Network Access Control (NAC) soll die gesamten Netzinfrastruktur und alle darüber transportierten Daten vor einem unberechtigten Zugriff schützen. Dies führt zu aufwändigen Projekten, die nicht nur die IT-Abteilung, sondern die tägliche Arbeit fast aller Mitarbeiter betreffen. Daher ist schon vor der Einführung darauf zu achten, dass neben der IT-Abteilung und den Sicherheitsverantwortlichen auch die Geschäftsleitung und Mitarbeitervertreter in den Planungsprozess einbezogen sein sollte. Denn alle Verantwortlichen müssen überzeugt sein, dass NAC nicht der Mitarbeiterüberwachung dient, sondern das Unternehmen vor Datenmissbrauch und Spionage schützt.
In der Vorbereitungsphase ist auch eine komplette Inventarisierung der vorhandenen IT-Infrastruktur nötig. Nur dann kann man sich einen Überblick über die technischen Realisierungsmöglichkeiten und notwendigen Investitionen verschaffen. Als Nächstes gilt es, die Ziele klar zu definierenden. Dabei ist auch festzulegen, wann und in welchen Schritten die einzelnen NAC-Prozesse implementiert werden können.
Der erste Schritt sollte dabei zum Erkennen und Autorisieren aller Hardwarekomponenten führen, und zwar möglichst mit Hilfe der vorhandenen Netzkomponenten und Technologien. Eine Investition in neue Infrastrukturkomponenten kann auf diese Weise vermieden werden. In der Regel wird allein dadurch die Sicherheit des Netzwerks mit überschaubarem Aufwand deutlich gesteigert.
Typische Probleme bei der Planung
NAC-Planungen müssen sich an folgendem generellen Grundsatz orientieren:
-
Mit wirtschaftlich vertretbarem Aufwand
-
unter Einbezug der vorhandenen Infrastrukturen und Ressourcen
-
die größtmögliche Sicherheit
-
in einem vertretbaren Zeitrahmen schaffen.
Ein Hauptproblem bei der Konzeptentwicklung eines NACs liegt in dem unübersichtlichen Marktangebot. Viele NAC-Lösungen bestehen aus einer Sammlung von Einzellösungen und Komponenten, die jeweils nur Teilbereiche abdecken. Auch das Zusammenspiel von Produkten verschiedener Hersteller weist erhebliche Defizite auf.
Zwar gibt es oft Schnittstellen, die jedoch meistens wie ein Buch mit sieben Siegeln wirken und offensichtlich nur als Alibi zur Verfügung gestellt werden. Selbst Hersteller, die mit ihrem Produktportfolio die gesamte NAC-Thematik abdecken, sind innerhalb ihrer Produktfamilien oft zueinander inkompatibel.
NAC und die Geräteerkennung
Ein weiteres Problem besteht darin, bei der Ermittlung von Geräten zu erfahren, um welche Art von Gerätetyp es sich handelt und wie bei Erkennung eines solchen Systems zu verfahren ist. Dies stellt sich deshalb als schwierig dar, weil nur ein Teil der erkannten Systeme Endgeräte wie Laptops und PCs sind. Ein erheblicher Teil dürfte aus Servern, Druckern, WLAN-APs, VoIP-Devices und Routern bestehen, die ihrerseits redundante Systeme (Cluster) bilden können.
Je nach Hersteller und verwendeten Protokollen ist es mühsam, hier Fehlalarme auszuschließen, zumal solche Systeme ständig durch Wartungsarbeiten und Failover geändert werden. Dies führt gerade bei der Erstkonfiguration von NAC-Systemen oft zu erheblichen Schwierigkeiten. Da eine automatische Erkennung oft nicht gewährleistet werden kann, sind hier Systeme mit vielfältigen Hilfefunktionen nötig.
Erschwerend kommt hinzu, dass in den meisten Unternehmen die Geräte und Applikationen unter administrativer Kontrolle verschiedener Abteilungen stehen, die unabhängig voneinander arbeiten. Aus diesem Grund bedarf es für die Einrichtung und den Betrieb von NAC-Systemen einer entsprechenden Berechtigungsstruktur. Zu klären ist außerdem, wer auf welche Ressourcen zugreifen darf. Diese Informationen finden sich häufig bereits in Verzeichnisdiensten.
Den Autorisierungsprozess gilt es in der NAC-Konzeption mit besonderer Sorgfalt zu planen. Nicht umsonst scheuen sich viele Unternehmen, diesen Prozess einzuführen, da es zu eklatanten Problemen kommen kann, wenn er versagt. Denn dadurch können nicht nur einzelne Endgeräte, sondern auch Unternehmensbereiche oder wichtige Ressourcen gestört werden oder gar nicht mehr verfügbar sein. Trotzdem ist dieser Prozess unverzichtbar, da er den größten Beitrag zum Schutz des Unternehmens leistet.
Fazit NAC-Konzeption
Angesichts der beträchtlichen Komplexität der NAC-Projekte besteht die Gefahr, sich im Dschungel von Anforderungen und Marktprodukten zu verlieren. In der Praxis hat es sich deshalb bewährt, entsprechende Projekte anhand eines Leitfadens (siehe Kasten) zu realisieren. Umfassendere Hilfen und Best-Practice-Beispiele bietet beispielsweise auch der NAC-Leitfaden der Comco AG, der gegen Registrierung kostenlos unter http://www.comco.de/aktuelles/praxishilfen-leitfaeden/ abzurufen ist. (ala)
NAC-Leitfaden
-
Die Erkennung und Lokalisierung von Endsystemen ist die Grundlage eines jeden NAC-Projekts und sollte bereits vor der eigentlichen Planung erfolgen. Zur Identifizierung der Endgeräte empfiehlt sich die MAC- und IP-Adresse.
-
Je eindeutiger eine Identifizierung ist, desto sicherer ist das Gesamtsystem. Deshalb sollten grundsätzlich alle Endgeräte mit MAC- und IP-Adressen wie Computer, Drucker, Router, Switches und Server in die NAC-Infrastruktur einbezogen werden.
-
Jeder Ansatz, der nicht herstellerübergreifend mit hohem Implementierungsgrad in die Infrastruktur integriert werden kann und dabei auf Standardschnittstellen aufsetzt, führt mittelfristig in eine Sackgasse und zu unverhältnismäßig hohen Folgekosten oder Abhängigkeiten.
-
Bei der Produktauswahl muss eine transparente Roadmap des Herstellers erkennbar sein, die plausibel darlegt, dass das Produkt ausgereift ist. Der präferierten NAC-Lösung sollte ein zukunftssicheres und praxisbewährtes Konzept zugrunde liegen.
-
Da ein NAC-Projekt schnell unübersichtlich werden kann, ist in jedem Fall eine schrittweise Implementierung zu empfehlen. Die ausgesuchten Lösungen sollten zunächst in kleinen Umgebungen hinsichtlich Funktion und Schnittstellen getestet werden. Dies macht transparent, wie hoch der Aufwand für Installation, Betrieb und Wartung der Systeme ist.
Diesen Beitrag haben wir von unserer Schwesterpublikation Computerwoche übernommen.