Network Access Control richtig planen und implementieren NAC-Systeme in fünf Phasen ins Netzwerk integrieren

Autor / Redakteur: Markus Nispel / Stephan Augsten

Im IT-Alltag werden mobile Geräte, Netzwerk-Fernzugriffe aus dem Home Office oder Zugriffe über Web-Portale zur Normalität. Doch damit steigen unweigerlich die Bedrohungen für die Netzwerksicherheit und die Integrität der Unternehmensdaten. Abhilfe verspricht ein Sicherheitsansatz namens Network Access Control, kurz NAC. In diesem Beitrag gehen wir näher auf die Zugangskontrolle zum Netz und die schrittweise Implementierung ein.

Firmen zum Thema

Fortwährende Baustelle: Im Rahmen der NAC-Implementierung sollte man schrittweise vorgehen und wichtige Phasen wiederholt durchlaufen.
Fortwährende Baustelle: Im Rahmen der NAC-Implementierung sollte man schrittweise vorgehen und wichtige Phasen wiederholt durchlaufen.
( Archiv: Vogel Business Media )

Network Access Control (NAC) erlaubt es, Endgeräte-Verbindungen zum Netzwerk zu autorisieren und den Zugriff auf die Ressourcen zu steuern. Mit NAC erhalten Unternehmen eine Übersicht und die Kontrolle darüber, wer wann und wo Zugang zum Unternehmensnetz hat. Entscheidend bei allen Projekten zur Kontrolle des Netzwerkzugangs ist jedoch die richtige Planung und Implementierung.

Network Access Control in seinen ganzen Facetten soll eine Reihe von Zielen erfüllen: Sie muss auf Basis entsprechender Policies den Zugang von Geräten auf spezifische Netzwerk-Services begrenzen. Außerdem hat sie sicherzustellen, dass Endgeräte mit den Sicherheitsanforderungen eines Unternehmens konform gehen.

Bei Systemen, die nicht den Sicherheitsrichtlinien entsprechen, müssen Probleme automatisch behoben werden. Für Gäste und Geschäftspartner gilt es, separate Netzwerkzugänge zu schaffen. Auch die Verbreitung von Malware soll mit NAC begrenzt werden. Über all dem stehen die generellen Compliance-Anforderungen an die Netzwerksicherheit.

Diese vielfältigen Ziele erreichen Unternehmen Schritt für Schritt: Am Anfang steht die Identifizierung und Lokalisierung von neu ins Netz eingeloggten Geräten, gefolgt von der Authentifizierung und der Prüfung auf Konformität mit den Richtlinien (Assessment). Weitere Phasen sind die Autorisierung und das Beheben von Problemen und Sicherheitsmängeln sowie das Monitoring.

Seite 2: Der Status Quo: NAC = Kontrolle des Gastzugriffs

Der Status Quo: NAC = Kontrolle des Gastzugriffs

NAC nicht gleich NAC. Die Vorstellungen davon, was Network Access Control bedeutet oder auch, welche Funktionen eine NAC-Lösung bereitstellen sollte, variieren bei den Anwendern stark.

Während manche Unternehmen damit schlicht die Registrierung und Autorisierung von Endgeräten anhand der MAC (Media Access Control)-Adresse im IP Netzwerk meinen, verbinden andere mit NAC den Schutz des gesamten Netzwerks gemäß den Unternehmensrichtlinien. Häufig wird damit auch lediglich eine Lösung für den kontrollierten Zugriff von Gästen auf das Netzwerk bezeichnet.

Laut einer aktuellen Studie von Gartner (Januar 2009) ist dies sogar bei 80 Prozent aller eingesetzten NAC-Systeme der Fall. Das heißt, die große Mehrzahl aller Anwender nutzt Network-Access-Control-Lösungen lediglich, um den Netzwerkzugang von Gästen und Dienstleistern des Unternehmens unter Kontrolle zu halten.

Der ursprüngliche Zweck von NAC-Lösungen, nämlich Zugangspunkte und -geräte auf die Konformität mit den Sicherheitsanforderungen (Compliance) zu prüfen und entsprechende Richtlinien für die Rechtevergabe aufzustellen, war in der Gartner-Studie nur bei 15 Prozent aller Fälle die treibende Kraft für die Implementierung einer NAC-Lösung.

Welche Funktionen ein Unternehmen bei der Kontrolle des Netzwerkzugangs nun primär benötigt: Gartner empfiehlt, die weiteren Anwendungsmöglichkeiten immer im Auge zu behalten und einen eventuellen Ausbau zu einem späteren Zeitpunkt von Anfang an mit einzuplanen.

Deshalb empfiehlt sich bei der Wahl der geeigneten Lösung die Konzentration auf Systeme, welche einen stufenweisen Aufbau ermöglichen. Um bereits getätigte Investitionen in diverse Netzwerkkomponenten wie etwa Router, Switches oder WirelessAccess Points zu schützen, sollten Unternehmen zudem auf eine standardbasierte Lösung zu setzen, die problemlos mit Systemen von Drittanbietern zusammenarbeitet (Multi-Vendor-Ansatz).

Seite 3: Vorbereitung ist die halbe Miete

Vorbereitung ist die halbe Miete

Die unternehmensweite Einführung eines umfassenden Network Access Control-Systems ist ein Projekt und sollte gut geplant werden. Die gute Nachricht dabei: Aus technischer Sicht ist es nicht erforderlich, sofort alle einzelnen Aspekte umzusetzen. Tatsächlich sieht auch die gängige Firmenpraxis so aus, dass NAC in den wenigsten Fällen komplett in einem Zuge eingeführt wird. Meist liegen mehrere Monate zwischen den einzelnen Schritten.

Viele NAC-Vorhaben scheitern jedoch aufgrund mangelnder Planung. Deshalb gilt: Je mehr Informationen vorliegen und je genauer die Definition von Rollen und Rechten ist, umso stressfreier lässt sich im Anschluss die Lösung implementieren.

Bereits in der Vorbereitungsphase sollten sich Unternehmen darüber im Klaren werden, bis zu welcher Phase sie NAC einführen wollen. Letztlich ist dies eine Kosten-/Nutzen-Rechnung, bei der der gewünschte Grad an Sicherheit mit den Kosten der Implementierung und dem Aufwand im Betrieb abgewägt werden.

Ein weiterer Aspekt, der in die Planung Eingang finden sollte, sind die Anforderungen eines NAC-Projekts an die Organisation. Da es sich um ein weit reichendes Projekt handelt, muss die gesamte IT-Abteilung mit einbezogen werden. Denn nicht nur der Netzwerkbetrieb ist involviert, sondern ebenso Endsysteme, Server, Security, Management und Datenschutz.

Um hier organisatorische Planungssicherheit zu gewährleisten, empfiehlt sich unter Umständen auch, die Geschäftsleitung mit einzubeziehen. Letztlich werden NAC-Lösungen in erster Linie aus organisatorischen Gesichtspunkten implementiert.

Seite 4: In fünf Phasen zur Network Access Control

In fünf Phasen zur Network Access Control

Die Implementierung lässt sich grob in fünf Phasen unterteilen: Identifizierung (Detection), Authentifizierung, Assessment, Autorisierung sowie Fehlerbehebung (Remediation) & Monitoring.

Phase 1: Identifizierung (Detection)

Diese Phase lässt sich auch bereits in die Planung integrieren. Hier sammelt das Unternehmen lediglich Informationen über alle Endsysteme, der eigentliche Zugang wird noch nicht beschränkt. Alle mit dem Netzwerk verbundenen Endgeräte werden inventarisiert und gegebenenfalls auch schon gleich authentifiziert.

Die Frage lautet also: Wer ist im Netzwerk und von wo aus verschafft er sich Zugang? Um Endsystem oder Benutzer eindeutig zu identifizieren, gibt es verschiedene Möglichkeiten – von der Authentifizierung auf Basis von 802.1x über KerberosSnooping dynamische MAC Adresserkennung, um nur einige der gängigsten zu nennen.

Doch welche Methode ist nun die passende? Auf diese Frage lässt sich keine allgemein gültige Antwort finden. Um flächendeckende NAC-Funktionalität zu erreichen, ist vielmehr eine Kombination aus verschiedenen Mechanismen erforderlich. Als Nebeneffekt erhält man je nach NAC-Produkt eine komplette Endsystem und Nutzerdatenbank mit Lokationsinfop und Zeitstempel, welche dann per XML/SOAP mit anderen Datenbanken synchronisiert werden können.

Seite 5: Von der Authentifizierung bis zur Autorisierung

Von der Authentifizierung bis zur Autorisierung

Phase 2: Authentifizierung

Hierbei müssen Benutzer und Endsystemidentitäten geprüft werden. Mögliche Verfahren sind Zertifikats- oder (one Time) Password basiert und werden via der EAP Methoden über 802.1x genutzt.

Oft jedoch ist der Roll Out nicht ohne weiteres möglich. Daher setzen viele auch noch auf MAC-basierte Authentifizierung (typisch auf für non-Workstation Systeme wir Durcker, Video etc) und erhöhte Sicherheit durch KerberosSnooping, was die Anmeldung am KDC (in einer Microsoft Welt der Domain Controller) mitschneidet und auf dieser Basis mehr Rechte zuweist. Gäste werden oft per Web-Portal authentifiziert oder über ein (E-Mail-) Sponsoring freigeschaltet, was wiederum den administrativen Aufwand minimiert.

Phase 3: Assessment

Im Rahmen des Assessments prüfen Unternehmen das Endsystem (mit oder ohne Agenten) auf Konformität respektive auf Schwachstellen. Agenten und Netzwerkscan ergänzen sich und adressieren die Endsystemvielfalt in heutigen Netzen optimal. Das Assessment liefert weit mehr als lediglich Aussagen über den Sicherheitszustand aller Netzwerk-Komponenten und -teilnehmer. Auch Konfigurationsdaten können ermittelt und korrigiert werden.

Phase 4: Autorisierung

Bei der Autorisierung, also der Gewährung von Zugriffsrechten, ist die VLAN (virtuelles LAN)-Zuweisung auf der Ebene der Ports eine weit verbreitete Methode: Jeder Port befindet sich in einem Quarantäne-VLAN, welches nach erfolgreicher Authentifizierung und Assessment zum produktiven VLAN wird. Der Haken dabei ist der erhöhte Aufwand bei der Konzeptionierung und beim Betrieb sowie die Einschränkungen, die dann eintreten, wenn an einem Port mehrere Geräte zugelassen werden.

Als äußerst wirksam haben sich zudem Policies am Switch Port erwiesen. Damit kann der Netzwerk-Administrator vom Switch Port über den Anwender bis zum Traffic im Netz selbst regulieren, was erlaubt ist und was nicht.

In puncto Vielfältigkeit und Granularität sind den NAC-Policies kaum Grenzen gesetzt. Vereinfacht wird diese durch ein rollen- und servicebasiertes Regelwerk, wie es sich etwa mit Switches und In-Line NAC Appliances realisieren lässt und zentral durch ein optimiertes Management verteilt und synchron gehalten wird.

Seite 6: Remediation-Prozess und NAC-Erweiterung

Remediation-Prozess und NAC-Erweiterung

Phase 5: Fehlerbehebung (Remediation)

Remediation sorgt für eine vorbeugende Korrektur von Schwachstellen, etwa bei Software-Patches oder Fehlkonfigurationen. Ist diese gut implementiert, kann dies den Zusatzaufwand bei der Zugangskontrolle im laufenden Betrieb erheblich reduzieren. Denn auf diese Weise wird ein Großteil der Problembehebung über Software-Agenten automatisiert oder auf den Benutzer ausgelagert.

Bei der manuellen Variante kann der Benutzer selbst über ein Portal Fehler beheben. Zusätzliche Sicherheit erhalten Unternehmen durch das kontinuierliche Monitoring – sowohl der an das Netz angeschlossenen Geräte selbst als auch des Verhaltens der Anwender. Web Portale, Email, Agenten und WMI sind hier von Nutzen

Unterstützende Techniken für die Netzwerk-Zugriffskontrolle

Tatsächlich ist der Mensch einer der größten Sicherheitsrisiken. Deshalb sollte eine NAC-Lösung immer auch das effiziente Zusammenspiel mit einem Identity Management gewährleisten, um das Problem des unberechtigten Zugriffs aus dem Weg zu schaffen und die Netzwerksicherheit weiter zu optimieren.

Auch weit über das Thema Netzwerkzugriff hinaus profitieren Unternehmen von einem NAC-Projekt. Denn sie sammeln dadurch nicht nur wichtige Daten über Endgeräte, sondern es liegen ihnen auch in Echtzeit wertvolle Informationen über Server sowie über die Identität von Geräten und Anwendern sowie über Infrastrukturdaten vor.

Dementsprechend hat ein Unternehmen bereits entscheidende Vorarbeit für eine Anzahl weiterer Initiativen geleistet: von VoIP-Projekten über umfassendes Security Management bis zur Server-Virtualisierung und der Optimierung des User Helpdesks.

Markus Nispel ist Vice President Solutions Architecture bei Enterasys, der Netzwerk- und Securitysparte von Siemens Enterprise Communications (SEN).

(ID:2042708)