Von Oliver Häussler*

Der Wunsch eines jeden Systemadministrators nach einem sauberen Netz ist groß. Viele Lösungen sind auf dem Markt. Wer sich mit dem Thema auseinandersetzt, merkt aber bald, dass es zwar Plug-and-Play-Ansätze gibt, diese jedoch keinen umfassenden Schutz bieten. Um Sicherheit bei Autorisierung, Authentifizierung und Accounting zu erreichen, bedarf es eines umfassenden Konzepts, das das Projekt wiederum beratungsaufwändig und teuer macht.

Die Gefahr nimmt zu

Der Bedarf an besserer Netzzugangskontrolle steigt mit der wachsenden Zahl von Clients und Nutzern, vor allem aber mit den immer beliebter werdenden mobilen Anwendungen. IT-Abteilungen sind kontinuierlich damit beschäftigt, ihre Unternehmensnetze zu erweitern und den neuesten Gegebenheiten anzupassen. Die Herausforderung für die IT ist es, den Zugriff aufs Netzwerk zuverlässig zu kontrollieren und nicht richtlinienkonforme, nicht autorisierte sowie Gast-PCs zu überprüfen und bei Bedarf auszugrenzen.

IT-Verantwortliche wissen Bescheid über die Gefahren: In einer Befragung der Aberdeen Group nach den Gründen für die Entwicklung einer NAC-Strategie nannten Unternehmen den Schutz vor externen Attacken an erster Stelle, gefolgt vom Schutz der Deskopts, Laptops, Server und anderer IP-Devices. An dritter Stelle stand die Reduktion der Risiken durch unautorisierten Zugang.

Begriffsvielfalt

Drei der bekanntesten Ansätze für die Netzwerkzugangskontrolle sind Network Admission Control (NAC), Network Access Protection (NAP) und Trusted Network Connect (TNC). Es handelt sich um technologische Konzepte zur Unterstützung der Abwehr von Viren und Würmern aus dem Netzwerk heraus. NAC, das am stärksten von Cisco vermarktet wird, und die Microsoft-Variante NAP verfolgen prinzipiell ähnliche Ansätze: Sie prüfen Endgeräte während der Authentisierung auf ihre Richtlinienkonformität - NAC ist stärker an den Netzkomponenten ausgerichtet, NAP mehr am Betriebssystem. Kontrolliert wird beispielsweise, ob die neuesten Sicherheits-Patches oder die neueste Version des Virenscanners installiert sind. Im Negativfall kommen die Geräte unter Quarantäne, wo ihnen - je nach System - die aktuellen Updates aufgespielt werden, damit sie wieder den Sicherheitsrichtlinien entsprechen und im Netz zugelassen werden dürfen.

Auch wenn Cisco und Microsoft ein gut funktionierendes Zusammenspiel ihrer Systeme anstreben, so handelt es sich dennoch um weitgehend proprietäre und somit stark auf die jeweiligen Anbieter ausgerichtete Ansätze. Das hat den Nachteil, dass in einem heterogenen Netz nicht alle Komponenten und Systeme unterstützt werden und die Lösungen nicht in jedes Netz problemlos einzubringen sind.

TNC dagegen ist ein offenes, von der Trusted Computing Group (TCG) entwickeltes Framework, das auch heterogene Netzwerke unterstützt. Der Ablauf ist vergleichbar mit dem von NAC und NAP.

TNC wird von 75 Unternehmen aus der Branche unterstützt, steht aber bei Anwendern in der Kritik, ein "Papiertiger" zu sein, mit dem sich in der Praxis noch nicht viel anfangen lässt. Die Anhänger von TNC fordern die Industrie auf, sich auf einen Standard zu einigen, um die Leistung der Produkte zu erhöhen.

In der Tat gibt es inzwischen Bestrebungen, die Interoperabilität von NAC, NAP und TNC zu verbessern. So hat Microsoft, selbst TCG-Mitglied, sein NAP-Client-Server-Protocol "Statement of Health" (SOH) dem Konsortium gegenüber offengelegt. Ziel ist es, die Interoperabilität von NAP-Clients und -Servern mit TNC-konformen Clients, -Servern und -Infrastruktur zu gewährleisten. Auch der führende Protagonist von NAC, Cisco Systems, hat eine Partnerschaft mit Microsoft angekündigt, um das Zusammenspiel von NAC und NAP zu verbessern. Die Ansätze für mehr Offenheit sind also gegeben. Bis es zu einem herstellerübergreifenden Standard kommt, dürfte jedoch noch viel Zeit vergehen - und die Anwender sind bis dahin auf bestehende Lösungen angewiesen.

Schnelle Lösung

Eine Reihe von Herstellern bietet NAC-Appliances an, die eine geeignete Lösung für den Gastzugang versprechen. So beispielsweise Cisco Systems, dem Hersteller wie 3Com oder Juniper gefolgt sind. Diese Appliances sind attraktiv, weil sie von der Kostenkalkulation und vom Implementierungsaufwand her überschaubar sind. Außerdem haben sie den Vorteil, dass sie auch in heterogenen Netzwerken mit veralteten Komponenten funktionieren, wie beispielsweise Switches, die noch nicht den Standard 802.1X unterstützen.

Inwiefern NAC-Appliances ins gesamte Sicherheitskonzept passen und somit das Netzwerk weitreichend absichern, wird vielfach in Frage gestellt. Tendenziell sind sie weniger für Großunternehmen, als für mittelständische Betriebe geeignet.

Sicherheit in Infrastruktur integrieren

Wer auf ausreichende Sicherheit setzt, um die Abwehr äußerer und innerer Gefahren in seinem Netz zu verankern, kommt um einen strategischen Ansatz nicht herum. Bevor man sich für einen Anbieter beziehungsweise eine Technologie entscheidet, sollte man sich jedoch mit der Frage befassen, welche Ziele mit der Einführung von NAC erreicht werden sollen. Will man lediglich wissen, welcher Teilnehmer und welche Geräte an die Infrastruktur angebunden sind, so ist diese Funktion in vielen Lösungen integriert - je nach Anbieter mit unterschiedlicher Ausprägung in den Detailinformationen. Geht es um die Überprüfung der Endgeräte-Compliance, so gilt es, die weiteren Entwicklungen der Standardisierung durch die TCG zu verfolgen und zu beobachten, welche Früchte die oben erwähnte Kooperation zwischen Microsoft und der TCG tragen wird.

NAC-Protagonist Cisco Systems verfolgt das Konzept der selbstverteidigenden Netze (SDN = Self-Defending Network). Sie versprechen laut Hersteller einen ganzheitlichen Ansatz, der sämtliche Sicherheitsfunktionen, Netzkomponenten und Endgeräte umfasst. "Sicherheit wird damit zu einer integralen Eigenschaft der Infrastruktur und ist nicht länger eine nachträglich installierte Funktion", sagt Klaus Lenssen, Senior Business Development Manager Security bei Cisco Deutschland. "Die kontinuierliche Weiterentwicklung unserer Vision schließt die Integration von Sicherheitstechniken anderer mit ein", so Lenssen. Cisco arbeitet beispielsweise mit Antivirus-, Patch-Management-, Softwareverteilungs- und Endgerätesicherheits-Herstellern in seiner Network-Admission-Control-Initiative zusammen, mit dem Ziel, Geräte, die den aktuellen Sicherheitsrichtlinien nicht entsprechen, erst gar nicht in das Netz hineinzulassen.

Dass dies gut, aber nicht immer funktioniert, zeigte sich, als Cisco Mitte April eine Schwachstelle in seinen Produkten für die Network Admission Control meldete, die Angreifern die Übernahme des Clean Access Server (CAS) über das Netzwerk ermöglicht.

Fazit

Der Markt für Netzzugangskontrolle wird sich weiterhin verändern. Nach wie vor dominieren proprietäre Systeme, die zwar keinen hundertprozentigen Schutz bieten, jedoch den Ansprüchen vieler Unternehmen genügen. Wer in eine Lösung investiert, sollte zunächst Ziele definieren, die er damit erreichen will und sich danach erst den geeigneten Anbieter aussuchen.

* Oliver Häußler ist freier Journalist in München.