computerwoche.de

Security

Sicheres Netzwerk

10 Tipps für die Planung von NAC-Projekten

04.03.2013
Mit einer Network-Access-Control-Lösung bekommen Unternehmen die wachsende Zahl mobiler Endgeräte und Gastzugänge in den Griff, so der Sicherheitsanbieter macmon secure. Folgende zehn Tipps sollen den Projekterfolg sicherstellen.
10 Tipps für die Planung von NAC-Projekten.
10 Tipps für die Planung von NAC-Projekten.
Foto: Petya Petrova, Fotolia.de

Für immer mehr Personen aus dem Kunden-, Lieferanten- und Partnerkreis ist es von Bedeutung, auf firmeninterne Netzwerke zugreifen zu können. Zudem drängen vermehrt mobile Endgeräte wie Laptops, Smartphones und iPads in die Unternehmensnetze. Folglich spielt die Kontrolle der Netzwerkzugänge inzwischen eine wichtige Rolle in den Sicherheitskonzepten der Unternehmen. „NAC-Lösungen gehören inzwischen zum Pflichtprogramm, weil ansonsten ein erheblicher Schaden etwa durch Datendiebstahl entstehen kann“, erklärt Christian Bücker, Geschäftsführer der macmon secure GmbH. Er verweist auf die immer wiederkehrenden Fälle von Datenmissbrauch und die daraus resultierenden Konsequenzen. Betroffen seien keineswegs nur prominente sondern praktisch alle Unternehmen, so Bücker weiter.

Gleichzeitig gibt er zu bedenken, dass sich viele Firmen noch am Einsatz von Network-Access-Control-Lösungen vorbeigemogelt hätten. „Dies liegt nach unseren Beobachtungen nicht an der fehlenden Erkenntnis, dass sie notwendig sind, sondern weil Unternehmen angesichts enger personeller Ressourcen den Planungsaufwand scheuen.“ Mit etwas Vorbereitung sei die Einführung eines NAC-Systems durchaus zu bewerkstelligen. macmon secure hat deshalb folgende zehn Planungstipps zusammengestellt:

  1. Ziele definieren: Es gilt, die Frage zu klären, was mit der NAC-Lösung erreicht werden soll. Dazu gehören typischerweise der Schutz sowohl vor Fremdgeräten als auch vor unsicheren Geräten, etwa mit nicht ausreichendem Virenschutz. Aber auch die Verhinderung von ungesteuerten Gerätebewegungen und die gezielte Bereitstellung von Netzwerkrechten für Gäste, Drucker, Notebooks, Telefone und andere Netzwerkkomponenten sind üblicherweise darin einzubeziehen.

  2. Authentisierungsverfahren bestimmen: Erforderlich ist eine Geräte-Authentifizierung beim Netzwerkzugang. Diese kann proprietär oder über 802.1X erfolgen, und sie kann auch auf verschiedenen Sicherheitslevels abhängig von den Endgeräten und den Sicherheitsanforderungen angeboten werden. Über die MAC-Adresse, Protokoll-Profile (Footprints) oder Geräte-Profile (Fingerprint), Anmeldeinformationen, Zertifikate bis hin zu stark kryptografischen Verfahren mit Chip-Karten oder dem TPM-Chip.

  3. Seiteneffekte mitnehmen: Die vom NAC-System durchgeführte Endgeräte-Identifizierung bietet auch eine Vielzahl von Möglichkeiten, organisatorische Abläufe zu verbessern. Beispielsweise wird das Bestandsmanagement durch Live-Daten zur Lokalisierung der Geräte und zur Erkennung nicht genutzter Geräte aufgewertet. Nicht genutzte Switch-Ports werden zur Verbesserung der Kapazitätsplanung oder zur Begleitung von Umzügen angezeigt. Darüber hinaus besteht die Möglichkeit, durch ein bedarfsgerechtes Ein- und Ausschalten der PC-Arbeitsplätze in erheblichem Maße Energiekosten zu sparen.

  4. Ergänzende Analysen: Vorteilhaft sind Methoden und Techniken, die beim Netzwerkzugang spezielle Gerätetypen (z.B. Drucker, IP-Telefon etc.) automatisch erkennen.

  5. Dienste Zugriffe beschränken: Es sollte mittels VLAN-Steuerung eine logische Trennung des Netzes erfolgen, damit Benutzer nicht auf alle Dienste zugreifen können.

  6. Nutzungszeit begrenzen: Die Zugänge für Unternehmensgäste sollten mit einer restriktiven zeitlichen Beschränkung versehen werden.

  7. Angriffe erkennen und verhindern: Die Überwachung des Netzwerkes sollte auch Man-in-the-middle-Angriffe wie durch ARP-Poisoning oder MAC-Flooding erkennen und verhindern.

  8. Erweiterten Schutz realisieren: Durch die Integration von verschiedenen Sicherheitssystemen (z.B. Firewall, Virenschutz, IDS/IPS, VPN usw.) über proprietäre Schnittstellen (API, CLI) oder standardisierte Verfahren (IF-MAP) können Bedrohungen früher erkannt und wirkungsvoller bekämpft werden. Das NAC-System spielt in so einer Kombination immer eine zentrale Rolle, da es den Angreifer oder das bedrohende System unmittelbar vom Netzwerk trennen kann.

  9. Monitoring der Richtlinieneinhaltung: Unbedingt zu empfehlen ist im Bereich der Clients und insbesondere der mobilen Clients eine Überwachung der Einhaltung der Sicherheitsrichtlinien wie Virenschutz, Patchmanagement, Sicherheitskonfigurationen etc.

  10. Reaktionen automatisieren: Sicherheit darf nicht von Fall zu Fall entschieden werden und auch nicht von der Auslastung der Administration abhängen. Darum sollten klare Regeln für den Umgang mit Fremdsystemen, nicht sicheren Systemen, das Verhalten bei nicht gemeldeten Umzügen etc. festgelegt und aktiviert werden. (ph)