Das Bewachen der Tür ist nur der halbe Sieg

Eine In-Band-NAC-Appliance einen Switch zu nennen ist, wie Einstein einen Bastler zu nennen – im Grund korrekt, aber ein gewaltiges Understatement. NAC-Appliances sind Switches mit einer Menge Intelligenz. Beispielsweise können sie als Intrusion-Detection-Systeme arbeiten, Anomalien entdecken und andere Monitoring-Funktionen bieten, welche die Richtliniendurchsetzung bereichern und zu informierten Entscheidungen führen. Einige Out-of-Band-NAC-Produkte entdecken überhaupt keine Attacken, weil sie die Netzwerkaktivität nicht überwachen können.

Das Host-Assessment ist für viele NAC-Implementationen immer noch ein wunder Punkt. Normalerweise verlangt dieses Assessment die Installation von Agenten, welche die Systeme inspizieren und deren Zustand melden. Ein In-Band-Setup kann Agenten unnötig machen. Die NAC-Appliance überwacht den Netzwerkverkehr und verknüpft authentifizierte Benutzer mit IP- und MAC-Adressen. Deshalb könnte es in Organisationen, die ein gutes Desktop-Management betreiben, ausreichen, den Zugriff zu steuern. Als Bonus lassen sich In-Band-Techniken nutzen, um Systeme einzuschätzen, die keine Agenten ausführen können, beispielsweise Drucker.

Natürlich hängt das Gute von der Entscheidung ab, wo die In-Band-Aplliance arbeitet. In-Band-Architekturen werden einfacher und billiger, werden weniger Appliances näher beim Netzwerk-Core genutzt. Aber je weiter die Appliance vom Rand des Netzwerks entfernt ist, desto größer ist die Anzahl der Systeme, die für Angriffe offen stehen. Die Appliance kontrolliert ausschließlich den Verkehr, der sie durchfließt.

Sobald einem Benutzer oder System Zugriff auf das Netzwerk gewährt worden ist, muss ein kontinuierliches Monitoring folgen, damit sich Attacken stoppen lassen. In-Band-Systeme lösen dieses Problem durch Intrusion-Detection, die Entdeckung anormaler Netzwerkaktivitäten und Aktivitätsauditing. Dazu müssen die Systeme aber den relevanten Verkehr sehen können. Falls diese Art des Monitorings gewünscht ist, sollte die In-Band-Appliance also so nah wie möglich an den Edge-Switch heranrücken.

Einkaufsargumente

Neben Host-Assessment und Durchsetzung gibt es noch einige andere Schlüsselelemente, die in einem NAC-Produkt zu suchen sind.

Jede Appliance, die in-Band sitzt, lässt Netzwerkarchitekten schwitzen, und das aus gutem Grund: Sie ist ein weiterer Fehlerpunkt und ein weiterer potenzieller Flaschenhals. Also ist es wichtig, dass eine In-Band-Appliance nicht nur Datenraten zwischen Switches (oftmals Gigabit-Uplinks) unterstützt. Sie muss dies auch in Leitungsgeschwindigkeit mit wenig oder kaum Verzögerung und Jitter tun. Wie erwähnt, nutzen die meisten In-Band-Appliances spezielle Hardware für die Paketverarbeitung. Bei der angepriesenen Performance ist allerdings Vorsicht geboten. Häufig unterstellen diese Zahlen reduzierte Monitoringfunktionalität, oder sie basieren auf einem Verkehrsmix, den es in einem realen Netzwerk nicht gibt.

Bevor der IT-Verantwortliche den Scheck für eine In-Band-NAC-Appliance ausstellen lässt, sollte er sie eine Weile in seinem Live-Netzwerk arbeiten gesehen haben, um sicher zu sein, dass sie Schritt hält.

Redundanz ist wichtig, damit das Netzwerk im Fall eines Hardwarefehlers funktionstüchtig bleibt. Die Appliance selbst sollte hot-swappable N+1-Lüfter, -Netzteile und -Supervisormodule haben oder mindestens den Verkehr im Fehlerfall weiterreichen. Hier ist folgende Frage zu beantworten: Ist es besser, die Benutzer produktiv, aber ungeschützt zu halten oder sie abzuschneiden, bis die Appliance repariert ist?
dj@networkcomputing.de

1. In-Band-Appliances: Alles im Fluss
2. Das Bewachen der Tür ist nur der halbe Sieg