Startseite > Markt > In-Band-Appliances: Alles im Fluss

Grundlagen Access-Control

In-Band-Appliances: Alles im Fluss

22. Februar 2008, 18:22 Uhr |

Wer NAC benötigt, sich aber scheut, eine vollständige Aufrüstung der Infrastruktur in Angriff zu nehmen, findet brauchbare Möglichkeiten in Form von In-Band-Appliances.

Sich schnell ausbreitende Würmer wie Code-Red, Code-Green und SQL-Slammer lehren manchen IT-Verantwortlichen das Fürchten. Doch ist die Angst in den meisten Fällen nicht groß genug, um eine komplexe, teure Aufrüstung der Netzwerk-Infrastruktur zu rechtfertigen – und Ciscos Originalversion von NAC verlangte genau dies. Logisch ist das schon, denn der geeignete Ort ist der Verbindungspunkt, um sicherzustellen, dass jedes ans Netzwerk angeschlossene Gerät auf neustem Stand und frei von Viren ist.

Obwohl diese Vorgehensweise sinnvoll ist, sahen viele Wettbewerber Möglichkeiten, die gleichen Vorteile ohne teure Netzwerkaktualisierung zu offerieren. Sogar Cisco selbst bietet inzwischen eine NAC-Appliance an.

Heute konkurrieren drei Lager als Varianten zum Infrastruktur-Upgrade: auf Hosts basierendes NAC, In-Band- und Out-of-Band-NAC. Einige Organisationen werden mehr als einen Produkttypen in unterschiedlichen Zonen einsetzen wollen. Dagegen ist nichts einzuwenden. Allerdings sollte nicht mehr als eine Methode pro Netzwerk-Teilstück zum Einsatz kommen, denn sonst verstricken sich die Benutzer auf mehreren Richtlinienebenen.

Der Name sagt es schon: In-Band-NAC verlangt eine Appliance, die im Verkehrsfluss platziert wird, üblicherweise zwischen Edge- und Distributions-Switches. Alternativ lässt sich die Appliance vor dem Datacenter installieren.

Unabhängig davon, wo die Box sich befindet, darf sie den Verkehrsfluss nicht behindern. Fast alle Hersteller solcher In-Band-Systeme nutzen zweckspezifisch fabrizierte Asics, um Spitzenperformance zu liefern. Sobald aber die Regeln für die Verarbeitung des Verkehrsflusses komplex werden, verlagern sie diese Aufgabe vom Asic auf allgemeine Multi-Core-Prozessoren. Anders als noch zu Zeiten der Router-Kriege, sind die In-Band-NAC-Hersteller ziemlich offen, was die Performance-Grenzen ihrer Systeme betrifft. Aber auch nur dann, wenn der Kunde fragt.

Die Fähigkeit, Pakete in oder fast in Drahtgeschwindigkeit zu verarbeiten, beschreibt die Kernkompetenzen der In-Band-NAC-Hersteller. Erfahrung im High-Performance-Asic-Design sowie Multi-Core-Engines für die Protokoll- und Richtlinienverarbeitung sind erforderlich, um In-Band-NAC praktikabel zu machen. Der Vorteil eines solchen Designs ist, dass der Verkehr auf Fluss-für-Fluss-Basis gegenüber Richtlinien evaluiert werden kann. Solches können Out-of-Band-Systeme nicht leisten.

In-Band-NAC-Systeme besitzen die Fähigkeit, Richtlinien auf einer sehr fein abgestuften Ebene zu implementieren. Ironischerweise sind es aber die Out-of-Band-Hersteller, die sich gern abzugrenzen versuchen, indem sie auf die Vollständigkeit und leichte Benutzbarkeit ihrer Richtlinien-Erzeugungssysteme verweisen.

Neben einer fein abgestuften Richtlinien-Durchsetzung bietet In-Band-NAC eine fast transparente Installation. Egal, ob ein existierender Switch ersetzt oder eine neue Ebene des Switchings geboten wird, In-Band-NAC-Systeme sehen für das Netzwerk einfach wie ein anderer Switch aus. Im Gegensatz dazu nutzen alternative NAC-Architekturen Netzwerkprotokolle wie 802.1X, DHCP-Management oder VLAN-Steering. All dies erfordert Modifikationen existierender Netzwerkoperationen. Diese Durchsetzungsmechanismen sind recht ungehobelte Instrumente, die mit dem gesamten Verkehr statt auf Pro-Fluss-Basis arbeiten. Deshalb beschränken sich Out-of-Band-Systeme generell darauf, Zugriff zu gewähren oder zu verweigern, oder darauf, Remediation und Re-Assessment zu erzwingen.

Einige In-Band-NAC-Produkte nehmen für sich in Anspruch, Richtlinien bis hinauf zur Anwendungsschicht durchzusetzen. Für Organisationen, die den Zugriff der Benutzer nur auf die jeweils erlaubten Systeme und Dienste beschränken wollen, bieten In-Band-MAC-Systeme den geeigneten Mechanismus. Die Vorteile einer solchen Richtlinie können nicht oft genug genannt werden: Indem eine Organisation einem Benutzer oder Host ausschließlich Zugriff auf die von ihm benötigten Dienste gewährt und alle anderen Zugriffe verweigert, reduziert sie die Gefahr arglistiger Benutzer oder infizierter Computer signifikant.