Netzwerkschutz: Netzwerke absichern mit NAC Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


18.06.2010 Thomas Hruby*

Netzwerkschutz: Netzwerke absichern mit NAC

Ein zuverlässiges Sicherheitssystem für Unternehmensnetze schützt vor Datenmissbrauch und -Verlust. Die Lösung heißt NAC: Network Access Control. Damit kann der Zugang zum Netzwerk automatisch geregelt werden.

Viele Netzverantwortliche wünschen sich eine automatische Zugangskontrolle für das eigene Netzwerk. Doch die Umsetzung einesm solchen Vorhabens ist komplex und verursacht enorme Kosten, weswegen viele Firmen auf eine automatische Network Access Control verzichten. Die Vorteile wiegen jedoch so schwer, dass man an eine Umsetzung durchaus denken sollte.

SO FUNKTIONIERT NAC Ein NAC-Lösung (Network Access Control) soll in einem mehrstufigen Verfahren automatisch den Zugang zum Netz regeln:

• eindeutige Identifizierung der Geräte • Prüfung, ob der Rechner die Sicherheitsforderungen des Netzes erfüllt • Falls nein - Gerät kommt in Quarantäne • Nach Wiederherstellung der Sicherheitsfunktionen erfolgt Zutritt zum Netz.

Der Sinn eines Kontrollsystems für den Netzzugang: Nur solche Geräte sollen Zutritt zu einem Netz bekommen, die nach vorangegangener Prüfung als ungefährlich bewertet wurden.

Für eine effektive NAC ist die eindeutige Identifizierung der angeschlossenen Geräte Grundvoraussetzung. Rechner, die sich dabei als "nicht konform" mit den Sicherheitsanforderungen des Netzes erweisen, werden automatisch in die Quarantäne verfrachtet und bekommen erst nach Wiederherstellung der Sicherheitsfunktionen Zutritt zum Netzwerk. Außerdem kann man mit NAC individueller Richtlinien und Rollen für verschiedene Nutzergruppen wie Gast-User erstellen und verwalten.

DER WEG ERSCHEINT MÜHSAM Obwohl die Vorteile klar auf der Hand liegen, scheuen sich viele Firmen davor, ein NAC-Projekt zu realisieren - nicht zuletzt aufgrund der hohen Kosten. Zudem sind viele NAC-Lösungen teuer, komplex oder lassen sich leicht umgehen. Einfache Plug-and-Play-Lösungen gibt es nicht; stattdessen ist ein hohes Maß an Konzeption im Vorfeld erforderlich.

In diesem Zusammenhang verfolgen Hersteller verschiedene Ansätze. Viele davon erfordern die Anschaffung einer komplexen Netzwerkarchitektur, die nicht selten auf Komponenten basiert, die in absehbarer Zeit überholt sein werden. Des Weiteren gibt es Lösungen, die nicht alle Teilbereiche eines Netzwerks berücksichtigen und beispielsweise ältere Komponenten außer Acht lassen, so dass weiterhin gefährliche Sicherheitslücken bestehen. Da jede NAC-Lösung zunächst eine Prozedur zur Netzwerkerkennung durchläuft, bei der viele manuelle Eingaben erfolgen müssen, gestaltet sich der Implementierungsprozess oft kompliziert und langatmig. Das gilt insbesondere, wenn Geräte erkannt werden müssen, die sich hinter Firewalls befinden oder nicht zentral administrierbar sind. Zudem wirft der Eingriff in Fremdrechner, etwa von Gast-Usern, rechtliche Fragen auf, beispielsweise bei der Installation spezieller Clients. Die Quintessenz: Der Markt ist verunsichert, und in Unternehmen bleiben erhebliche Sicherheitslücken.

Trotz aller Schwierigkeiten ist eine vollständige und verlässliche NAC, die im Rahmen des jeweiligen Security-Budgets bleibt und sich in das bereits vorhandene Netzwerk-Setup einfügen lässt, realisierbar und lohnenswert. Dazu sind aber einige Punkte zu berücksichtigen.

TRANSPARENZ IST DER SCHLÜSSEL Wie kann ein Netzwerk gegen Zugriffe von Fremdgeräten gesichert werden, wenn es nicht imstande ist, diese zu erkennen? Fakt ist, dass es mit lediglich partiellen Kenntnissen eines Netzwerks praktisch unmöglich ist, dieses sicher zu gestalten. Demnach müssen als Basis immer die Sichtbarkeit sowie die Identifizierung der Netzwerkkomponenten in Echtzeit gewährleistet sein. Ist dies nicht der Fall und werden lediglich bereits bekannte Geräte überwacht, ist das Netzwerk offen für Schädlinge, die sich von Fremd- oder nicht überprüften Rechnern einspeisen.

Daher ist es von zentraler Bedeutung, dass eine NAC-Lösung ein vollständiges Inventar aller im Netzwerk vertretenen Geräte anlegt und regelmäßig aktualisiert. Dabei sollte ebenfalls für Hardware-Firewalls und nicht verwaltbare beziehungsweise virtuelle Systeme ein ausführliches Profil angelegt werden. Zur Sichtbarkeit zählt auch, dass eine akkurate physikalische Karte des Netzwerks erstellt wird, um die vollständige IT-Infrastruktur abzubilden. Sie dient IT-Verantwortlichen als Grundlage für die zu ergreifenden Sicherheitsmaßnahmen.

AUDIT UND COMPLIANCE Das Einhalten von Sicherheitsrichtlinien wird durch verschärfte Gesetze zur Pflicht. Unternehmen müssen nachweisen können, dass sie alles in ihrer Macht Stehende tun, um einen wirksamen Schutz ihrer beziehungsweise der Kundendaten zu gewährleisten. NAC kommt dabei eine gewichtige Rolle zu, da es für jedes Gerät ein Profil erstellt, welches nach jeder Sicherheitsprüfung (Audit) aktualisiert wird. Darin enthalten sind User-Informationen, Funktionen und die eingesetzte Soft- und Hardware. Die Profile fungieren als Basis für die Entscheidung, ob ein Gerät den bestehenden Anforderungen durch Policies entspricht und ihm der Zugang zum Netz gewährt wird oder nicht. Hierbei ist es wichtig, dass wiederum sämtliche Systeme erfasst werden. Im Zuge der regelmäßigen Überprüfung identifizieren Audits Geräte, die nicht-konform, ungemanagt oder bösartig sind, noch bevor sie mit der Netzzugangskontrolle in Berührung kommen. Des Weiteren werden jegliche Änderungen an einem System - seien es beispielsweise von Mitarbeitern installierte Programme auf Software- oder der Anschluss fremder Datenträger auf Hardwareebene - durch die Audits erkannt und gemeldet. Die jeweiligen Sicherheitsprüfungen werden in Form von Berichten gespeichert und bieten somit bei Compliance-Prüfungen die erforderlichen Nachweise über die Sicherheitsbemühungen eines Unternehmens.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Matrix42 AG

    Matrix42 AG Mobile Lösungen und Applikationen, Zugangs- und Zutrittskontrolle, Security Audits, Übernahme von Softwareprojekten, Programmierung, IT-Asset- und Lizenzmanagement, IKT-Consulting,... mehr
  • ELO Digital Office AT GmbH

    ELO Digital Office AT GmbH Mobile Lösungen und Applikationen, Dokumentenmanagement und ECM, Übernahme von Softwareprojekten, Systemintegration und Systemmanagement, Programmierung, Individual-Softwareentwicklung, IKT-Consulting,... mehr
  • abaton EDV-Dienstleistungs GmbH

    abaton EDV-Dienstleistungs GmbH VPN, Überwachungssysteme, SPAM-Filter, Notfalls-Rechenzentren, Firewalls, Datensicherung, Backup und Recovery Systeme,... mehr
  • free-com solutions gmbh

    free-com solutions gmbh Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr

Hosted by:    Security Monitoring by: