Zugangskontrolle mithilfe von NAP- und NAC-Lösungen – Teil 1 Windows-Netzwerke durch Quarantänesysteme absichern

Autor / Redakteur: Johann Baumeister / Stephan Augsten

Zur Absicherung von Rechnersystemen bietet der Markt unterschiedlichste Techniken. Zu den neueren Lösungsansätzen zählen Quarantänesysteme wie etwa Network Access Protection von Microsoft oder Network Access Control von Cisco. Diese Konzepte und deren Einsatzmöglichkeiten untersuchen wir in dieser mehrteiligen Artikelreihe.

Firmen zum Thema

Vorsicht, Baustelle: Erst wenn alle kritischen Sicherheitslücken beseitigt sind, darf sich der Rechner mit dem Netzwerk verbinden.
Vorsicht, Baustelle: Erst wenn alle kritischen Sicherheitslücken beseitigt sind, darf sich der Rechner mit dem Netzwerk verbinden.
( Archiv: Vogel Business Media )

Die Sicherheit von Rechnersystemen ist ein Dauerbrenner. Ausgehend von den traditionellen Virenscanner, die heute fester Bestandteil jeder Sicherheitsstrategie sind, hat sich das Angebot an Techniken und Produkten in diesem Segment vervielfacht.

Neben den Virenscanner stehen heute diverse Filter und Kontrollsysteme, die den Zugang zum Internet absichern sollen. Dies sind unter anderem Firewalls, IDS, IPS, VPN-Gateway, sowie Content- und Spam-Filter.

All diese höchst unterschiedlichen Sicherheitskonzepte zeigen aber auch eines deutlich: es ist heute nicht möglich, mit einem einzigen Konzept oder Verfahren umfassende Sicherheit zu gewährleisten. Dazu sind die Anforderungen zu komplex.

Quarantänesysteme dienen der Netzwerksicherheit

Mit Quarantänesystemen wie Microsofts Network Access Protection (NAP) oder Network Access Control (NAC) von Cisco kommt eine weitere Technik hinzu. Im Kern handelt es sich bei beiden um intelligente Zugangskontrollsysteme. Hierbei wird ein zugangssuchendes Gerät – wie etwa ein Clientdesktop oder -Notebook – bei seiner ersten Kontaktaufnahme mit dem Unternehmensnetz dahingehend überprüft, ob es die obligatorischen Sicherheitskriterien aufweist.

Microsoft spricht in dem Zusammenhang auch von Policy Enforcement, einem Verfahren, das die Einhaltung von Sicherheitsrichtlinien erzwingt. Bei den zu prüfenden Kriterien kann es sich je nach Unternehmensanforderung um die Existenz eines Virenscanner, einer Firewalls oder sonstigen Sicherheitstechniken handeln.

Seite 2: NAP und NAC – verschiedene Ansätze mit dem gleichen Ziel

NAP und NAC – verschiedene Ansätze mit dem gleichen Ziel

Zwar ähneln sich die Konzepte von Microsoft und Cisco, dennoch werden sie unterschiedlich ausgeführt: Microsoft setzt auf seine Software-Serversysteme, allen voran den Windows Server 2008. Cisco hingegen baut zur Umsetzung auf seine Netzwerkbaugruppen.

Beiden gemeinsam ist die frühzeitige Prüfung des zugangssuchenden Gerätes schon bei der ersten Kontaktaufnahme – also noch bevor es Zugriff auf die Ressourcen des Unternehmensnetzes hat. Dies passiert durch die Zusammenarbeit mehrerer Komponenten, die sich entweder in den Netzwerkbaugruppen (Cisco) oder dem Windows Server 2008 und den zugangssuchenden Clients befinden. Es handelt sich in jedem Fall um eine Zusammenarbeit eines Client-Agenten mit dem zentralen Sicherheitssystem.

NAP erfordert neuere Betriebssysteme

Diese Erweiterungen bietet Microsoft für die Clientbetriebssysteme Windows Vista und Windows XP mit Service Pack 3 an. Der Windows Server 2003 wird nicht unterstützt.

NAP ist interoperabel und soll in Zukunft für weitere Plattformen zur Verfügung stehen, als nur den bisher unterstützten: Vom Microsoft-Partner Avenda gibt es mittlerweile einen NAP-Agenten für Linux, UNET entwickelt mit Anyclick for NAP ebenfalls Agenten für Linux und Mac OS X.

Last but not least kooperiert das NAP-Konzept von Microsoft mit Ciscos NAC. Dementsprechend ist die „Netzwerkhygiene“ in Cisco-Infrastrukturen auch für Windows-Clients gegeben.

NAP ist keine Sicherheitslösung

Der eigentliche Schutz durch NAP liegt in der Sicherstellung der erwünschten oder korrekten Konfiguration des Clientgerätes. Weist der Client eine abweichende Konfiguration oder Sicherheitsmängel auf, so erhält er nur eingeschränkten Zugriff.

Im Idealfall erfolgt – unterstützt durch einen Remediation-Server (Wiederherstellungs-Server) – eine Fehlerbeseitigung auf dem Client. Beispielsweise würden veraltete Virendefinitionen über den Remediation-Server aktualisiert. Die Möglichkeiten dieser Wiederherstellung durch den Remediation-Server hängen natürlich sehr stark vom aktuellen Zustand und den Sicherheitsmängeln des Clients ab.

Seite 3: Der Windows Server 2008 im Mittelpunkt von NAP

Der Windows Server 2008 im Mittelpunkt von NAP

Der Windows Server spielt bei der Durchsetzung der NAP-Richtlinien eine übergeordnete Rolle. Er ist die Steuerungszentrale für alle Konfigurationseinstellungen und Arbeiten.

Die für NAP notwendige Software hat Microsoft im Network Policy Server (NPS) gebündelt. Der NPS wiederum ist, ganz im Stile des Windows Servers 2008, eine Rolle des Windows Server und muss damit im Server Manager explizit aktiviert werden. Es handelt sich dabei um eine Radius-Implementierung von Microsoft unter Windows.

Fazit

Mit Network Access Protection hat Microsoft einen weiteren Baustein zur Erhöhung der Sicherheit im Angebot. Dabei gilt allerdings zu berücksichtigen, dass das Konzept nur im Verbund Windows Server 2008 und Windows Vista bzw. Windows XP mit SP3 greift – und dies auch für Windows Clients in Cisco Infrastrukturen.

Folglich wird sich der flächendeckende Einsatz von NAP noch über mehrere Jahre hinziehen. Wer den Einsatz von NAP plant, sollte daher bereits frühzeitig mit den Planungen der Architektur beginnen. Hierzu liefern wir im kommenden zweiten Teil dieser Reihe weitere Details.

(ID:2017045)