computerwoche.de

Netzwerke

Was bringen NAC und Co

Kontrollierter Netzzugang

16.07.2008
Von 
Oliver Häußler arbeitet als freier Journalist und Moderator in der IT- und Telekommunikationsbranche. Seine journalistischen, wirtschaftlichen und technischen Erfahrungen sammelte der Kommunikationswissenschaftler während seiner über 20 Jahre langen Tätigkeit als Chefredakteur von renommierten Fachzeitschriften wie der Funkschau, FunkschauHandel, NetworkWorld und als Moderator von Kongressen, Webcasts und zahlreichen Podiumsdiskussionen.
Alle Posts des Autors Email: Connect:
Ob NAC, NAP oder TNC - an Lösungsansätzen zur Netzzugangskontrolle fehlt es nicht. Doch was bieten diese Technologien in der Praxis? Ein Überblick.

Der Wunsch eines jeden Systemadministrators nach einem sauberen Netz ist groß. Viele Lösungen sind auf dem Markt. Wer sich mit dem Thema auseinandersetzt, merkt aber bald, dass es zwar Plug-and-Play-Ansätze gibt, diese jedoch keinen umfassenden Schutz bieten. Um Sicherheit bei Autorisierung, Authentifizierung und Accounting zu erreichen, bedarf es eines umfassenden Konzepts, das das Projekt wiederum beratungsaufwändig und teuer macht.

Die Gefahr nimmt zu

Der Bedarf an besserer Netzzugangskontrolle steigt mit der wachsenden Zahl von Clients und Nutzern, vor allem aber mit den immer beliebter werdenden mobilen Anwendungen. IT-Abteilungen sind kontinuierlich damit beschäftigt, ihre Unternehmensnetze zu erweitern und den neuesten Gegebenheiten anzupassen. Die Herausforderung für die IT ist es, den Zugriff aufs Netzwerk zuverlässig zu kontrollieren und nicht richtlinienkonforme, nicht autorisierte sowie Gast-PCs zu überprüfen und bei Bedarf auszugrenzen.

IT-Verantwortliche wissen Bescheid über die Gefahren: In einer Befragung der Aberdeen Group nach den Gründen für die Entwicklung einer NAC-Strategie nannten Unternehmen den Schutz vor externen Attacken an erster Stelle, gefolgt vom Schutz der Deskopts, Laptops, Server und anderer IP-Devices. An dritter Stelle stand die Reduktion der Risiken durch unautorisierten Zugang.

Begriffsvielfalt

Drei der bekanntesten Ansätze für die Netzwerkzugangskontrolle sind Network Admission Control (NAC), Network Access Protection (NAP) und Trusted Network Connect (TNC). Es handelt sich um technologische Konzepte zur Unterstützung der Abwehr von Viren und Würmern aus dem Netzwerk heraus. NAC, das am stärksten von Cisco vermarktet wird, und die Microsoft-Variante NAP verfolgen prinzipiell ähnliche Ansätze: Sie prüfen Endgeräte während der Authentisierung auf ihre Richtlinienkonformität - NAC ist stärker an den Netzkomponenten ausgerichtet, NAP mehr am Betriebssystem. Kontrolliert wird beispielsweise, ob die neuesten Sicherheits-Patches oder die neueste Version des Virenscanners installiert sind. Im Negativfall kommen die Geräte unter Quarantäne, wo ihnen - je nach System - die aktuellen Updates aufgespielt werden, damit sie wieder den Sicherheitsrichtlinien entsprechen und im Netz zugelassen werden dürfen.

Auch wenn Cisco und Microsoft ein gut funktionierendes Zusammenspiel ihrer Systeme anstreben, so handelt es sich dennoch um weitgehend proprietäre und somit stark auf die jeweiligen Anbieter ausgerichtete Ansätze. Das hat den Nachteil, dass in einem heterogenen Netz nicht alle Komponenten und Systeme unterstützt werden und die Lösungen nicht in jedes Netz problemlos einzubringen sind.