Was ist Network Access Control (NAC)?
Network Access Control (NAC) steuert den Zugriff in ein lokales Netzwerk und leistet einen wesentlichen Beitrag für mehr Cyber Security. Da viele Hersteller die Aufgaben eines NAC unterschiedlich interpretieren, bieten sie Produkte mit verschiedenen Schwerpunkten an.
Im Gegensatz zu einem einfachen Network Access Server authentifiziert das NAC nicht nur die Endgeräte, sondern bietet einen erweiterten Schutz vor unerwünschten Geräten und Zugriffen.
Ein NAC-System kann verhindern, dass Schadsoftware wie Viren oder Würmer über das Netzwerk eingeschleust werden und setzt die Sicherheitsrichtlinien des Unternehmens zuverlässig durch.
Bevor ein Endgerät im Netz kommuniziert, prüft Network Access Control, ob beispielsweise der Virenscanner aktuell ist oder das Betriebssystem die neuesten Sicherheits-Updates besitzt. Nur Geräte, die die festgelegten Sicherheitsrichtlinien erfüllen, erhalten Zugriff auf das Netzwerk und daran angeschlossene Ressourcen. Allen Geräten, die diesen Vorgaben nicht entsprechen, wird der Zugang vollständig verweigert oder sie werden in ein spezielles Quarantänenetz gestellt.
Fast alle großen Hersteller von Netzwerkprodukten bieten NAC-Systeme mit unterschiedlichem Funktionsumfang an.
Welche Aufgaben hat ein NAC-System?
Kurz zusammengefasst hat das System für Network Access Control folgende Aufgaben:
Lokalisierung und Identifizierung neuer Geräte im Netzwerk
Authentifizierung der
Geräte und Nutzer
Zuweisung von
Rollen und Berechtigungen
Prüfung der Einhaltung fest-
gelegter Sicherheitsrichtlinien
Automatische Wiederherstellung
der Konformität der Endgeräte
(soweit möglich)
Quarantäne-Zuweisung
nicht-konformer Endgeräte
Überwachung des Verhaltens der
Endgeräte und Nutzer im Netz
Welche Anforderungen erfüllt ein NAC-System?
Network Access Control hat diese zwei grundsätzlichen Anforderungen zu erfüllen:
Herstellung eines vollständigen
Überblicks aller Endgeräte im Netz
Sicherstellung der Einhaltung der festgelegten Sicherheitsrichtlinien aller Endgeräte
Das Network Access Control-System hat alle Geräte im Netzwerk zu erfassen – unabhängig von deren Art und Verwendung. Nur wenn eine vollständige Übersicht über alle Geräte vorliegt, lässt sich verhindern, dass unerwünschte, fremde oder nicht identifizierbare Geräte das Netzwerk nutzen. Nur bekannte und erwünschte Geräte erhalten Zugang zum Netz.
Hierfür prüft das NAC-System Fragen wie:
-
Ist der Virenschutz aktuell?
-
Ist die Desktop-Firewall installiert und aktiv?
-
Sind die neuesten Betriebssystem-Versionen installiert?
-
Wurde das Betriebssystem modifiziert?
-
Haben die installierten Anwendungen die neuesten Updates und Patches?
-
Befindet sich unerwünschte Software auf den Endgeräten?
-
Wurde das festgelegte, maximale Datenvolumen überschritten?
Für ein Gerät, das der Compliance-Prüfung nicht standhält, leitet das NAC-System Maßnahmen wie die automatische Installation von Software oder das Verschieben in Quarantäne ein.
Welche Technologien und Methoden verwendet Network Access Control?
Profiling
Gängige Praxis bei fast allen Systemen ist das sogenannte Profiling, d. h. das Netzwerk wird auf verwendete IP-Adressen, MAC-Adressen und andere Endgeräteeigenschaften gescannt. Dadurch entsteht ein erster Überblick über alle Geräte im Netz.
In einem zweiten Schritt unterzieht das NAC die erfassten Geräte einer genaueren Prüfung. Fremde Geräte lassen sich durch Techniken wie ARP-Spoofing auf Gäste-Portale umleiten oder werden in ihrer Kommunikation gestört. Auch können, abhängig von der Gruppenzugehörigkeit, VLANs zugewiesen werden.
Sensoren
Zur Überwachung des Netzwerkverkehrs verwenden viele Network Access Control-Lösungen Geräte, die als Sensoren im kompletten Netz verteilt arbeiten. Sie prüfen in allen Teilbereichen des Netzwerks die übertragenen Datenpakete in Echtzeit und verwerfen Datenverkehr von unerwünschten Systemen. Die Sensoren können als dedizierte Geräte ausgeführt sein oder sich als softwarebasierte Funktionen auf den vorhandenen Netzkomponenten wie Routern, Switchen oder WLAN-Accesspoints befinden. Mit diesen Vorrichtungen lassen sich nur aktiv im Netz kommunizierende und keine rein lauschenden Geräte identifizieren.
Agenten
Viele Lösungen für Network Access Control arbeiten mit sogenannten Agenten. Es handelt sich bei den Agenten um Software, die auf den Endgeräten installiert ist. Die Software sorgt gegenüber einem zentralen NAC-Service für die Authentifizierung und Prüfung der Richtlinien-Compliance. Nur den per Agent authentifizierten Endgeräten ist die Kommunikation im Netz erlaubt. Dieses Verfahren verhindert grundsätzlich den Zugang für unternehmensfremde Geräte. Es erfordert aber, Agenten für alle Plattformen und Betriebssysteme bereitzustellen und diese auf die Systeme zu bringen. Für Geräte, die nicht mit Agenten versorgt werden können, sind andere Lösungen zur Authentifizierung und Richtlinienprüfung bereitzustellen.
VLAN
Zur Separierung von fremden Systemen oder Gastsystemen vom produktiven Netz nutzen Systeme für Network Access Control häufig die VLAN-Funktionen der Switche. Per virtuelles LAN lassen sich logische Netzwerksegmente schaffen, ohne die Endgeräte auf andere physische Ports oder sogar Geräte verschieben zu müssen.
LDAP-Verzeichnisse / Active Directory
Die Steuerung der Zugriffsrechte der Nutzer übernehmen LDAP-Verzeichnisse oder das Active Directory. Diese regeln über Gruppenzugehörigkeiten, welcher Nutzer Zugriff auf welchen Service oder Server hat. Dadurch ist es möglich, verschiedenen Anwendern, die sich an dem gleichen Endgerät anmelden, unterschiedliche Berechtigungen zuzuweisen.
Möchten Sie von den Vorteilen der modernen Systeme für Network Access Control profitieren und die Cyber Security in Ihrem Unternehmen verbessern? SanData unterstützt Sie als erfahrener Dienstleister bei der Auswahl eines passenden Systems, der Implementierung Ihrer Lösung und beim Betrieb Ihres NAC. Kontaktieren Sie uns jetzt!
|
SanData − Privatsphäre-Einstellungen
