Mit der Zugangskontrolle Network-Access-Control,kurz NAC,lassen sich Endgeräte für den Anschluss an das Netzwerk autorisieren und der Zugriff auf die Ressourcen steuern. Mit NAC verschaffen sich Unternehmen eine hohe Sicherheit und exakte Kontrolle darüber, wer wann und wo Zugang zum Unternehmens-netz hat. Entscheidend bei allen Projekten zur Kontrolle des Netzwerkzugangs ist jedoch die richtige Planung und Implementierung. Network-Access-Control in seinen ganzen Facetten hat eine Reihe von Zielen zu erfüllen: Sie muss auf Basis entsprechender Policies den Zugang von Geräten auf spezifische Netzwerk-Services begrenzen.Außerdem hat sie sicherzustellen,dass Endgeräte mit den Sicherheitsanforderungen eines Unternehmens konform gehen. Bei Systemen, welche den Sicherheitsrichtlinien nicht entsprechen,müssen Probleme automatisch behoben werden. Für Gäste und Geschäftspartner gilt es, separate Netzwerkzugänge zu schaffen. Auch die Verbreitung von Malware soll mit NAC begrenzt werden. Über all dem stehen die generellen Compliance-Anforderungen an die Netzwerksicherheit. Diese vielfältigen Ziele erreichen Unternehmen Schritt für Schritt: Am Anfang steht die Identifizierung und Lokalisierung von neu ins Netz eingeloggten Geräten, gefolgt von der Authentifizierung und der Prüfung auf Konformität mit den Richtlinien (Assessment). Weitere Phasen sind die Autorisierung und das Beheben von Problemen und Sicherheitsmängeln sowie das Monitoring.

Kontrolle des Gastzugriffs

Allerdings ist NAC nicht gleich NAC. Die Vorstellungen davon, was Network-Access-Control bedeutet oder auch, welche Funktionen eine NAC-Lösung bereitstellen sollte, variieren bei den Anwendern stark. Während manche Unternehmen damit schlicht die Registrierung und Autorisierung von Endgeräten anhand der MAC-Adresse (Media-Access-Control) im IP-Netzwerk meinen, verbinden andere mit NAC den Schutz des gesamten Netzwerks gemäß den Unternehmensrichtlinien. Häufig wird damit auch lediglich eine Lösung für den kontrollierten Zugriff von Gästen auf das Netzwerk bezeichnet. Laut einer aktuellen Studie von Gartner (Januar 2009) ist dies sogar bei 80 Prozent aller eingesetzten NAC-Systeme der Fall. Das heißt, die große Mehrzahl aller Anwender nutzt Network-Access-Control-Lösungen lediglich, um den Netzwerkzugang von Gästen und Dienstleistern des Unternehmens unter Kontrolle zu halten. Der ursprüngliche Zweck von NAC-Lösungen, nämlich Zugangspunkte und -geräte auf die Konformität mit den Sicherheitsanforderungen (Compliance) zu prüfen und entsprechende Richtlinien für die Rechtevergabe aufzustellen, war in der Gartner-Studie nur bei 15 Prozent aller Fälle die treibende Kraft für die Implementierung einer NAC-Lösung.Gleich welche Funktionen bei der Kontrolle des Netzwerkzugangs ein Unternehmen primär benötigt: Gartner empfiehlt, die weiteren Anwendungsmöglichkeiten immer im Auge zu behalten und einen eventuellen Ausbau zu einem späteren Zeitpunkt von Anfang an mit einzuplanen.

Deshalb empfiehlt sich bei der Wahl der geeigneten Lösung die Konzentration auf Systeme, welche einen stufenweisen Aufbau ermöglichen. Um bereits getätigte Investitionen in diverse Netzwerkkomponenten wie etwa Router, Switches oder Wireless-Access-Points zu schützen, sollten Unternehmen zudem auf eine standardbasierte Lösung setzen, die problemlos mit Systemen von Drittanbietern zusammenarbeitet (Multi-Vendor-Ansatz).

Vorbereitung ist die halbe Miete

Die unternehmensweite Einführung eines umfassenden Network-Access-Control-Systems ist ein Projekt und sollte gut geplant werden. Die gute Nachricht dabei: Aus technischer Sicht ist es nicht erforderlich, sofort alle einzelnen Aspekte umzusetzen.Tatsächlich sieht auch die Unternehmenspraxis so aus,dass NAC in den wenigsten Fällen komplett in einem Zuge eingeführt wird.Meist liegen mehrere Monate zwischen den einzelnen Schritten. Viele NAC-Vorhaben scheitern jedoch auf Grund mangelnder Planung.Deshalb gilt:
Je mehr Informationen vorliegen und je genauer die Definition von Rollen und Rechten ist, umso stressfreier lässt sich im Anschluss die Lösung implementieren.Bereits in der Vorbereitungsphase sollten sich Unternehmen darüber im Klaren werden, bis zu welcher Phase sie NAC einführen wollen. Letztlich ist dies eine Kosten-Nutzen-Rechnung,bei der der gewünschte Grad an Sicherheit mit den Kosten der Implementierung und dem Aufwand im Betrieb abgewägt werden.

Ein weiterer Aspekt, der in die Planung Eingang finden sollte, sind die Anforderungen eines NAC-Projekts an die Organisation. Da es sich um ein weit reichendes Projekt handelt, muss die gesamte IT-Abteilung mit einbezogen werden. Denn nicht nur der Netzwerkbetrieb ist involviert, sondern ebenso Endsysteme, Server, Security, Management und Datenschutz. Um hier organisatorische Planungssicherheit zu gewährleisten, empfiehlt sich unter Umständen auch, die Geschäftsleitung mit einzubeziehen. Letztlich werden NAC-Lösungen in erster Linie aus organisatorischen Gesichtspunkten implementiert.

In fünf Phasen zum NAC

Die Implementierung lässt sich grob in fünf Phasen unterteilen: Identifizierung (Detection), Authentifizierung, Assessment, Autorisierung sowie Fehlerbehebung (Remediation) & Monitoring.

Phase 1: Identifizierung (Detection)

Diese Phase lässt sich auch bereits in die Planung integrieren. Hier sammelt das Unternehmen lediglich Informationen über alle Endsysteme, der eigentliche Zugang wird noch nicht beschränkt.Alle mit dem Netzwerk verbundenen Endgeräte werden inventarisiert und gegebenenfalls auch schon gleich authentifiziert. Wer ist im Netzwerk und von wo aus verschafft er sich Zugang? Um Endsystem oder Benutzer eindeutig zu identifizieren,gibt es verschiedene Möglichkeiten – von der Authentifizierung auf Basis von 802.1x über Kerberos-Snooping dynamische MAC-Adresserkennung,um nur einige der gängigsten zu nennen. Welche Methode ist nun die passende? Auf diese Frage lässt sich keine allgemein gültige Antwort finden. Um flächendeckende NAC-Funktionalität zu erreichen, ist vielmehr eine Kombination aus verschiedenen Mechanismen erforderlich. Als Nebeneffekt erhält man je nach NAC-Produkt eine komplette Endsystem und Nutzerdatenbank mit Lokationsinfo und Zeitstempel,welche dann per XML/SOAP mit anderen Datenbanken synchronisiert werden können.

Phase 2: Authentifizierung

Hierbei müssen Benutzer und Endsystemidentitäten geprüft werden. Mögliche Verfahren sind Zertifikats-oder (One-Time-)Password basiert und werden via der EAP-Methoden über 802.1x genutzt. Oft jedoch ist der Rollout nicht ohne weiteres möglich, daher setzen viele auch noch auf MAC-basierte Authentifizierung (typisch auch für Non-Workstation-Systeme wie Drucker,Video,etc.) und erhöhte Sicherheit durch Kerberos-Snooping,was die Anmeldung am KDC (in einer Microsoft-Welt der Domain-Controller) mitschneidet und auf dieser Basis mehr Rechte zuweist. Gäste werden oft per Web-Portal authentifiziert oder über ein (E-Mail)Sponsoring freigeschaltet, was wiederum den administrativen Aufwand minimiert.

Phase 3: Assessment

Im Rahmen des Assessments prüfen Unternehmen das Endsystem auf Konformität respektive auf Schwachstellen. Dabei lautet bei der Methode eine der Kernfragen: mit oder ohne Agenten? Die Antwort ist ein klares „Jein“.Denn Agenten und Netzwerkscan ergänzen sich und adressieren die Endsystemvielfalt in heutigen Netzen optimal. Das Assessment liefert weit mehr als lediglich Aussagen über den Sicherheitszustand aller Netzwerk-Komponenten und -teilnehmer. Auch Konfigurationsdaten können ermittelt und korrigiert werden.

Phase 4: Autorisierung

Bei der Autorisierung,also der Gewährung von Zugriffsrechten, ist die VLAN (Virtual-LAN-) Zuweisung auf der Ebene der Ports eine weit verbreitete Methode: Jeder Port befindet sich in einem Quarantäne-VLAN, welches nach erfolgreicher Authentifizierung und Assessment zum produktiven VLAN wird.Der Haken dabei ist der erhöhte Aufwand bei der Konzeptionierung und beim Betrieb sowie die Einschränkungen, die dann eintreten, wenn an einem Port mehrere Geräte zugelassen werden.

Als äußerst wirksam haben sich zudem Policies am Switch-Port erwiesen. Damit kann der Netzwerk-Administrator vom Switch-Port über den Anwender bis zum Traffic im Netz selbst regulieren,was erlaubt ist und was nicht. Bei den Policies sind in puncto Vielfältigkeit und Granularität kaum Grenzen gesetzt. Vereinfacht wird diese durch ein rollen-und servicebasiertes Regelwerk,wie es sich etwa mit Switches und In-Line-NAC-Appliances realisieren lässt und zentral durch ein optimiertes Management verteilt und synchron gehalten wird.

Phase 5: Fehlerbehebung (Remediation)

Remediation sorgt für eine vorbeugende Korrektur von Schwachstellen,etwa bei Software-Patches oder Fehlkonfigurationen. Ist diese gut implementiert, kann dies den Zusatzaufwand bei der Zugangskontrolle im laufenden Betrieb erheblich reduzieren.Denn auf diese Weise wird ein Großteil der Problembehebung über Software-Agenten automatisiert oder auf den Benutzer ausgelagert. Bei der manuellen Variante kann der Benutzer selbst über ein Portal Fehler beheben. Zusätzliche Sicherheit erhalten Unternehmen durch das kontinuierliche Monitoring – sowohl der an das Netz angeschlossenen Geräte selbst als auch des Verhaltens der Anwender.Web-Portale, E-Mail,Agenten und WMI sind hier von Nutzen.

Network-Access-Control und mehr

Tatsächlich ist der Mensch einer der größten Sicherheitsrisiken. Deshalb sollte eine NAC-Lösung immer auch das effiziente Zusammenspiel mit einem Identity-Management gewährleisten, um das Problem des unberechtigten Zugriffs aus dem Weg zu schaffen und die Netzwerksicherheit weiter zu optimieren.

Auch weit über das Thema Netzwerkzugriff hinaus profitieren Unternehmen von einem NAC-Projekt. Denn sie sammeln dadurch nicht nur wichtige Daten über Endgeräte, sondern es liegen ihnen auch in Echtzeit wertvolle Informationen über Server sowie über die Identität von Geräten und Anwendern sowie über Infrastrukturdaten vor.Das bedeutet: Sie haben bereits entscheidende Vorarbeit für eine Anzahl weiterer Initiativen geleistet: von VoIP-Projekten über umfassendes Security-Management bis zur Server-Virtualisierung und der Optimierung des User-Helpdesks.

Markus Nispel, Vice President Solutions Architecture bei Enterasys