Die Crux mit den unbekannten Geräten
- Kooperation wird bei Netzzugriffskontrolle vorausgesetzt
- Schwachstellen bei NAC und NAP
- Die Crux mit den unbekannten Geräten
- Offenheit in Richtung Framework
Aber auch bei solch eingeschränkter Erwartungshaltung ist man gut beraten, Lösungen zu wählen, welche die Zukunft offen halten. Letztlich erfordert eine konsequente Netzzugriffskontrolle ja nicht in erster Linie neue Geräte und Programme, sondern stellt nur eine sehr komplexe Vernetzung all der bereits eingesetzten Abwehrmechanismen dar. Auch ein zentrales Management, was sich als unabdingbar für das Sauberhalten des Netzes erweist, ist in der Regel in jeder Netzsteuerung, die diesen Namen verdient, enthalten. Die Crux einer Netzzugriffskontrolle besteht darin, dass sowohl Authentisierung und Identifizierung als auch die Autorisierung gleichermaßen wichtig sind. Es reicht nicht aus, nur zu autorisieren und auf die strenge Authentisierung zu verzichten (wie in den lascheren Varianten des NAC-Frameworks von Cisco). Andererseits hat man mit einer 802.1x-Authentisierung oder über einen Radius-Server noch nicht den Einlass begehrenden PC inhaltlich geprüft. Erschwerend kommt hinzu, dass eine auf Layer 2 basierende 802.1x-Authentiserung in VPN-Umgebungen nicht eingesetzt werden kann. In diesen Fällen sollte eine starke Authentisierung am VPN selbst aufgebaut werden. Ein weiterer Knackpunkt ist die Überprüfung von unbekannten Geräten, auf denen man keine Client-Software aufbringen kann. »Ohne Client-Software ist man bei dem heutigen Schadsoftware-Potenzial chancenlos«, sagt Christoph Skornia von Checkpoint. »Die verseuchten Rechner verschlüsseln ja in der Regel ihre Schadsoftware, trojanische Pferde kommen über https ins Netz, was wollen Sie da noch ohne Kontrollsoftware direkt auf dem Client machen«, zweifelt Skornia die Wirksamkeit sogenannter Client-loser Lösungen an. Viele Anbieter stellen die Sache allzu einfach dar: Unbekannte Rechner, die keine spezielle Client-Software enthalten, werden in Quarantäne gesteckt und erhalten für sehr eingeschränkte Dienste spezielle IP-Adressen aus dem Gastnetzwerk zugewiesen. Guido Sanchidrian, Sicherheitsspezialist bei Symantec, spricht von einem virtuellen Desktop, der eine »abgeschottete Arbeitsoberfläche bereitstelle«. Damit ist natürlich das Problem nicht gelöst, aber das Schadenspotenzial ist dadurch sicher eingegrenzt. Klaus Gheri, technischer Vordenker beim Innsbrucker Konnektivitätsspezialisten phion zeigt Grenzen und Möglichkeiten einer solchen Vorgehensweise: »Sie schützt innerhalb der Kollisionsdomäne nicht vor bösartigen Angreifern, ist jedoch ausreichend, um Würmer und ähnliche Schädlinge in ihrer Ausbreitung wirksam zu behindern.« Trotz der suggestiven Bezeichnung muss natürlich auch bei der sogenannten client-losen Lösung wenigstens ein kleines Stückchen Software auf den unbekannten Rechner gespielt werden, und das spielt sich dann auf einer Netzwerkebene ab, die schon so hoch ist, dass man auch sagen könnte, der unbekannte Rechner ist quasi im Netz. Da ist dann nur zu hoffen, dass die installierten Abwehrsysteme das Schlimmste im Falle eines Falles verhindern können.
