Basiswissen: Die Technik hinter Network Access Control

Vom Prinzip her ist NAC ganz einfach: Alles, was sich in irgendeiner Form mit dem Netzwerk verbinden will, sollen nur dann Zutritt erhalten, wenn bestimmte Voraussetzungen erfüllt sind. Welche das sind, legt der Administrator bei der Einführung der Lösung fest. In einigen Firmen reicht es, wenn sich der Anschluss Suchende ausweisen kann, also eine gültige digitale Identität besitzt. Andere Firmen gehen viel weiter und fragen mit Hilfe von Software auf dem Endgerät dessen Staus ab: sind die Anti-Virus Signaturen aktuell, ist eine Personal Firewall installiert und aktiv oder hat der Benutzer vielleicht unerlaubte Software an Bord? Wer A sagt muss auch B sagen und die Situation bereinigen oder andere Schritte ergreifen, wenn das Endgerät nicht den Vorgaben entspricht.

In technischen Worten formuliert, sind die generell mit NAC in Verbindung gebrachten Aufgaben die folgenden:

Schon die erste Anforderung stellt ein NAC vor maßgebliche Aufgaben. Es fängt schon damit an, den Verbindungsversuch zuverlässig zu erkennen und das Endgerät im Anschluss zu identifizieren. Wenn das Endgerät nichts Böses im Sinn hat, funktionieren die üblichen Verfahren, mit denen man im Netzwerk neue Geräte identifizieren kann. Das kann die Erkennung einer neuen MAC- oder IP-Adresse sein, indem man den ARP-Datenverkehr ausliest. Bei VPN-Geräten erkennt man am Tunnelaufbau die Verbindungsanfrage, in der Regel funktioniert auch das Warten auf eine DHCP-Anfrage.

Schwieriger wird es, wenn man den Goodwill des Endgerätes nicht voraussetzen kann. Ist ein Computer mit Schadsoftware infiziert oder versucht ein Angreifer, durch den direkten Anschluss an das LAN eine Schwachstelle zu finden, wird er alles versuchen, um die Erkennung des Verbindungsversuchs zu unterdrücken. Ein NAC ist dann in einer schwierigen Lage: Um zu beurteilen, ob ein Endgerät Zugang erhält, muss es den Probanden in das Netz hineinlassen, zumindest ein kleines Stückchen. Sobald aber eine physikalische Verbindung zu einem Netzwerksegment besteht, hat der Angreifer Handlungsspielraum. So ist es nicht verwunderlich, dass Sicherheitsanalysten zahlreiche Angriffsmöglichkeiten beschreiben.

Eine Methode, den Verbindungsversuchs zu erkennen, ist ein DHCP-Proxy, der Anfragen aus dem Netz abfängt. Mithilfe der MAC-Adresse kontaktiert er das Endgerät und fragt zusammen mit dem NAC-Server die Richtlinien und deren Einhaltung ab. Das funktioniert gut – allerdings nur im Idealfall. Denn zum einen gibt es zahlreiche Geräte wie Netzwerkdrucker oder Server, die kein DHCP benutzen. Zum anderen kann ein Angreifer einfach durch eine statische IP-Adresse Zugang zum Netzsegment erhalten. Andere Geräte im gleichen Subnetz sind dann im Prinzip für den Angreifer erreichbar.

Bedenklich ist es auch, wenn das NAC-System den Neuzugang in einen Quarantänebereich verschiebt, denn dann hat er die Möglichkeit, andere Endgeräte im gleichen Segment anzugreifen. Diese haben vermutlich irgendwelche Sicherheitsprobleme, sonst wären sie ja nicht in Quarantäne gekommen, sodass die Chancen auf eine erfolgreiche Attacke gut stehen.