Agent "sozial" sein und sehr viel mit seiner Umgebung kommunizieren können, was sich allerdings bei einem Einsatz von Soft- und Hardware verschiedener Anbieter meist als schwierig darstellt. Es ist kein besonders gut gehütetes Geheimnis, dass viele Hersteller versuchen, die Bindung zu ihrer NAC-Lösung mit eigenen Agenten zu stärken und somit eine Diversifizierung mit anderen Lösungen zu unterbinden. Im Gegensatz zum agentenlosen Scan verrichtet der Agent seine Arbeit selbst und meldet sich mit den Ergebnissen zurück, so dass die Prüfung in der Regel wesentlich schneller erfolgt und die Last auf das Endsystem verlagert wird. Somit ist besonders in größeren Netzen optimale Skalierbarkeit gewährleistet. Gegebenenfalls kann die Behebung des Problems (Auto Remediation) sogar direkt erfolgen, etwa durch das Einschalten der Firewall.

Wie lässt sich eine effektive Autorisierung sicherstellen?

Die Autorisierung setzt die in der Konzeptionsphase geplanten Restriktionen um. Dabei gibt es mehrere Möglichkeiten, die im Wesentlichen von dem Leistungsvermögen des Netzes und/oder der NAC-Lösung abhängen. Die Entscheidungsgrundlage für die Art des Enforcements ergibt sich zudem aus den jeweiligen Sicherheitsanforderungen und dem Aufbau der Infrastruktur selbst. So ist im Vorfeld zu bedenken, ob sich mehrere Endsysteme einen Zugang am Switch-Port teilen sollen beziehungsweise ob Geräte, Benutzer, ganze Ports oder einzelner Verkehr zu berücksichtigen sind.

In der Praxis werden 802.1x- und andere Authentifizierungsverfahren mit RFC 3580 (Port-/VLAN-Zuweisung) oder Policys, so verfügbar, meist kombiniert. In anderen Fällen werden üblicherweise In-Line-Appliances eingesetzt, die diese Funktion nachliefern - vor dem Erwerb einer solchen Appliance sollte man allerdings beachten, ob das Netz in naher Zukunft nicht ohnehin aufgerüstet wird. Für den Appliance-Einsatz könnte jedoch auch der Sicherheitsbedarf sprechen, etwa wenn das Netz keine Policys unterstützt und diese mit einer solchen Lösung nachträglich umgesetzt werden sollen. Letztere Variante bietet sich für zentrale WAN-Übergänge an - vor allem, wenn kein direkter Zugriff auf die Infrastruktur der Remote Sites besteht.

Remediation: Was tun, wenn etwas passiert ist?

Bei der Remediation geht es darum, ein Endsystem wieder in einen konformen Zustand zu bringen und damit bestehende Restriktionen im Hinblick auf den Zugang zum Netz aufzuheben. Eine automatisierte Remediation lässt sich praktisch nur mit einem Agenten umsetzen, da in den meisten Fällen die Konfiguration geändert wird oder gar Dienste wie etwa die Firewall zu starten sind. Eventuell kann ein Software-Management durch die NAC-Lösung getriggert werden, um das Problem zu beheben. Für die manuelle Remediation wiederum bietet sich in der Regel ein Web-Server an, auf den der Benutzer umgeleitet wird. Der Vorteil: zentrale Verwaltung und die einfache Möglichkeit, Sprache, Layout und Corporate Identity anzupassen.

Eine Remediation lässt sich bei Endsystemen ohne Benutzereingriff oder Automatisierung so gut wie gar nicht ohne zusätzliche administrative Eingriffe realisieren. Auf der anderen Seite sollten solche Systeme auch wesentlich seltener verändert werden als ein normaler Client, auf dem sich zusätzliche Software installieren lässt. In der Tat entscheidet eine gut implementierte Remediation darüber, wie viel Zusatzaufwand NAC im laufenden Betrieb verursacht, da sie den Löwenanteil an Troubleshooting auf den Benutzer oder die Agenten verlagert und somit viel Zeit sparen kann.

Wie lässt sich die NAC-Lösung auch für Post-Connect-Sicherheit nutzen?

NAC eignet sich ideal als Ergänzung zu Security-Monitoring und Intrusion-Detection-Systemen (IDS) mit Verhaltensanalyse. Ein solches Monitoring lässt sich in NAC integrieren, um ein effektives und granulares Schutzkonzept zu realisieren und das Beste aus beiden Welten zu vereinen. Je offener die Schnittstellen der NAC-Lösung sind und je mehr Sicherheitssysteme sich diese zunutze machen können, desto größer ist der darüber zu erzielende Nutzen. Das Ergebnis ist eine performante Erkennung von Angriffen und ein wirksames Mittel für die automatisierte Gegenwehr. (kf)