computerwoche.de

Security

Sicherheit, Aufwand und Kosten

NAC-Lösungen - was sie bringen und kosten

25.05.2009
Von Friedhelm Zawatzky-Stromberg

NAC-Projekte richtig planen

Die Auswahl eines bestimmten Ansatzes allein garantiert noch keine bedarfsgerechte NAC-Lösung: Bei diesen Projekten sind nicht nur Hard- und Softwarefragen, sondern auch viele organisatorische und gesetzliche Aspekte zu berücksichtigen. Vor allem ein NAC-Vorhaben kann schnell scheitern, wenn es ausschließlich auf technischer Ebene angesiedelt wird. Es erfordert eine enge Zusammenarbeit zwischen der Geschäftsführung, dem Datenschutzverantwortlichen und dem Security-/IT-Bereich. Gemeinsam gilt es, ein klares Anforderungsprofil zu entwickeln, indem unter anderem folgende Fragen zu klären sind:

  • Gibt es Regelungen, die den Zugriff auf das Netz für Mitarbeiter, Unternehmensgäste und Freiberufler definieren?

  • Ist eine Erkennung und Lokalisierung von Geräten auf Basis der MAC-Authentifizierung möglich und erforderlich?

  • Ist eine Benutzerauthentifizierung beim Netzzugang notwendig (etwa mittels des Standards 802.1x) - und ist sie realisierbar?

  • Dürfen Benutzer auf alle Ressourcen zugreifen oder muss über VLAN-Steuerung eine logische Trennung erfolgen?

  • Sind dafür die Möglichkeiten in der Infrastruktur bereits gegeben?

  • Ist eine Überwachung der Software-Stände und deren Aktualität auf den Endsystemen erforderlich?

  • Gibt es hierfür ein Patch-Management und ist dafür ein Quarantänenetz vorgesehen?

  • Welche Voraussetzungen gelten für Gäste und Mitarbeiter anderer Unternehmen etwa durch ein Gastnetz?

  • Bedarf es einer Überwachung des Gastnetzes?

  • Soll auch für Gäste eine Überprüfung und ein Patch-Management zur Verfügung gestellt werden?

  • Werden im Unternehmen zeitliche Zugangsbeschränkungen praktiziert?

  • Gibt es Regelungen hinsichtlich "Quality of Service" für Benutzer?

  • Bestehen Verfahrensweisen zur Analyse des Benutzerverhaltens im Verdachtsfall (sFlow/netFlow)?

  • Werden Methoden und Techniken eingesetzt, die bei einem Netzzugang spezielle Gerätetypen (etwa Router, VoIP, WLAN) automatisch erkennen?

  • Nutzt das Unternehmen Lösungen, die auch Infrastrukturangriffe und Konfigurationsänderungen bei Infrastrukturkomponenten erkennen, die in den einzelnen NAC-Prozessen nicht detailliert genug definiert sind?

Hierbei handelt es sich nur um eine Auswahl der relevanten Aspekte. Je nach firmenspezifischen Erfordernissen und Infrastrukturbedingungen kann diese wesentlich umfangreicher ausfallen - was die Bedeutung einer präzisen Planung verdeutlicht. Weitere Hilfestellung und Best Practices bietet ein produktneutraler und kostenloser NAC-Leitfaden der COMCO AG. (kf)