Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Office & Kommunikation > Special NAC: Je mobiler, desto unsicherer

Special NAC: Je mobiler, desto unsicherer

3. September 2010, 15:42 Uhr | Ralf Ladner
Fortsetzung des Artikels von Teil 3

In fünf Phasen zum NAC

 

Die Implementierung lässt sich grob in fünf Phasen unterteilen: Identifizierung (Detection), Authentifizierung, Assessment, Autorisierung sowie Fehlerbehebung (Remediation) & Monitoring.

Phase 1: Identifizierung (Detection)

Dieser Phase lässt sich auch bereits in die Planung integrieren. Hier sammelt das Unternehmen lediglich Informationen über alle Endsysteme, der eigentliche Zugang wird noch nicht beschränkt. Alle mit dem Netzwerk verbundenen Endgeräte werden inventarisiert und gegebenenfalls auch schon gleich authentifiziert. Wer ist im Netzwerk und von wo aus verschafft er sich Zugang? Um Endsystem oder Benutzer eindeutig zu identifizieren, gibt es verschiedene Möglichkeiten - von der Authentifizierung auf Basis von 802.1x über Kerberos-Snooping dynamische MAC-Adresserkennung, um nur einige der gängigsten zu nennen. Welche Methode ist nun die passende? Auf diese Frage lässt sich keine allgemein gültige Antwort finden. Um flächendeckende NAC-Funktionalität zu erreichen, ist vielmehr  eine Kombination aus verschiedenen Mechanismen erforderlich. Als Nebeneffekt erhält man je nach NAC-Produkt eine komplette Endsystem und Nutzerdatenbank mit Lokationsinfop und Zeitstempel, welche dann per XML/SOAP mit anderen Datenbanken synchronisiert werden können.

Phase 2: Authentifizierung

Hierbei müssen Benutzer und Endsystemidentitäten geprüft werden. Mögliche Verfahren sind Zertifikats- oder (one Time) Password basiert und werden via der EAP-Methoden über 802.1x genutzt. Oft jedoch ist der Rollout nicht ohne weiteres möglich, daher setzen viele auch noch auf MAC-basierte Authentifizierung (typisch auf für non-Workstation Systeme wir Durcker, Video etc.) und erhöhte Sicherheit durch Kerberos-Snooping, was die Anmeldung am KDC (in einer Microsoft Welt der Domain-Controller) mitschneidet und auf dieser Basis mehr Rechte zuweist. Gäste werden oft per Web-Portal authentifiziert oder über ein (Email-)Sponsoring freigeschaltet, was wiederum den administrativen Aufwand minimiert.

Phase 3: Assessment

Im Rahmen des Assessments prüfen Unternehmen das Endsystem auf Konformität respektive auf Schwachstellen. Dabei lautet bei der Methode eine der Kernfragen: mit oder ohne Agenten? Die Antwort ist ein klares „Jein". Denn Agenten und Netzwerkscan ergänzen sich und adressieren die Endsystemvielfalt in heutigen Netzen optimal. Das Assessment liefert weit mehr als lediglich Aussagen über den Sicherheitszustand aller Netzwerk-Komponenten und -teilnehmer. Auch Konfigurationsdaten können ermittelt und korrigiert werden.

Phase 4: Autorisierung

Bei der Autorisierung, also der Gewährung von Zugriffsrechten, ist die VLAN- (virtuelles LAN-)Zuweisung auf der Ebene der Ports eine weit verbreitete Methode: Jeder Port befindet sich in einem Quarantäne-VLAN, welches nach erfolgreicher Authentifizierung und Assessment zum produktiven VLAN wird. Der Haken dabei ist der erhöhte Aufwand bei der Konzeptionierung und beim Betrieb sowie die Einschränkungen, die dann eintreten, wenn an einem Port mehrere Geräte zugelassen werden.

Als äußerst wirksam haben sich zudem Policies am Switch-Port erwiesen. Damit kann der Netzwerk-Administrator vom Switch-Port über den Anwender bis zum Traffic im Netz selbst regulieren, was erlaubt ist und was nicht. Bei den Policies sind in puncto Vielfältigkeit und Granularität kaum Grenzen gesetzt. Vereinfacht wird diese durch ein rollen- und servicebasiertes Regelwerk, wie es sich etwa mit Switches und In-Line-NAC-Appliances realisieren lässt und zentral durch ein optimiertes Management verteilt und synchron gehalten wird.

Phase 5: Fehlerbehebung (Remediation)

Remediation sorgt für eine vorbeugende Korrektur von Schwachstellen, etwa bei Software-Patches oder Fehlkonfigurationen. Ist diese gut implementiert, kann dies den Zusatzaufwand bei der Zugangskontrolle im laufenden Betrieb erheblich reduzieren. Denn auf diese Weise wird ein Großteil der Problembehebung über Software-Agenten automatisiert oder auf den Benutzer ausgelagert. Bei der manuellen Variante kann der Benutzer selbst über ein Portal Fehler beheben. Zusätzliche Sicherheit erhalten Unternehmen durch das kontinuierliche Monitoring - sowohl der an das Netz angeschlossenen Geräte selbst als auch des Verhaltens der Anwender. Web Portale, Email, Agenten und WMI sind hier von Nutzen.

 

  1. Special NAC: Je mobiler, desto unsicherer
  2. Status Quo: NAC = Kontrolle des Gastzugriffs
  3. Vorbereitung ist die halbe Miete
  4. In fünf Phasen zum NAC
  5. Network-Access-Control und mehr
Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
Redgate Software

Redgate Software
Dahua Technology GmbH

Dahua Technology GmbH
AixpertSoft GmbH

AixpertSoft GmbH
dtm Datentechnik Moll GmbH

dtm Datentechnik Moll GmbH
WatchGuard Technologies

WatchGuard Technologies
Panduit

Panduit