Welche Vor- und Nachteile haben agentenbasierende Lösungen?
Ein Agent ist eine eigenständige Software, die autonom auf einem Endsystem ausgeführt wird und dort, hinter den feindlichen Linien des Switch-Ports, über den jeweiligen Zustand berichtet und in manchen Fällen sogar proaktiv gegen Verstöße vorgeht (Self Enforcement). Der große Vorteil: Alle Daten lassen sich direkt auf dem System abfragen und sofort prüfen. Die Kehrseite der Medaille: Der Agent muss erst einmal auf dem Endsystem installiert werden und muss zudem wissen, was überhaupt zu prüfen ist. Gerade in Umgebungen mit vielen unterschiedlichen Betriebssystemen und Anwendungen kann das viele Konfigurationsänderungen am Client nach sich ziehen - oder den Einsatz gar verhindern. Weiterhin muss der Agent "sozial" sein und sehr viel mit seiner Umgebung kommunizieren können, was sich allerdings bei einem Einsatz von Soft- und Hardware verschiedener Anbieter meist als schwierig darstellt. Es ist kein besonders gut gehütetes Geheimnis, dass viele Hersteller versuchen, die Bindung zu ihrer NAC-Lösung mit eigenen Agenten zu stärken und somit eine Diversifizierung mit anderen Lösungen zu unterbinden. Im Gegensatz zum agentenlosen Scan verrichtet der Agent seine Arbeit selbst und meldet sich mit den Ergebnissen zurück, so dass die Prüfung in der Regel wesentlich schneller erfolgt und die Last auf das Endsystem verlagert wird. Somit ist besonders in größeren Netzen optimale Skalierbarkeit gewährleistet. Gegebenenfalls kann die Behebung des Problems (Auto Remediation) sogar direkt erfolgen, etwa durch das Einschalten der Firewall.
Wie lässt sich eine effektive Autorisierung sicherstellen?
Die Autorisierung setzt die in der Konzeptionsphase geplanten Restriktionen um. Dabei gibt es mehrere Möglichkeiten, die im Wesentlichen von dem Leistungsvermögen des Netzes und/oder der NAC-Lösung abhängen. Die Entscheidungsgrundlage für die Art des Enforcements ergibt sich zudem aus den jeweiligen Sicherheitsanforderungen und dem Aufbau der Infrastruktur selbst. So ist im Vorfeld zu bedenken, ob sich mehrere Endsysteme einen Zugang am Switch-Port teilen sollen beziehungsweise ob Geräte, Benutzer, ganze Ports oder einzelner Verkehr zu berücksichtigen sind.
In der Praxis werden 802.1x- und andere Authentifizierungsverfahren mit RFC 3580 (Port-/VLAN-Zuweisung) oder Policys, so verfügbar, meist kombiniert. In anderen Fällen werden üblicherweise In-Line-Appliances eingesetzt, die diese Funktion nachliefern - vor dem Erwerb einer solchen Appliance sollte man allerdings beachten, ob das Netz in naher Zukunft nicht ohnehin aufgerüstet wird. Für den Appliance-Einsatz könnte jedoch auch der Sicherheitsbedarf sprechen, etwa wenn das Netz keine Policys unterstützt und diese mit einer solchen Lösung nachträglich umgesetzt werden sollen. Letztere Variante bietet sich für zentrale WAN-Übergänge an - vor allem, wenn kein direkter Zugriff auf die Infrastruktur der Remote Sites besteht.