Network-Access-Control-Ansätze: Die Qual der Wahl

Network-Access-Control-Ansätze: Die Qual der Wahl (Fortsetzung)

Eine statische Zuordnung von Ports zu MAC-Adressen bietet ebenfalls keinen großen Schutz. Der Aufwand ist jedoch hoch. In jedem Switch muss der IT-Administrator pro Port eintragen, welche MAC-Adressen Zugang haben. Ebenso kosten Änderungen viel Zeit.

Mehr Schutz verspricht dagegen eine dynamische Zuordnung von Ports zu IP-/MAC-Adressen mittels SNMP (mittlere Sicherheit). Das Protokoll ist weit verbreitet und in der Version 3 auch sicher. Auch der Aufwand liegt im mittleren Bereich. Die Kosten sind eher gering.

Eine Authentifizierung über das Web ist eine Möglichkeit, Anwender zu überprüfen, zu deren Rechner der IT-Administrator keinen Zugang hat wie bei Besuchern. Der Schutz die Kosten liegen für Comco im mittleren Bereich. Der Aufwand ist gering. Hierfür muss ein Extra-Web-Server zum Einsatz kommen.

Wie bei der Web-Authentifzierung kontrolliert Kerberos-Snooping auch Anwender und keine Geräte. Die Sicherheit liegt auf der mittleren Stufe. Der Aufwand ist gering und Methode günstig. Dazu richtet der Administrator eine Inline-Komponente ein, durch die der Datenstrom zum Active-Directory geht.

Generell ist aber zu beachten, dass ein NAC-Projekt nicht nur eine Technologie einführt, sondern Auswirkungen auf fast alle Mitarbeiter im Unternehmen hat. Außerdem ist es wichtig, bei der Planung möglichst alle aktiven Geräte im Netz mit entsprechenden Informationen zu erfassen. Weiter gibt es Lösungen auf der Basis von Agenten und agentenlose Verfahren. Bei letzteren muss kein NAC-Client auf dem Rechner laufen.

1. Network-Access-Control-Ansätze: Die Qual der Wahl
2. Network-Access-Control-Ansätze: Die Qual der Wahl (Fortsetzung)