Thema der Woche: Network-Access-Control (Fortsetzung)

Network Computing: Welches Konzept empfehlen Sie Kunden, die NAC sanft und schrittweise implementieren wollen?

Guido Sanchidrian, Produkt-Marketing-Manager E/ME/A bei Symantec: Grundsätzlich ist es möglich, erst einmal alle Endgeräte generell auszuschließen und nur bestimmte Endgeräte zuzulassen (so genanntes Whitelisting oder Bottomup-Methode). Alternativ geht es, die meisten Geräte zuzulassen, aber gewisse Szenerien und Zustände abzublocken (Blacklisting oder Top-down-Methode). Die zweite Methode eignet sich dabei eher für eine schrittweise Implementierung.

Weltmaier: Wir empfehlen Zugriffskontrollen auf Layer 3, denn so muss nicht gleich das gesamte Netz 802.1x unterstützen. In dem Fall wird ein Client per Host-Check geprüft, sobald er auf bestimmte Anwendungen oder Subnetze zugreift. Danach ist er nur für die Dauer der Session freigeschaltet. Dies lässt sich ohne großen Aufwand einführen.

Pfeiffer: Zuerst reines Reporting über eigene Ressourcen und darüber, wer sich als Gast im Netz befindet. In Phase zwei werden diese ausgewertet und die IT-Strukturen angepasst. In Phase drei werden Enduser einbezogen, indem sie Mitteilungen auf ihrem Endpoint erhalten. In Phase vier passt die Firma eigene IT-Konzepte an und bereitet die Quarantäne vor. Am Ende steht die Nutzung dieser Option für eigene und fremde Geräte.