Seit etwa drei Jahren ist der Begriff Endpoint Security im Umlauf. Er steht für ein Konzept der IT-Sicherheit, das in gewisser Weise einen Kontrapunkt zur bewährten Firewall-Architektur setzte. Eine Perimeter-Firewall nämlich ist mit dem Prinzip der mittelalterlichen Stadtmauer zu vergleichen: Um die gesamte IT-Infrastruktur eines Unternehmens wird eine (virtuelle) Mauer gezogen, die mit verschiedenen offiziellen Zugängen versehen ist. Diese werden streng überwacht, damit jederzeit bekannt ist, wer ein- und ausgeht und auf diese Weise potenzielle Schädlinge abgeblockt werden können.

Die Firewall und ihre Grenzen

Aus verschiedenen Gründen stößt das Firewall-Konzept jedoch an seine Grenzen. In Alltagssituationen beispielsweise, in denen externen Mitarbeitern, Kunden, Partnern oder Beratern Zugang zum Firmennetz gewährt werden soll, muss sich die IT ständig um Zugangskonfigurationen kümmern. Dabei wird sehr oft geschlampt, wie eine aktuelle Studie der Aberdeen Group zum Thema "Endpoint Security Strategies" ergab: In 75 Prozent der befragten Unternehmen wurde internen wie externen Benutzern der Zugang ins Firmennetz von nicht gemanagten PCs aus gestattet.

Ein weiterer Aspekt sind die mobilen Endgeräte wie Laptops, PDAs oder Smartphones, über die immer mehr Mitarbeiter auf interne Ressourcen und Anwendungen zugreifen sollen. Gängige Schutzmaßnahmen wie Virtual Private Networks (VPNs) verhindern nicht, dass von einem virenverseuchten Heimarbeitsplatz Schädlinge in das Firmennetz eingeschleust werden. Ein IDC-Dokument verweist zudem auf das Problem der wachsenden Vernetzung: "Die Übertragungswege für Computerschädlinge haben sich in den vergangenen Jahrzehnten gewandelt - waren es früher primär Floppy-Disks oder später E-Mails, so bildet heute das Netz an sich das Haupteinfallstor. Virenschreiber haben erkannt, dass sich die über breitbandige Funk- oder Kabelnetze angebundenen Clients hervorragend zur Verbreitung von Würmern und Trojanern eignen."

An diesem Punkt setzt Endpoint Security an: Wenn von den Endpunkten eines Firmennetzes das größte Sicherheitsrisiko ausgeht - so die Idee - , dann sollte der Fokus einer Sicherheitsstrategie auch auf deren Überwachung und Absicherung liegen. In der Zwischenzeit hat die Security-Branche das Thema umfassend aufgegriffen und bietet die unterschiedlichsten Produkte dazu an. Dabei ist allerdings nach wie vor auf die uneinheitliche Begrifflichkeit zu achten. So wird anstelle von Endpoint Security immer öfter von Network Access Control (NAC) gesprochen. Hintergrund ist nicht zuletzt eine Einigung zwischen Cisco und Microsoft. Beide Hersteller hatten anfänglich eigene, zueinander inkompatible Techniken entwickelt: Während Cisco "Network Admission Control" (NAC) forcierte, trat Microsoft mit "Network Access Protection (NAP)" am Markt auf. Im September 2006 haben die Hersteller nun ein gemeinsames Whitepaper veröffentlicht, in dem sie beschreiben, wie sich beide Techniken im Unternehmen unter einen Hut bringen lassen. Ein eigenes Süppchen in Sachen Namensgebung kochen auch die Analysten. So redet Forrester bis heute von "Network Quarantine" - nicht ganz zu unrecht, weil Clients bei NAC erst in einem Quarantäne-Modus untersucht werden, bevor der Zugang ins Netz erlaubt wird.

In seiner einfachsten Form ist NAC darauf ausgerichtet, die Sicherheitsrichtlinien eines Unternehmens auf allen Geräten umzusetzen, die sich mit dem Netz verbinden. Ein NAC-System beurteilt die Geräte und ermittelt dabei eine Art Vertrauensstatus. Dieser kann im Fall eines eindeutig identifizierten, vertrauenswürdigen Users besagen, dass nicht mehr als eine simple Login-Authentifizierung des Benutzers erforderlich ist. Ist das Ergebnis jedoch nicht so eindeutig oder hegt die Entscheidungsinstanz Verdacht, wird ein kompletter interner oder externer Scan des Client-Systems erzwungen.

Die NAC-Sicherheitsprüfung

Der externe Scan umfasst die Suche nach bekannten Schwachstellen, offenen Ports oder externen Schnittstellen wie USB, während der interne Scan die Software des Endgeräts unter die Lupe nimmt und dabei den Patch-Status des Betriebssystems, aktive Prozesse oder die Aktualität von Virensignaturen prüft. Ausgehend von dieser Einstufung entscheidet das NAC-System, ob oder wie weit es dem Gerät Zugriff gewährt. Die Kombination von Authentifizierung und Klassifizierung liefert substanzielle Informationen für die Granularität der NAC-Richtlinien.

Ein wichtiger Aspekt in der NAC-Methodik betrifft mögliche Veränderungen am Endgerät. Denkbar ist nämlich, dass sich etwa ein Trojaner einnistet, nachdem das Gerät als unbedenklich eingestuft und zugelassen wurde. Für solche Fälle verfügen ausgeklügeltere NAC-Systeme über Suchmechanismen, um schädlichen Code zu entdecken und die Zugriffsrichtlinien nachträglich zu modifizieren.

Vier Konzepte im Vergleich

Die CW-Schwesterzeitschrift "Infoworld" hat vier NAC-Produkte einem Vergleichstest unterzogen, die für vier verschiedene Konzepte im Bereich Endpoint Security stehen: "Enterasys Sentinel Trusted Access", "McAfee Policy Enforcer", "Symantec Network Access Control" und "Trend Micro Network Virus Wall Enforcer". Kandidat Enterasys bietet eine Richtlinien-Durchsetzung in Form eines Switches. Er setzt auf System-Scanning, Systemstatus und Intrusion-Detection, um den Zustand der potenziell verseuchten Geräte zu ermitteln. Das Trend-Micro-System ist ein Enforcement-Gateway, das die durchlaufenden Datenströme untersucht und dabei Klassifizierzungsinformationen von den Clients sammelt. Anhand dieser Kriterien fällt das System Entscheidungen zur Durchsetzung von Richtlinien.

Symantec bietet ein NAC-Gateway und eine DHCP-basierende Richtlinien-Durchsetzung. Die Geräte lassen sich in einer NAC-Architektur einzeln oder kombiniert einsetzen. Wie Trend Micro nutzt auch Symantec Klassifizierungsagenten auf den Clients und untersucht zudem den Datenverkehr über das Gateway, um zu ermitteln, was zulässig ist. McAfees Policy Enforcer verwendet eine Kombination aus einem herstellerunabhängigen Richtlinien-Manager, einem Netzwerk-Access-Requester und einem Statusermittler. So ermöglicht das System die Anwendung fein abgestufter Richtlinien - es können auch Informationen einfließen, die von Virenscannern anderer Anbieter stammen.

Ein wichtiges Unterscheidungskriterium bei den Testkandidaten ist die Unterstützung für 802.1x-Authentifizierung. Manche Firmen benötigen das Verfahren, um Nutzern anhand ihrer Identität unterschiedliche Dienste und Stufen des Netzzugriffs zu gewähren. Symantec und McAfee bieten dies nicht an.

Das Resümee

Nach dem Infoworld-Vergleich markiert das Enterasys-Produkt mit den umfassendsten Funktionen und hoher Komplexität das eine Ende der Skala. Die Gateway-Lösungen von Symantec und Trend Micro, die eine ausführliche Traffic-Analyse als integralen NAC-Bestandteil ermöglichen, bewegen sich in einer Zwischenposition. Am anderen Ende des Spektrums liegen die Systeme für Richtlinien-Management von Symantec und McAfee, die vor allem durch eine einfache Bedienung auffallen.

Gateway-basierende Produkte, die den gesamten Netzverkehr kontrollieren, sowie jene, die sich unmittelbar in eine Switch-Infrastruktur integrieren, erlauben komplexe Datenstromanalysen. Dies ermöglicht auch die Erkennung von Datenanomalien, wie sie etwa beim Ausbruch einer unbekannten Wurmepidemie auftreten. In solchen Fällen werden die Zugriffsrichtlinien zum Schutz des Netzes automatisch modifiziert.

Auf die Policies kommt es an

Vor einer Kaufentscheidung sollten Anwender ermitteln, welche Richtlinien sie im Netz erzwingen wollen und ob es dabei notwendig ist, die Vorgaben auf Basis von Benutzeridentität oder Gruppeninformationen umzusetzen. Eventuell reicht es aus, Zugangsentscheidungen vom positiven oder negativen Ergebnis einer Authentifizierung abhängig zu machen. In diesen Fällen kann man sich mit Produkten von Symantec und McAfee begnügen. Enterasys und Trend Micro bieten darüber hinaus einen Radius-Proxy - beide können so Benutzer- und Gruppeninformationen als Bestandteile von Regelwerken verwenden. (kf)