Vorsicht bei der Implementierung

Unternehmen, die mit einer Implementierung von NAC in ihrem Netz liebäugeln, sollten einige Punkte beachten. Die größte Einstiegshürde dürfte wohl sein, dass das Konzept nur in einer reinen Cisco-Umgebung funktioniert. Sind im Netz Switches oder Router anderer Anbieter installiert, werden Neuanschaffungen fällig. Wie Stefan Strobel, Geschäftsführer der Sicherheitsfirma Cirosec, berichtet, sind "nur wenige Unternehmen reine Cisco-Shops". Selbst wenn Cisco-Geräte vorhanden sind, ist Vorsicht angebracht: Dierk Steeneck, Systems Engineer beim Sicherheitsdienstleister Ampeg, warnt, dass Switches "höchstens zwei bis drei Jahre alt" sein dürfen, da sie sonst mit hoher Wahrscheinlichkeit nicht NAC-tauglich sind.

Diese Einschätzung teilt Christian Koch, Senior Consultant für Netzwerke bei Secaron, Hallbergmoos. Dem Experten zufolge sind beispielsweise die bereits von Cisco abgekündigten Switches der Reihe "Catalyst 5500" nicht für NAC geeignet und auch nicht dementsprechend nachzurüsten. Es empfiehlt sich auf jeden Fall, einen Blick auf Ciscos Web-Seiten zu werfen und zu überprüfen, ob die vorhandenen Geräte NAC-tauglich sind.

Konkurrenz involvieren

Diesem Problem will Cisco in Zukunft begegnen, indem es anderen Netzausrüstern ermöglicht, NAC-Funktionen in ihre Router und Switches zu integrieren. Sicherheitsexperte Lenßen bestätigt, dass es entsprechende Pläne gebe, die Technik zu öffnen. Wie der Manager erklärt, soll sich NAC in Umgebungen mit unterschiedlichen Netzkomponenten, aber auch mit Hilfe der "NAC Appliance" (früher "Clean Access Appliance") und dem dazugehörigen Management-Server realisieren lassen. Das hätte den Vorteil, dass nicht unbedingt alle Clients mit Trust Agents ausgestattet werden müssen. Nachteil hiervon: Es sind weniger granulare Abfragen nach dem Sicherheitsstatus der Endgeräte möglich.

Für wirklich detaillierte Abfragen führt jedoch kein Weg an einer Installation des CTA auf den Clients vorbei. Diesen Punkt sollten Unternehmen nicht unterschätzen, denn hier herrschen noch einige Unklarheiten. Obwohl Cisco selbst in dem auf seiner Website verfügbaren "Trust Agent Adminstrator Guide" davor warnt, dass die Installation und Konfiguration des CTA auf vielen Clients ein "zeitraubender Prozess" sein kann, sieht Lenßen hier keine Probleme. Der CTA sei sehr schlank und ohne Systemeingriffe zu installieren. Von Vorteil ist sicher, dass Dritthersteller dazu übergehen, die Komponente in ihre eigenen Produkte zu integrieren. So berichtet Ampag-Mann Steeneck, dass aktuelle Versionen von Trend Micros Officescan-Client den CTA bereits mitbringen, er muss nur noch aktiviert werden.

Auch das Erweitern des Trust Agent, so dass er zusätzliche Anwendungen abfragen kann, stellt aus Sicht von Secaron-Experte Koch kein Problem dar: Während der Installation würden lediglich einige Dynamic Link Libraries (DLLs) in ein spezielles Verzeichnis kopiert. Findet der CTA diese beim Start vor, ist er automatisch in der Lage, die dazugehörige Applikation anzusprechen.
Skalierbares Backend

Daneben fordert der Access Control Server einige Aufmerksamkeit. Aus Gründen der Verfügbarkeit sollte das Gerät mindestens in zweifacher Ausführung vorhanden sein. Wie viele ACS tatsächlich benötigt werden, hängt letztlich jedoch vom jeweiligen Umfeld ab und davon, wie häufig der Sicherheitsstatus der Clients abgefragt wird.

Ampeg-Experte Steeneck zufolge stellt die Integration von Ciscos Lösung mit Policy-Servern von Drittherstellern "kein Problem" dar. Er warnt je- doch, das Erstellen von Sicherheitsregeln auf dem ACS zu unterschätzen. Zwar verfügt der Server über eine Web-basierende Oberfläche, insgesamt muss sich ein Administrator jedoch durch "eine Menge Masken" durcharbeiten. In diese sind zur Definition der Regeln auch von Hand Kommandos und Parameter einzugeben, wobei streng auf die Einhaltung der Cisco-typischen Kürzel und der Syntax zu achten ist.

Nicht nur deswegen mahnt der Experte zur Vorsicht und rät "jedem Unternehmen, sich intensiv mit der Ersteinrichtung beziehungsweise der Pflege der Sicherheitsregeln zu beschäftigen". Es bestehe sonst die Gefahr, selbst durch einen kleinen Fehler das gesamte Netz lahm zu legen.

Experte Strobel rät Unternehmen auf jeden Fall, das Thema NAC in mehreren Stufen anzugehen. So lasse sich zuerst die notwendige Infrastruktur schaffen, aber noch niemand in die Quarantäne-Zone zwingen. Dann sollten Daten darüber gesammelt werden, wie viele Clients die erwogene Policy überhaupt erfüllen. In einem nächsten Schritt sind die Clients anzupassen, so dass mindestens 90 Prozent die Zugangsbedingungen erreichen. "Erst wenn das erledigt ist, kann ich daran denken, die Lösung scharf zu schalten", fasst der Cirosec-Mann zusammen.