Ratgeber

NAC als virtueller Türsteher

08.04.2009
Von Thomas Hruby

Anforderungen an eine NAC-Lösung

Jede Netzwerkzugangskontrolle muss in Echtzeit operieren. Nur so lässt sich sicherstellen, dass sämtliche neu angeschlossenen Geräte sofort erkannt und in den NAC-Prozess mit einbezogen werden. Ohne Echtzeitkontrolle haben Angreifer eine große Auswahl an Möglichkeiten, ein Netzwerk zu attackieren und Schadcode einzuschleusen. Aus diesem Grund wird für unbekannte oder bei einer Prüfung aufgefallene Geräte eine Quarantänefunktion verwendet, die einen wichtigen Puffer vor dem eigentlichen Netzwerk bildet und mit diesem keine gemeinsame infrastrukturelle Basis haben darf. Daher sollte eine übergreifende Security Policy die Behandlung von Fremdgeräten für das gesamte Unternehmen einheitlich regeln, so dass es nicht in bestimmten Abteilungen zu Ausnahmefällen komm

Innerhalb der Quarantäne müssen standardisierte Sicherheits-Checks vorgenommen werden. Hierbei analysiert die NAC beispielsweise, ob aktuelle Service Packs, Patches, Updates oder eine aktive Antivirussoftware auf dem jeweiligen System installiert sind. Zutritt zum Netzwerk wird erst dann gewährt, wenn ein Check vollständig erfolgreich ausfällt. Rechner, bei denen die NAC nicht Policy-konforme Änderungen feststellt, müssen dieselbe Prozedur durchlaufen. Anhand der gespeicherten Profile sollte eine Lösung auch erkennen, ob zum Beispiel die MAC-Adresse eines Rechners missbraucht wird, um ein Fremdgerät ins Netzwerk zu schmuggeln.

Von Vorteil ist für den Benutzer eine transparent agierende NAC. Das bedeutet, dass das System lediglich im Falle eines Verstoßes gegen die bestehenden Sicherheitsrichtlinien bemerkt wird, da es den Benutzer aus dem Netzwerk ausschließt. Konforme User werden ohne eine gesonderte Anmeldeprozedur völlig unauffällig durch den NAC-Prozess geleitet.

Soll die Möglichkeit gegeben werden, dass auch Besucher Zutritt zum Unternehmensnetz erhalten, steigen die Anforderungen an die Flexibilität eines NAC-Systems immens. Da die Gäste nicht von der NAC gemanagt werden, bedürfen sie einer Sonderbehandlung, bei der sichergestellt wird, dass keine Schädlinge ins Netzwerk hinein- beziehungsweise keine vertraulichen Daten hinausgelangen. Dementsprechend muss die NAC sie identifizieren und automatisch nur für ein im Vorfeld festgelegtes, mit starken Einschränkungen verbundenes Benutzerprofil autorisieren.

Geht es um die Einhaltung von Policies, bedingen viele NAC-Lösungen ein blindes Handeln der Benutzer. Die Konsequenzen der umgesetzten Richtlinien lassen sich oftmals nicht vorhersagen, so dass eventuell fehlerhafte Policies einen erheblichen Schaden in der IT-Infrastruktur eines Unternehmens anrichten. Eine gute Netzzugangskontrolle beinhaltet daher die Möglichkeit, das Umsetzen bestimmter Richtlinien im Vorfeld zu simulieren. Zuletzt sollte eine NAC-Lösung das gesamte Spektrum eines Netzwerkes abdecken.