Zum Inhalt springen
Network-Access-Control: Sicherheit und Netzwerkverwaltung

Neue Geräte werden automatisch erkannt

Autor: Bernd Reder • 25.7.2008 • ca. 1:40 Min

Verknüpfung mit Kerberos

Eine interessante Erweiterung von Standardinformationen bietet eine Verknüpfung mit Kerberos an. Bei der Authentifizierung von Nutzern in einer Microsoft-AD-Umgebung ist dies Standard.

Hierbei ist ohne netzbasierte Authentifizierung wie 802.1x dennoch die Möglichkeit gegeben, den am System angemeldeten Benutzer zu erfassen und in der NAC-Datenbank abzulegen. Diese Information wird von den Netzkomponenten (NAC-Controllern) mit protokolliert und kann später auch nochmals intensiv weiter verwendet werden – siehe »Automatisierte Angriffsanalyse und Reaktionen«.

Allerdings ist bei diesem Erfassen von personenbezogenen Informationen das Thema Datenschutz zu berücksichtigen. Daher sollte ein Unternehmen, das eine solche Lösung implementiert, im Vorfeld den Betriebsrat mit einbeziehen.

Die Passwort-Informationen werden zwischen Client und Server verschlüsselt ausgetauscht, der Nutzername ist jedoch nicht verschlüsselt. Damit gehört das Suchen nach (neuen) Geräten im Netz der Vergangenheit an.

Diese werden automatisch erfasst und auch Bewegungen erkannt und dokumentiert. Eventuell können die speziell für diese Anwendung beschafften Tools abgeschaltet werden.

Weiterhin verringert sich auch die Zeit beim Troubleshooting beziehungsweise am Helpdesk. Der Grund: Die Nutzerinformation ist direkt mit eingebunden. Damit entfallen lästige Mehrfachabfragen, um die Gerätedaten eines Nutzers zu bekommen, nach dem Erstkontakt mit dem Nutzer.

NAC für sehr kleine Außenstellen ist ebenfalls wesentlich einfacher zu implementieren, wenn man nicht versucht, für fünf Mitarbeiter in einem Vertriebsbüro ohne physikalischen Zugriffsschutz auf die Netzkomponenten eine NAC vor Ort auszurollen. Dies wird typischerweise zentral erledigt und kann dennoch agentenlos (in Bezug auf den Client) sein.

Ausgangspunkt für die Nutzung und den Austausch von Daten zwischen der NAC-Lösung und anderen Unternehmensdatenbanken sind offene Schnittstellen. Hierbei hält auch der Service-Oriented-Architecture-Gedanke (SOA) Einzug.

Er propagiert eine Aufteilung von monolithischen Applikationen mit mehrfach vorhandenen identischen Funktionen, wie etwa Nutzerverwaltung, in flexible, modulare Applikationen.

Diese »unterhalten« sich dann untereinander über sogenannte Web-Services, um die jeweils benötigen Daten von den dafür zuständigen Applikationen zu bekommen. Es kommt seit längerem nun XML in Verbindung mit der Interface-Beschreibung durch die Web-Services-Description-Language (WDSL) zum Einsatz.

Der Einsatz von Web-Services als NAC-Management-Interface bietet vielfältige Möglichkeiten, um zuvor ermittelten Endgerätedaten mit statischen Inventar- und Nutzerdatenbanken im Unternehmen automatisch auszutauschen und zu synchronisieren.

Ein weiterer Anwendungsfall ist die Verknüpfung mit VoIP-Management-Systemen zum Zwecke der Inventarisierung, Überwachung, Konfiguration von Netz und Endsystemen.

Zudem lassen sich auf diese Weise Presence/Location-basierte Dienste wie E.911 (Notruflokalisierung) einbinden oder Anzeigen am Endsystem individuell anpassen, etwa welcher Kollege in einem Gebäude oder auf einer Etage als Ersthelfer ausgebildet wurde.