Zum Inhalt springen
Network-Access-Control: Sicherheit und Netzwerkverwaltung

Assessment mit und ohne Agenten

Autor: Bernd Reder • 25.7.2008 • ca. 1:40 Min

Die Daten werden ereignisgetriggert zwischen beiden Systemen synchronisiert. Daher ist die NAC-Lösung sogar immer über die aktuell am Telefon gültige Rufnummer informiert, was wiederum für das Troubleshooting beziehungsweise das Suchen nach bestimmten Geräten hilfreich ist.

Ein ganz anderer Anwendungsfall für die Nutzung bestehender Daten im Unternehmen ist die Überprüfung der Endgeräte als Teil des NAC-Prozesses, das sogenannte Assessment. Man kann hier generell agentenbasierte und agentenlose Assessment-Optionen unterscheiden. Innerhalb der Optionen wiederum ist eine Unterteilung wie folgt möglich.

  • Agentenbasiert: Ein permanenter Agent, der meist noch weitere Funktionen realisieren kann. Hier findet man die Microsoft-NAP (Network-Access-Protection) und auch die TCG-Trusted-Network-Connect-Lösung (TNC) aber auch viele andere, die aus Personal-Firewalls, Host-Intrusion-Prevention-Systemen und Antivirus-Produkten hervorgegangen sind.
  • Agentenbasiert: Ein temporärer (dissolving) Agent, der entweder als Applet geladen wird oder sich bis zum nächsten Reboot als Programm installiert.
  • Agentenlos: Durch einen Vulnerability-Assessment-Scanner (VA). Hier gibt es eine Reihe von Produkten am Markt. Die NAC-Lösung sollte verschiedene VA-Scanner integrieren können.
  • Agentenlos: Im Post-Connect-Bereich die Möglichkeit, das Verhalten des Endsystems via Intrusion-Detection-Technologien auf der Basis von Signaturen und Anomalien des Verkehrs ausgehend von einem Endgerät zu überwachen.

Man kann aber auch agentenlos arbeiten, indem man bestehende Informationen aus Softwareverteilungssystemen oder bereits vorhandenen Vulnerability-Assessment-Scannern nutzt und diese integriert. Dies kann man ebenfalls durch Web-Services-Schnittstellen im Assessment-Bereich erreichen.

Da es schier unmöglich ist, alle auf dem Markt vorhandenen Lösungen in diesem Bereich zu unterstützen, bietet beispielsweise Enterasys eine eigene Assessment-API, die es beim Kunden möglich macht, bereits vorhandene Lösungen zu integrieren. Dies kann durch Professional-Services des Herstellers oder qualifizierter Partner erfolgen.

Wichtig ist, dass nicht nur die Events der bereits implementierten Systeme gelesen und interpretiert werden, sondern auch die Steuerung der Scans erfolgen kann.

Das beschriebene Konzept der Kopplung von VoIP-Systemen und NAC sowie der automatischen Autorisierung, die natürlich auch Quality-of-Service-Parameter beinhalten sollte, kann bei einer NAC-Lösung auf alle Endgeräte ausgeweitet werden.

Nach der Authentifizierung und dem optionalen Assessment, dem Überprüfen der Geräte im Hinblick auf Schwachstellen und deren Konfiguration, kann sofort die gleiche Autorisierung (= Policy) an jedem Ort der Infrastruktur verfügbar gemacht werden.

Der Vorteil liegt auf der Hand: Das Konfigurieren des Netzes von Hand entfällt, wenn auch nicht das Herumtragen der Endgeräte.

Eine weitere Anwendung für diese Funktionen findet sich im Bereich Servervirtualisierung. Dort machen sich derzeit Fachleute viele Gedanken um Themen wie Mobility und adaptive Netzwerkkonfiguration. Ein Datenbank-basiertes NAC-Managementsystem stellt zudem die historischen Umzugsdaten zur Verfügung.