Netzwerk-Grundlagen – Network Access Control, Teil 1

NAC – Allgemeine Spezifikationen sowie Konzepte von Microsoft und TCG

10.01.2011 | Autor / Redakteur: Markus Nispel, Enterasys / Stephan Augsten

Network Access Control hält unauthorisierte Anwender und Systeme aus dem Netzwerk fern.
Network Access Control hält unauthorisierte Anwender und Systeme aus dem Netzwerk fern.

Proactive Prevention oder auch Network Access Control (NAC) bietet sowohl aus Sicht der Hersteller als auch aus Sicht der Kunden eine Reihe von Vorteilen und Möglichkeiten. Sie stellt aber auch eine Herausforderung insbesondere an die Struktur und Organisation desjenigen Unternehmens, das eine entsprechende NAC-Lösung einsetzen möchte.

Im Allgemeinen kann man NAC als eine benutzerfokussierte Technologie beschreiben, die ein genutztes Endgerät autorisiert und Zugriff auf Ressourcen gewährt. Dies geschieht auf Basis der Authentifizierung der Identität des entsprechenden Benutzers (oder/und Geräts) sowie auf dem Status des Geräts in Hinblick auf sicherheitsrelevante Parameter und Einstellungen – also die Compliance mit entsprechenden Unternehmensvorgaben.

Diese Parameter werden im so genannten Pre-Connect Assessment ermittelt, dass heißt vor Anschluss an die Infrastruktur. Es sollte aber auch dann im laufenden Betrieb eine Überprüfung erfolgen, welche dann als Post-Connect Assessment bezeichnet wird. Teilweise wird auf den einen oder anderen Baustein im Rahmen einer Implementierung auch verzichtet – je nach Kundenanforderung.

Ein Prozess zur Wiederherstellung der Compliance, der so genannten Remediation, ist hier ebenfalls enthalten. Die gilt für alle Endgeräte und Nutzer am Netz, das heißt eigene Mitarbeiter, Partner, Gäste, Kunden und sonstige Geräte wie Drucker, Videokameras, etc.

NAC ist aber auch nicht das Allheilmittel gegen beliebige Sicherheitsprobleme. Insbesondere falsches Nutzerverhalten und Angriffe auf Applikationsebene können mittels NAC kaum erkannt werden; es sei denn, man setzt intensiv auch Post-Connect Assessment Techniken ein.

Der Prozess NAC

Es gibt hier verschiedenste Modelle zur Darstellung eines NAC Prozesses. Generell ist (laut dem Marktanalyse-Unternehmen Gartner) die folgende Einteilung sinnvoll:

  • Policy – die Erstellung einer Policy ist notwendig, um die Konfigurationseinstellungen, die Zugriffsrechte und die Authentisierung sowie die Korrektur und Quarantäneeinstellungen zu regeln
  • Baseline – erkennt den Security Status bei bzw. vor Anschluss an die Netzinfrastruktur
  • Access Control – die Zuweisung von Zugriffsrechten aus dem Vergleich von Policy und Baseline
  • Mitigation – bei einer Diskrepanz und limitierten Zugriffsrechten (Quarantäne) sollte hier eine vollautomatische Beseitigung der Probleme via Softwareverteilung, Patchmanagement und Konfigurationsmanagement erfolgen
  • Monitor – es muss laufend überprüft werden, ob der Anfangsstatus sich nicht verändert
  • Contain – falls dies doch geschieht, muss reaktiv eine erneute Quarantäne erfolgen können
  • Maintain – es muss eine laufende Anpassung und Optimierung erfolgen

Wie zuvor erwähnt, sind hier die Workflows und die Organisation eines Unternehmens entsprechend anzupassen bzw. zu optimieren.

Inhalt

 

Über Enterasys Networks

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2048876 / Zugangs- und Zutrittskontrolle)