Test NAC-Systeme: Mitten im Verkehr (Fortsetzung)

Consentry hält Host-Scanning für überbewertet und sagt, dass, was wichtig ist, sei die Aktivität, die ein Host zeigt, sobald er im Netzwerk ist. Statt eigene Host-Assessment-Fähigkeiten zu entwickeln, lizenziert Consentry Check Points Intergrity-Clientless-Security, ICS. Dieses nutzt einen sich selbst wieder entfernenden Agenten, der auf der Maschine des Benutzers läuft und eine Einschätzung zurück liefert. Besteht der Host den Test, benachrichtigt ICS den Lanshield-Controller, und der Host darf den nächsten Schritt im Authentifikationsprozess ausführen.

Assessment-Richtlinien sind im Lanshield-Controller global und gelten für alle Hosts. Für solche, die diese Assessment-Phase umgehen sollen, sind also Ausnahmen zu erzeugen. Das ist ein kleiner Schwachpunkt in Consentrys ansonsten robuster Richtliniendefinition.

Der Hersteller redet viel über Applikationsdurchsetzung (Enforcement) und die Entdeckung von Netzwerkabnormitäten, aber die Realität entspricht dem ganzen Rummel nicht. Lanshield entdeckt 30 Applikationen auf Schicht 7, aber den Zugriff steuert es für eine geringere Anzahl. Beispielsweise sind Applikationen mit konfigurierbaren Aktionen auf HTTP, Cifs und FTP eingeschränkt. Zugriffssteuerungsregeln beschränken sich generell auf Datei- und Benutzernamen. Nicht sonderlich nützlich.

Entdeckte Applikationen sind gleichfalls limitiert. Die IM-Protokolle sind AIM, Yahoo-Messenger und MSN, während als P-to-P-Protokoll das obskure Winny unterstützt wird. Ohne die Möglichkeit, Applikationen hinzuzufügen, bietet dieses Feature wenig Nutzen.

Die Entdeckung von Abnormitäten sah vielversprechend aus. Als dieses Feature lief, entdeckte es allgemein übliche Abnormitäten wie Port-Scans. Allerdings war es nicht möglich, dieses Feature lange genug laufen zu lassen, um es gründlich zu testen.

Insight bietet einige hübsche Übersichtsgrafiken, die auf den Status von Hosts im Netzwerk hindeuten. Aber der Abruf von Details ist bestenfalls entmutigend und schlimmstenfalls wertlos. Viele hübsche Bilder sind zwar nett anzusehen, aber sie helfen nicht beim Aufspüren von Problemen. Beispielsweise Verbindungen, die nicht vollständig hergestellt werden, oder Benutzer, die anscheinend nicht authentifiziert werden. Es gibt keine Logdateien, die das Troubleshooting unterstützen.

Einzig mit »CLI show«-Kommandos ließen sich einige Informationen abrufen. Aber es blieb schwierig, und selbst nach der Konfiguration von Debug-Output via Syslog waren relevante Ereignisse nicht verfügbar.

Administratoren benötigen für das Troubleshooting Zugriff auf Logdateien. Es gibt kaum etwas Schlimmeres als eine Funktion, die nicht funktioniert, und ein Gerät, das nicht darauf hinweist, warum sie nicht funktioniert. Nirgendwo ließ sich auch nur ein einziges Ereignis finden, das auf ein Problem hätte hinweisen können.