Suchen

Netzwerk-Grundlagen – Network Access Control, Teil 1 NAC – Allgemeine Spezifikationen sowie Konzepte von Microsoft und TCG

| Autor / Redakteur: Markus Nispel, Enterasys / Stephan Augsten

Proactive Prevention oder auch Network Access Control (NAC) bietet sowohl aus Sicht der Hersteller als auch aus Sicht der Kunden eine Reihe von Vorteilen und Möglichkeiten. Sie stellt aber auch eine Herausforderung insbesondere an die Struktur und Organisation desjenigen Unternehmens, das eine entsprechende NAC-Lösung einsetzen möchte.

Firma zum Thema

Network Access Control hält unauthorisierte Anwender und Systeme aus dem Netzwerk fern.
Network Access Control hält unauthorisierte Anwender und Systeme aus dem Netzwerk fern.
( Archiv: Vogel Business Media )

Im Allgemeinen kann man NAC als eine benutzerfokussierte Technologie beschreiben, die ein genutztes Endgerät autorisiert und Zugriff auf Ressourcen gewährt. Dies geschieht auf Basis der Authentifizierung der Identität des entsprechenden Benutzers (oder/und Geräts) sowie auf dem Status des Geräts in Hinblick auf sicherheitsrelevante Parameter und Einstellungen – also die Compliance mit entsprechenden Unternehmensvorgaben.

Diese Parameter werden im so genannten Pre-Connect Assessment ermittelt, dass heißt vor Anschluss an die Infrastruktur. Es sollte aber auch dann im laufenden Betrieb eine Überprüfung erfolgen, welche dann als Post-Connect Assessment bezeichnet wird. Teilweise wird auf den einen oder anderen Baustein im Rahmen einer Implementierung auch verzichtet – je nach Kundenanforderung.

Ein Prozess zur Wiederherstellung der Compliance, der so genannten Remediation, ist hier ebenfalls enthalten. Die gilt für alle Endgeräte und Nutzer am Netz, das heißt eigene Mitarbeiter, Partner, Gäste, Kunden und sonstige Geräte wie Drucker, Videokameras, etc.

NAC ist aber auch nicht das Allheilmittel gegen beliebige Sicherheitsprobleme. Insbesondere falsches Nutzerverhalten und Angriffe auf Applikationsebene können mittels NAC kaum erkannt werden; es sei denn, man setzt intensiv auch Post-Connect Assessment Techniken ein.

Der Prozess NAC

Es gibt hier verschiedenste Modelle zur Darstellung eines NAC Prozesses. Generell ist (laut dem Marktanalyse-Unternehmen Gartner) die folgende Einteilung sinnvoll:

  • Policy – die Erstellung einer Policy ist notwendig, um die Konfigurationseinstellungen, die Zugriffsrechte und die Authentisierung sowie die Korrektur und Quarantäneeinstellungen zu regeln
  • Baseline – erkennt den Security Status bei bzw. vor Anschluss an die Netzinfrastruktur
  • Access Control – die Zuweisung von Zugriffsrechten aus dem Vergleich von Policy und Baseline
  • Mitigation – bei einer Diskrepanz und limitierten Zugriffsrechten (Quarantäne) sollte hier eine vollautomatische Beseitigung der Probleme via Softwareverteilung, Patchmanagement und Konfigurationsmanagement erfolgen
  • Monitor – es muss laufend überprüft werden, ob der Anfangsstatus sich nicht verändert
  • Contain – falls dies doch geschieht, muss reaktiv eine erneute Quarantäne erfolgen können
  • Maintain – es muss eine laufende Anpassung und Optimierung erfolgen

Wie zuvor erwähnt, sind hier die Workflows und die Organisation eines Unternehmens entsprechend anzupassen bzw. zu optimieren.

Inhalt

  • Seite 1: Definition von Network Access Control
  • Seite 2: Die großen Frameworks – das Endziel
  • Seite 3: NAC-Ansätze von Microsoft und TCG

(ID:2048876)