Praxistipps zur NAC-Einführung

NAC und die Geräteerkennung

Ein weiteres Problem besteht darin, bei der Ermittlung von Geräten zu erfahren, um welche Art von Gerätetyp es sich handelt und wie bei Erkennung eines solchen Systems zu verfahren ist. Dies stellt sich deshalb als schwierig dar, weil nur ein Teil der erkannten Systeme Endgeräte wie Laptops und PCs sind. Ein erheblicher Teil dürfte aus Servern, Druckern, WLAN-APs, VoIP-Devices und Routern bestehen, die ihrerseits redundante Systeme (Cluster) bilden können.

Je nach Hersteller und verwendeten Protokollen ist es mühsam, hier Fehlalarme auszuschließen, zumal solche Systeme ständig durch Wartungsarbeiten und Failover geändert werden. Dies führt gerade bei der Erstkonfiguration von NAC-Systemen oft zu erheblichen Schwierigkeiten. Da eine automatische Erkennung oft nicht gewährleistet werden kann, sind hier Systeme mit vielfältigen Hilfefunktionen nötig.

Erschwerend kommt hinzu, dass in den meisten Unternehmen die Geräte und Applikationen unter administrativer Kontrolle verschiedener Abteilungen stehen, die unabhängig voneinander arbeiten. Aus diesem Grund bedarf es für die Einrichtung und den Betrieb von NAC-Systemen einer entsprechenden Berechtigungsstruktur. Zu klären ist außerdem, wer auf welche Ressourcen zugreifen darf. Diese Informationen finden sich häufig bereits in Verzeichnisdiensten.

Den Autorisierungsprozess gilt es in der NAC-Konzeption mit besonderer Sorgfalt zu planen. Nicht umsonst scheuen sich viele Unternehmen, diesen Prozess einzuführen, da es zu eklatanten Problemen kommen kann, wenn er versagt. Denn dadurch können nicht nur einzelne Endgeräte, sondern auch Unternehmensbereiche oder wichtige Ressourcen gestört werden oder gar nicht mehr verfügbar sein. Trotzdem ist dieser Prozess unverzichtbar, da er den größten Beitrag zum Schutz des Unternehmens leistet.