Network Access Control richtig planen und implementieren

NAC-Systeme in fünf Phasen ins Netzwerk integrieren

Seite: 5/6

Firmen zum Thema

Von der Authentifizierung bis zur Autorisierung

Phase 2: Authentifizierung

Hierbei müssen Benutzer und Endsystemidentitäten geprüft werden. Mögliche Verfahren sind Zertifikats- oder (one Time) Password basiert und werden via der EAP Methoden über 802.1x genutzt.

Oft jedoch ist der Roll Out nicht ohne weiteres möglich. Daher setzen viele auch noch auf MAC-basierte Authentifizierung (typisch auf für non-Workstation Systeme wir Durcker, Video etc) und erhöhte Sicherheit durch KerberosSnooping, was die Anmeldung am KDC (in einer Microsoft Welt der Domain Controller) mitschneidet und auf dieser Basis mehr Rechte zuweist. Gäste werden oft per Web-Portal authentifiziert oder über ein (E-Mail-) Sponsoring freigeschaltet, was wiederum den administrativen Aufwand minimiert.

Phase 3: Assessment

Im Rahmen des Assessments prüfen Unternehmen das Endsystem (mit oder ohne Agenten) auf Konformität respektive auf Schwachstellen. Agenten und Netzwerkscan ergänzen sich und adressieren die Endsystemvielfalt in heutigen Netzen optimal. Das Assessment liefert weit mehr als lediglich Aussagen über den Sicherheitszustand aller Netzwerk-Komponenten und -teilnehmer. Auch Konfigurationsdaten können ermittelt und korrigiert werden.

Phase 4: Autorisierung

Bei der Autorisierung, also der Gewährung von Zugriffsrechten, ist die VLAN (virtuelles LAN)-Zuweisung auf der Ebene der Ports eine weit verbreitete Methode: Jeder Port befindet sich in einem Quarantäne-VLAN, welches nach erfolgreicher Authentifizierung und Assessment zum produktiven VLAN wird. Der Haken dabei ist der erhöhte Aufwand bei der Konzeptionierung und beim Betrieb sowie die Einschränkungen, die dann eintreten, wenn an einem Port mehrere Geräte zugelassen werden.

Als äußerst wirksam haben sich zudem Policies am Switch Port erwiesen. Damit kann der Netzwerk-Administrator vom Switch Port über den Anwender bis zum Traffic im Netz selbst regulieren, was erlaubt ist und was nicht.

In puncto Vielfältigkeit und Granularität sind den NAC-Policies kaum Grenzen gesetzt. Vereinfacht wird diese durch ein rollen- und servicebasiertes Regelwerk, wie es sich etwa mit Switches und In-Line NAC Appliances realisieren lässt und zentral durch ein optimiertes Management verteilt und synchron gehalten wird.

Seite 6: Remediation-Prozess und NAC-Erweiterung

(ID:2042708)