Implementierungskritereien für den Netzwerkschutz
NAC - die Firewall von morgen
Network Access Control gewinnt als moderner Netzwerkschutz immer größere Bedeutung, speziell unter Compliance-Gesichtspunktren. Auch bei dieser Technik allerdings existieren gleich mehrere Spielarten, von denen nicht jede für jedes Unternehmen ideal ist. Der Beitrag bringt Licht ins Dunkel der technischen Varianten.
Vor gut vier Jahren infizierte der Blaster-Wurm Millionen von Unternehmensnetzwerken, indem er
eine DCOM-Schwachstelle im Windows RPC-Dienst ausnutzte. Dass sich der Wurm im August 2003 derart
massiv über das Internet verbreiten konnte, war verwunderlich: Viele der betroffenen Unternehmen
schützten ihre Netze mit Perimeter-Firewalls. Zudem hatte Microsoft schon einen Monat zuvor über
die Sicherheitslücke berichtet und einen Patch für alle betroffenen Versionen von Microsoft Windows
bereitgestellt. Viele Anwender hatten den Patch allerdings nicht installiert, und oft war die
Antivirensoftware nicht mehr aktuell. Darüber hinaus waren vielfach Notebooks im Spiel, die direkt
mit dem Internet verbunden waren und das Netz von innen infizierten, sobald sie mit dem geschützten
Netzwerk verbunden waren. Auch Mitarbeiter, die von zu Hause über einen VPN-Client auf das Netzwerk
zugriffen, schleusten den Schädling vielfach unbemerkt ein.
Gefahren durch unsichere Endgeräte
Heute mögen die regelmäßige Installation von Patches und die Aktualisierung der
Antivirensoftware Standard sein – die Gefahr jedoch, Netzwerke durch die Anbindung unsicherer
Engeräte zu infizieren, ist größer denn je. Die Lösung für dieses Problem heißt Network Access
Control (NAC). Mit NAC lässt sich bestimmen, wer und was im Netzwerk zugelassen ist. Unbekannte
oder unbefugte Benutzer werden gesperrt, der Zugriff auf das Netzwerk überwacht und die Einhaltung
von Sicherheitsrichtlinien gewährleistet.
Um ihre Wettbewerbsfähigkeit zu sichern, erneuern Unternehmen heute regelmäßig ihre
IT-Strategien. Aufgrund flexiblerer Arbeitsprozesse, dem zunehmenden Einsatz mobiler Endgeräte und
immer neuer Kommunikationstechnologien lösen sich Netzwerkgrenzen immer mehr auf. Die meisten
Unternehmen arbeiten mit offenen Umgebungen: Mitarbeiter und Gäste erhalten Zugriff auf Daten und
Dienste von unterschiedlichen Standorten aus. Der IT-Manager muss den unterschiedlichen Gruppen den
Zugang ins Netzwerk öffnen und die Nutzung webbasierter Techniken – wie etwa Instant Messaging oder
Voice over IP – erlauben. Dies bringt mehr Flexibilität und Produktivität, aber auch neue Gefahren
mit sich. Firewalls und Antivirenprogramme reichen als Sicherheitsstrategie deshalb nicht mehr aus,
um den aktuellen Risiken zu begegnen. IT-Administratoren brauchen Unterstützung, um Systeme,
Rechner und Daten vor Schadprogrammen und unberechtigten Zugriffen zu schützen. Dies gilt nicht
zuletzt deshalb, weil Unternehmen gefordert sind, IT-Sicherheits- und Datenschutzregelungen nach
SOX oder Basel II einzuhalten.
Riskante Produktivität und kontrollierte Mobilität
Unternehmen müssen kontrollieren können, wer sich in ihrem Netzwerk einloggt und ob alle jeweils
angeschlossenen Rechner den geltenden Sicherheitsrichtlinien entsprechen. Dazu gehört die
Überprüfung der Geräte auf Malware, Spam-Aktivitäten, E-Mail- und Datenschutzrichtlinien.
Unternehmen sollten außerdem individuell festlegen können, welche Websites oder Webanwendungen
erlaubt sind. Möglich wird dies durch Kontrollmechanismen wie Application Control und Network
Access Control (NAC).
Die Idee hinter NAC ist, jedes Endgerät, das sich an ein Netzwerk anschließen will, vorab
grundsätzlich einer Art von "Gesundheitstest" zu unterziehen. Eine NAC-Lösung überprüft, wer sich
über welche Art von Verbindung in das Netzwerk einwählt und ob das hierfür verwendete Endgerät
überhaupt den entsprechenden Sicherheitsrichtlinien entspricht. Dazu wird der Status der Hosts
ermittelt – sowohl beim ersten Login als auch im laufenden Betrieb. Dessen Zustand nämlich kann
sich aufgrund eines infizierten Downloads innerhalb kürzester Zeit dramatisch ändern.
NAC oder nicht NAC?
Nicht alle Lösungen für Netzwerkzugangskontrolle gehen dabei gleich vor. So herrscht noch keine
Einigkeit zwischen den NAC-Anbietern darüber, was den Status eines Rechners ausmacht und wie er
ermittelt werden soll. Einige Anbieter wollen die Hosts über Agenten analysieren. Sie prüfen, ob
die AV-Signaturen aktuell sind, alle nötigen Patches aufgespielt wurden, die PC-Firewall und
Host-IPS aktiviert sind und das System im richtigen IP-Subnetz verbunden ist. Aber wie handhabt ein
Unternehmen Gast-User, die auf interne Ressourcen zugreifen sollen? Was geschieht mit Systemen wie
Druckern, VoIP-Telefonen oder Embedded-Plattformen, für die die Hersteller noch keine Agenten
entwickelt haben? Wieder andere propagieren einen Appliance-Ansatz, der keinen Agenten fordert,
dafür aber ein Stück Code auf den Endpoint überträgt. Aber selbst das Applet braucht einen
privilegierten Zugang zum Host. Darf ein Unternehmen diese Rechte auch bei Gast-Usern
einfordern?
Die Ergebnisse der Überprüfung werden an eine übergeordnete Validierungsinstanz geschickt, zum
Beispiel die Management- oder Policy-Plattform des Endpoint-Produkts, die den Host-Zustand in
Zugriffsrechte übersetzt. Ist der Rechner "integer", darf sein User auf alle ihm zugeteilten
Ressourcen zugreifen. Ist er es nicht, wird er in einem Remediation-Bereich isoliert und dort für
den User transparent und schnell "repariert". Die Umsetzung der Policy wird im Hintergrund vom
Netzwerk übernommen. Damit das Konzept funktioniert, müssen die Endgeräte, die Netzinfrastruktur
sowie Authentifizierungs- und Autorisierungssysteme reibungslos interagieren.
Hard- oder Softwarelösung?
Viele Anbieter behaupten, eine komplette NAC-Lösung oder eine Schlüsselkomponente davon
anzubieten. Tatsächlich aber verbergen sich hinter dem Begriff NAC teils unterschiedliche Systeme –
von Tools zur Erkennung von Eindringlingen über authentifizierte DHCP-Lösungen bis hin zu
Netzwerkhardware und Security-Suites. Dies führt zu Verunsicherung und dazu, dass Unternehmen auf
ihrer Suche nach einer NAC-Lösung oft Äpfel mit Birnen vergleichen.
Heute unterscheiden sich die verfügbaren Lösungen hauptsächlich in Appliance- sowei in
softwarebasierende Techniken. Eine Appliance-Lösung hat Router- oder Switch-Funktionalität und wird
im Netzwerk als solche genutzt. Um einen firmenweiten Schutz zu gewährleisten, müssen einheitliche
Lösungen angeschafft werden. Oft werden diese jedoch nur als VPN-Switches oder als 802.1X-Lösungen
verwendet. Intern werden sie nicht eingesetzt. So jedoch lässt sich keine flächendeckende
Sicherheit im Unternehmen erreichen. Wie das Beispiel von Blaster zeigt, ist aber genau dies
notwendig, um sich vor Angriffen zu schützen.
Der zweite Ansatz ist die softwarebasierte Lösung. Viele Hersteller integrieren diese in ihre
Sicherheitssuiten, die dann in der Lage sind, sich selbst zu überwachen und durch
Quarantänebereiche für eine Aktualisierung zu sorgen. Dies ist bei einem mehrstufigen
Virenschutzansatz wenig hilfreich und führt dazu, dass beispielsweise Gastrechner nicht überprüft
werden können. Zudem müssen nicht nur Microsoft-Patches und Viren-Scanner überwacht werden, sondern
auch andere Applikationen, die die Sicherheit eines Unternehmens gefährden können.
NAC oder NAP?
Drei Initiativen beherrschen heute die Entwicklung der Netzwerkzugangskontrolle und verfolgen
dabei teils unterschiedliche Konzepte: Das Cisco Network Admission Control (NAC) Framework vereint
als netzwerkbasiertes Compliance-Enforcement-Verfahren Sicherheitsrichtlinien in der
Netzwerkinfrastruktur eines Unternehmens.
Richtlinien werden auf Policy-Servern gespeichert und ihre Durchsetzung durch Router und
Switches erzwungen: Ein Client, der auf einem Computer gestartet wird, der sich mit dem Netzwerk
verbindet, meldet seinen Status an den Policy-Server. Nicht richtlinienkonforme Rechner werden
automatisch in Quarantäne gesetzt oder erhalten eingeschränkten Zugriff auf das Netzwerk. Cisco NAC
eignet sich insbesondere für große Unternehmen, deren Netzwerke exklusiv aus Cisco-Hard- und
-Software sowie Cisco-NAC-kompatiblen Komponenten bestehen.
Mit Network Access Protection (NAP) hat Microsoft eine Funktion in Windows Vista integriert, mit
der sich Sicherheitsrichtlinien durchsetzen lassen. NAP setzt sich aus Client- und serverbasierten
Komponenten zusammen, die Funktionen wie Policy- Konfiguration und Remediation umsetzen. Die
NAP-Sicherheitsrichtlinie besteht aus Enforcement- und Quarantäneeinstellungen. Die Plattform
erzwingt dabei, dass alle ans Netzwerk angeschlossenen Rechner den Vorgaben entsprechen. Solange
sie nicht aktualisiert werden können, erhalten nicht richtlinienkonforme PCs nur limitierten
Zugriff auf das Unternehmensnetz.
Für reine Microsoft-Umgebungen oder Produkte, die NAP-kompatibel sind, mag Microsoft NAP eine
gute Basislösung sein. In gemischten IT-Infrastrukturen stößt NAP jedoch schnell an seine
Grenzen.
Unternehmen sind in einer schwierigen Situation: Da die Konzepte bislang nicht interoperabel
sind, müsste sich eine Firma zwangsläufig auf ein Konzept festlegen. Deshalb gründete die Trusted
Computing Group (TCG) die "Trusted Network Connect"-Arbeitsgruppe (TNC).
Ziel dieser Initiative ist es, offene Industriespezifikationen für Netzwerksicherheit und
international geltende Plattform-, Geräte- und herstellerneutrale Standards zu etablieren.
Mit Offenheit sicherer
Wer in eine NAC-Lösung investiert, sollte eine offene Lösung wählen, die sich in bestehende
Umgebungen integriert und Anwendungen unterschiedlicher Hersteller überprüft. So bleibt gesichert,
dass sich beispielsweise das Endpoint-Security-Produkt mit der Infrastruktur abspricht – unabhängig
davon, welches NAC-Verfahren der fremde Switch oder die Appliance beherrscht. In puncto Integration
und Anpassung an bestehende Infrastrukturen und neue Anforderungen hat ein rein software-basierter
Ansatz klare Vorteile. Die Software sollte sich mit den vorhandenen Appliances "unterhalten"
können, um diese in das Lösungskonzept zu integrieren. Gleichzeitig müssen auch alle gängigen
Anwendungen und Viren-Scanner überwacht werden können.
Die optimale Lösung ist also eine Softwarelösung, die durchweg das bereits vorhandene Equipment
nutzt, um ein Sicherheitskonzept auf möglichst einfache Art und Weise zu verwirklichen. Sie
vergrößert idealerweise die Fähigkeiten eines DHCP-basierten Enforcements, in dem sie
Echtzeitbenachrichtigungen über MAC- und IP-Adressen liefert. So können Administratoren Maßnahmen
ergreifen, sobald sich ein unautorisierter Computer mit dem Netzwerk verbindet. Lässt sich die
Lösung mit netzwerkbasiertem Enforcement integrieren, können die Prozesse für bekannte und
richtlinienkonforme Computer automatisiert werden.
Reporting-Funktionen mit Berichten über Eindringlinge und gesperrte Endpoints sowie
Alarminformationen sorgen für eine einfache Administration.
Eine NAC-Lösung sollte das Netzwerk zudem passiv überwachen, ohne die laufende
Netzwerkkommunikation zu stören. Auf unterster Ebene sollte sie zudem ARP (Address Resolution
Protocol) kontrollieren. Denn selbst wenn sich ein Computer dem DHCP- oder dem
802.1X-Netzwerk-basierten Enforcement entzieht, kann er – ohne ARP zu nutzen – nicht mit dem
Netzwerk kommunizieren und auch keine Infektionen verbreiten. Durch die Überwachung von ARP lässt
sich somit jede IP-Kommunikation im Netzwerk zuverlässig erkennen, und nicht autorisierte Rechner
lassen sich identifizieren. Wird ein Eindringling entdeckt, kann der Administrator alarmiert werden
und passende Maßnahmen ergreifen.
Fazit
Angesichts der steigenden Mobilität und zunehmenden Öffnung der Netzwerke lässt sich nur durch
NAC gewährleisten, dass Unternehmen vor Malware wie Blaster und Co. effektiv geschützt bleiben.
Aufgrund der noch fehlenden Standards und der teils unscharfen Unterscheidung verschiedener Systeme
und Konzepte ist es für Unternehmen nicht immer einfach, die für sie passende Lösung zu finden.
Eine softwarebasierte Lösung bietet hier die breitesten Einsatzmöglichkeiten.
Grundsätzlich gilt: Mit NAC lassen sich vorhandene Sicherheitskonzepte sehr sinnvoll ergänzen –
aber nicht ersetzen. Eine klassische Sicherheitsumgebung inklusive Firewall, Antiviren- und
Anti-Spam-Software bleibt auch weiterhin unerlässlich. Sie sollte mit Endpoint-Richtlinien
verwaltet werden und mit einer Funktion zur Applikationskontrolle ausgestattet sein, um Gefahren
durch die Nutzung webbasierter Anwendungen wie Instant Messaging oder Peer-to-Peer-Anwendungen
entgegenzu- wirken.
Lesen Sie mehr zum Thema
