Basiswissen: Die Technik hinter Network Access Control

Lauscher im Netz

Wenn sich ein Endgerät nicht freiwillig identifizieren lässt, gibt es auch andere Methoden. Sogenannte Broadcast Listener lauschen, wie der Name schon sagt, nach Datenpaketen von bekannten und neuen Geräten. Ein Endgerät, das versucht, eine Verbindung zu Ressourcen im Netz aufzubauen, muss das über ausgesendete Pakete tun; die Entdeckung ist also garantiert.

Allerdings hat auch diese Methode Nachteile. Einer ist, dass pro Subnetz je ein Gerät mit der entsprechenden Software ausgestattet sein muss. Genaue Kenntnis des eigenen Netzwerks ist also Pflicht. Zudem sind solche Listener rein passiv und müssen für die Quarantäne mit Switchen zusammenarbeiten, Kompatibilität sollte also gewährleistet sein. Endgeräte hinter einer NAT-Firewall bleiben dem Listener ebenfalls verborgen.

Noch raffinierter arbeiten Listener, die die Anmeldedaten zwischen Endgerät und Verzeichnisdienst im Netzwerk abfangen, dekodieren und auf dieser Basis NAC umsetzen. Bei Microsoft-Netzwerken mit Active Directory ist das in der Regel das Kerberos-Protokoll. Kerberos Snooping liest den verschlüsselten Datenverkehr mit und kann erkennen, ob sich ein System erfolgreich an der Domäne anmelden konnte. Kerberos liefert den Benutzer- und den Hostnamen als Identifizierungsmerkmal. Der große Vorteil einer solchen Lösung besteht darin, dass die einzige Voraussetzung die Verwendung des Kerberos-Protokolls ist. Das Erkennen und Authentifizieren ist hierbei vollkommen von den Switchen losgelöst und kann in vielen Fällen direkt ohne größere Eingriffe implementiert werden.