Network Access Control – Rundumschutz mit vielen Löchern

NAC lädt Viren, Würmer und Hacker zum Austricksen ein

17.07.2007 | Redakteur: Ulrike Ostler

Network Access Control, kurz NAC, ist hipp – in Englisch hype. NAC-Produkte enthalten vorformulierte Sicherheitsregeln und prä-konfigurierte Netzelemente, die den Netzzugang steuern. Doch ein allgemeingültiges Kriterium, das ein NAC-Produkt als solches auszeichnet oder gar die Qualität messbar macht, fehlt. So kann Insightix, ein NAC-Neuling, die meisten Security-Funktionen monieren.

Das Stammgeschäft des israelischen Softwareunternehmens Insightix basiert auf dem Monitoring von Netzwerken, beziehungsweise auf dem Sichtbarmachen von allem, was sich im Netz abspielt. „Unsere Kunden wollten jedoch wissen, mit welchem Authentifizierungs- und Autorisierungsprodukt sie die Überwachung ergänzen könnten, erzählt Ofir Akin, Chief Technology Officer (CTO) bei Insightix. „Wir begannen also den Markt zu untersuchen.“

Bei der Evaluation herausgekommen sind zwei Dinge: das Insightix-eigene Produkt „Network Admission Control“ und das Whitepaper „Baypassing Network Access Control Systems“, das die Schwächen der diversen NAC-Techniken konzentriert darstellt (siehe: Link am Ende des Textes).

Da NAC-Systeme ein Sammelsurium verschiedener Security-Features sind, mag bei dem einen das, bei einem anderen jenes fehlen. Das Insightix-Papier listet die Funktionen auf, die das sein könnten oder die überbetont werden.

NAC-Funktionskabinett

  • Element Detection – Die Funktion soll möglichst sofort entdecken, wenn dem Netz ein neue Element hinzugefügt oder weggenommen wird
  • Authentifizierung – Die Funktion dient dazu, Benutzern, die dürfen, den Netzzugang zu gestatten, egal woher und mit welchem Device sie sich anmelden
  • Endpoint Security Assessment – Diese Funktion ist ein Checkup für Elemente, die in das Netzwerk integriert werden sollen. Dafür muss überprüft werden, ob sie zu der Sicherheits-Policy des Unternehmen passt, also ob das Betriebssystem zulässig ist, geforderte Patches aufgespielt und jüngste Antiviren-Engines installiert sind, beziehungsweise ob die aktuelle Signatur vorhanden ist
  • Remidiation – Die Funktion befördert ein Element, das den Sicherheitsregeln nicht entspricht, in Quarantäne. Befindet es sich dort, sind möglicherweise von dort aus eine Reihe von Aktionen trotzdem erlaubt, so dass die Benutzer damit arbeiten können
  • Enforcement – Die Funktion beschränkt die Zugriffsmöglichkeiten der Policy-inkompatiblen Elemente
  • Autorisierung – Die Funktion verifiziert die Zugriffserlaubnis eines Nutzers, anhand hinterlegter Profile, etwa mit Hilfe des Active Directory und von Radius Servern. Es geht demnach um die Identität der Benutzer
  • Post-Admission Protection – Die Funktion kümmert sich um die ständige Überwachung aller Netzkomponenten und Benutzeraktionen. Es soll sichergestellt werden, dass keine Würmer, Viren und Malware eingeschleppt werden und sich Anwender wie Ressourcen so verhalten, wie sie sollen. So fallen hierunter auch die Aufgaben eines Intrusion Prevention Systems

Seite 2: Was ist los?

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2006134 / Zugangs- und Zutrittskontrolle)