Ratgeber

NAC als virtueller Türsteher

08.04.2009
Von Thomas Hruby

Transparenz ist der Schlüssel

Mit mobilen Endgeräten werden leicht digitale Schädlinge ins eigene Netz eingeschleppt, wenn keine Kontrolle stattfindet.
Mit mobilen Endgeräten werden leicht digitale Schädlinge ins eigene Netz eingeschleppt, wenn keine Kontrolle stattfindet.

Wie kann ein Netzwerk gegen Zugriffe von Fremdgeräten gesichert werden, wenn es nicht imstande ist, diese zu erkennen? Fakt ist, dass es mit lediglich partiellen Kenntnissen eines Netzwerks praktisch unmöglich ist, dieses sicher zu gestalten. Demnach müssen als Basis immer die Sichtbarkeit sowie die Identifizierung der Netzwerkkomponenten in Echtzeit gewährleistet sein. Ist dies nicht der Fall und werden lediglich bereits bekannte Geräte überwacht, ist das Netzwerk offen für Schädlinge, die sich von Fremd- oder nicht überprüften Rechnern einspeisen.

Daher ist es von zentraler Bedeutung, dass eine NAC-Lösung ein vollständiges Inventar aller im Netzwerk vertretenen Geräte anlegt und regelmäßig aktualisiert. Dabei sollte ebenfalls für Hardware-Firewalls und nicht verwaltbare beziehungsweise virtuelle Systeme ein ausführliches Profil angelegt werden. Zur Sichtbarkeit zählt auch, dass eine akkurate physikalische Karte des Netzwerks erstellt wird, um die vollständige IT-Infrastruktur abzubilden. Sie dient IT-Verantwortlichen als Grundlage für die zu ergreifenden Sicherheitsmaßnahmen.

Audit und Compliance

Das Einhalten von Sicherheitsrichtlinien wird durch verschärfte Gesetze zur Pflicht. Unternehmen müssen nachweisen können, dass sie alles in ihrer Macht Stehende tun, um einen wirksamen Schutz ihrer beziehungsweise der Kundendaten zu gewährleisten. NAC kommt dabei eine gewichtige Rolle zu, da es für jedes Gerät ein Profil erstellt, welches nach jeder Sicherheitsprüfung (Audit) aktualisiert wird. Darin enthalten sind User-Informationen, Funktionen und die eingesetzte Soft- und Hardware. Die Profile fungieren als Basis für die Entscheidung, ob ein Gerät den bestehenden Anforderungen durch Policies entspricht und ihm der Zugang zum Netz gewährt wird oder nicht. Hierbei ist es wichtig, dass wiederum sämtliche Systeme erfasst werden. Im Zuge der regelmäßigen Überprüfung identifizieren Audits Geräte, die nicht-konform, ungemanagt oder bösartig sind, noch bevor sie mit der Netzzugangskontrolle in Berührung kommen. Des Weiteren werden jegliche Änderungen an einem System - seien es beispielsweise von Mitarbeitern installierte Programme auf Software- oder der Anschluss fremder Datenträger auf Hardwareebene - durch die Audits erkannt und gemeldet. Die jeweiligen Sicherheitsprüfungen werden in Form von Berichten gespeichert und bieten somit bei Compliance-Prüfungen die erforderlichen Nachweise über die Sicherheitsbemühungen eines Unternehmens.