Suchen

Nicht die gründlichste, die effektivste Variante siegt Network Access Control (NAC) mit Client-Software ist unerwünscht

Autor / Redakteur: Annette Stadler / Ulrike Ostler

Eines der wichtigsten Unterscheidungsmerkmale von Lösungen für Network Access Control ist die Überprüfung der Endgeräte mit oder ohne Client-Software. Obwohl die Variante mit Client-Software gründlicher ist, erwarten Marktexperten nicht, dass das Gros der Anwender diese Alternative wählt.

Firmen zum Thema

( Archiv: Vogel Business Media )

Bei der Suche nach einer Network Access Control Lösung (NAC) stellen viele Anwender zunächst fest, dass einige Produkte Client-Software benötigen andere nicht. Ist Client-Software erforderlich, unterscheidet sich diese in Software, die auf den Endgeräten installiert werden müssen und Software, die sich mittels Java oder Active-X selbst installiert.

Prinzipiell sind Administratoren NAC-Lösungen ohne Clients am liebsten, da der Implementierungsaufwand entfällt. Doch was kann eine NAC-Lösung ermitteln, wenn sie nicht auf den Client zugreifen kann? Schließlich soll sie doch erkennen, dass ein Client Zugang zum Netzwerk erlangen will. Weiterhin soll sie diesen prüfen und festlegen, welche Zugriffsrechte er erhält und die Zugriffsweise durchsetzen.

Bei einer Client-losen Lösung inspiziert das NAC-Produkt lediglich mittels Remote Procedure Call (RPC) Funktionen wie Registry- und Dateiinformationen, um das Zugangsrecht zu überprüfen. So erhält das NAC-System unter anderem Auskunft über Typ und Version des Betriebssystems, Existenz und Patch-Status von Sicherheits-Client-Software, Applikationen und Dienste.

Der Unterschied

Die häufig proprietären Methoden, nach denen die unterschiedlichen Hersteller vorgehen, können zudem meist den aktiven Verkehr zwischen Client und Netzwerk auf Sicherheitsgefahren und Verletzung der Richtlinien analysieren. Befindet sich per automatischem Download oder aktivem Installieren eine NAC-Client-Software auf dem Endgerät, kann sie noch weitere Informationen sammeln. So kann sie Konfigurationen von Sicherheitssoftware und Betriebssystem auf dem Client und Informationen über Signaturdateien von Sicherheitssoftware sowie die Existenz von mobilen Speichergeräten und Browsereinstellungen ermitteln.

Neben den Clients, die das NAC-System mit Informationen versorgen, gibt es auch Clients, die Richtlinien durchsetzen können. Sie sorgen dafür, dass bestimmte Bereiche des Netzwerks zugänglich werden. Daneben können sie auch das Gerät steuern und Software-Updates oder Konfigurationsänderungen veranlassen, damit es den Sicherheitsrichtlinien entspricht.

Nachteile von Client-Lösungen

NAC-Lösungen mit Client-Software geben den Administratoren die meisten Möglichkeiten in Bezug auf Kontrolle und Sicherheitsaspekte. Jedoch sind gerade die zu installierenden Programme in der Handhabung aufwendig und kostspielig.

Zudem ist nicht jedes Endgerät für eine Installation geeignet. Viele NAC-Lösungen setzen auf dem Authentifizierungsstandard IEEE 802.1x auf, den jedoch nicht jede Hard- und Software unterstützt. Außerdem herrscht unter den Benutzern – allen voran bei Gastbenutzern – ebenfalls Skepsis gegenüber zusätzlicher Client-Software.

Ein weiterer Nachteil ist die potenzielle Angriffsfläche, die ein starker Client darstellt. Gezielte Hackerangriffe auf die NAC-Clientsoftware können dazu führen, dass der Angreifer Kontrolle über das NAC-System und damit Zugang zum Netzwerk erhält.

Was macht Cisco?

Bekanntester Hersteller einer starken NAC-Client-Lösung ist Cisco. Der Hersteller hat den Begriff NAC überhaupt stark geprägt und bezeichnet seine Lösung als „Network Admission Control“ (NAC). Obwohl sich über 70 Unternehmen der NAC-Initiative von Cisco angeschlossen haben, erfordert die Lösung eine Cisco-Infrastruktur. Der Initiative sind beispielsweise viele Antivirensoftware-Hersteller beigetreten. Dadurch ist die NAC-Lösung in der Lage, über den auf den Clients zu installierenden Cisco „Trust Agent2 viele Informationen zu sammeln.

Über die Akquisition von Roving Planet hat sich das 3Com-Unternehmen Tipping Point eine NAC-Lösung an Land gezogen. Die Tipping Point NAC-Lösung enthält Client-Software, die sich auf den Clients selbst installiert und auch wieder komplett gelöscht werden kann, was bei temporären Netzwerkbenutzern sinnvoll ist. Zudem prüft sie den aktiven Verkehr des Clients während der gesamten Nutzungsdauer und nicht nur vor dem Verbindungsaufbau zum Netzwerk.

NAC in der Box

Client-lose NAC-Lösungen stellen in den meisten Fällen NAC-Appliances dar, wie sie beispielsweise Forescout anbietet. Das Gerät „CounterACT CT1000“ unterstützt bis zu 3.000 Benutzer und bietet einen Datendurchsatz von bis zu einem Gigabyte. Die Appliance führt bei einer Verbindung eine sofortige Prüfung auf Bedrohungen durch und initiiert dann eine Befragung durch, während der Benutzer den Prozess der Zugriffsgewährung auf das Netzwerk durchläuft.

Das IT-Marktforschungsunternehmen Infonetics Research geht davon aus, dass der Markt groß genug ist, um die unterschiedlichen Lösungen mit den verschiedenen Client-Ansätzen aufzunehmen. Im Mainstream werde sich allerdings die Client-lose Variante durchsetzen, da sie im Aufwand-Nutzen-Verhältnis zumeist wohl die vernünftigste Alternative darstelle.

Artikelfiles und Artikellinks

(ID:2004953)