Ein Administrator hat in seinem Netzwerk alles unter Kontrolle. Das klingt gut, endet aber in praktisch jeder Firma beim Endgerät auf dem Schreibtisch der Benutzer. Sobald dort ein mobiles Gerät steht oder die Angestellten die Möglichkeit haben, Schnittstellen am Computer zu benutzen, um Software zu kopieren, hört die Hoheit über Gut oder Böse auf.
Viele Kollegen arbeiten zudem mit dem Firmen-Notebook von ihrem Home-Office aus oder nutzen Reisezeiten produktiv. Was dann mit dem Notebook passiert, kann der Administrator nicht kontrollieren. Am Tag der Rückkehr ins Büro fordern dann völlig unbekannte Endgeräte Zutritt ins Firmennetzwerk.
Auch wenn man den Anwendern ein paar Rechte nimmt, sodass sie keine Treiber oder Programme installieren können, ist die Gefahr bestenfalls ein bisschen geringer geworden. Zu eng darf so eine Limitierung nicht gefasst werden, sonst leidet die Produktivität. Und moderne Schadsoftware, also Viren, Würmer und Trojaner, setzen sich ohnehin über solche Beschränkungen hinweg.
Es heißt also jedes Mal zittern und bangen, wenn ein Notebook von erfolgreichen Vertriebseinsätzen zurückkommt. Stellt es eine Gefahr für das Firmennetzwerk dar, und, wenn ja, werden die Abwehrsysteme, in der Regel vor allem die Antiviren-Scanner oder Intrusion-Detection-Systeme, damit fertig?
Network Access Control als Lösung
Nach den weitverbreiteten Attacken von Sasser und Slammer, die sich über das LAN fortpflanzen und solche Schutzmaßnahmen unterlaufen konnten, begann man in der Industrie, über eine andere Art der Abwehr nachzudenken. Im Grunde genommen, so die Überlegungen, ergibt es wenig Sinn, dem PC erst die Tür ins Netzwerk zu öffnen und danach zu sehen, ob und was passiert. Wäre es nicht sinnvoller, den Anschluss suchenden Computer zuerst auf mögliche Probleme zu überprüfen und dann erst den Zutritt zum Netzwerk zu erlauben?
Der Netzwerk-Riese Cisco präsentierte als Lösung schon 2003 ein Konzept namens Network Access Control, abgekürzt NAC. Die simple Idee dahinter: Sobald das Netzwerk ein neues Gerät erkennt, das Zugriff auf die Ressourcen haben möchte, muss es erst einen Check auf Unbedenklichkeit durchlaufen, bevor es logisch mit dem LAN verbunden wird.
In dieser einfachen Beschreibung liegen mehrere brisante Konzepte versteckt. Punkt eins: Woher weiß eine Netzwerkinfrastruktur überhaupt, dass ein neues Gerät angeschlossen wurde? Weil am Switch oder Hub der Port aktiv ist? Aber wie erfährt "das Netz" dahinter davon? Und was geschieht mit VPN- oder Remote-Access-Verbindungen? Oder mit WLANs, bei denen es keinen Port und kein "Link Up"-Signal gibt? Und wenn man auf irgendeine Weise den Anschlussversuch erkennen will, muss man dann das Endgerät nicht bereits ein Stück weit in das Netzwerk hineinlassen?
Konzeptionelle Probleme bei NAC
Punkt zwei: Wenn nur "gesunde" Computer Zutritt erhalten sollen, muss auch die Definition von "gesund" vorliegen. Cisco hatte schon bei der Vorstellung des Konzepts an aktuelle Antivirensignaturen und Patch-Level von Betriebssystem und Anwendungen gedacht. Das setzt aber voraus, dass sehr tiefgreifende Infos über die Art der installierten Software vorliegen. Dafür ist fast immer ein Agent notwendig, ein kleines Stück Software, das Informationen über den PC sammelt und auf Anfrage an das NAC-System weiter leitet.
Allerdings soll NAC für alle Computer wirksam sein, die Verbindung mit dem Netzwerk verlangen. Dazu gehören auch PCs und Notebooks von Besuchern, externen Mitarbeitern und Gästen. Dort ist meist kein Client installiert, und es ist nicht einmal sicher, ob einer installiert werden dürfte, schließlich sind die Computer Eigentum einer anderen Firma mit anderen Sicherheitsrichtlinien. Und wie sieht es mit Smartphones aus? Alten Mainframes, die nach wie vor wichtige Anwendungen hosten? Netzwerkdruckern und -kameras?
Der dritte Knackpunkt bezieht sich auf die Frage "Was ist, wenn der PC abgelehnt wird?" Einfach den Zutritt verwehren ist vermutlich in den seltensten Fällen eine Option. Müssten reguläre Mitarbeiter nur aufgrund einer veralteten Antivirensignatur den IT-Support bemühen, würde der Aufwand (und Frust) schnell unzumutbare Dimensionen erreichen.
In der NAC-Terminologie heißt dieser Vorgang "Remediation"; er soll so selbstständig wie möglich ablaufen. Doch die Antivirensignatur ist noch ein sehr simples Beispiel, denn sie würde sich automatisch ohne viel Aufwand beheben lassen. Wie sieht es dagegen mit dem Computer eines Dienstleisters aus, dessen Betriebssystem nicht das geforderte Service Pack aufweist? Dort darf nicht automatisch ein Update installiert werden, vom Zeitaufwand, der dafür anfiele, ganz zu schweigen.
Unklare Definition von NAC
Man sieht, dass schon auf einer sehr abstrakten Ebene zahlreiche Fragen auftauchen, ob das an sich sinnvolle Konzept tatsächlich in Hard- und Software umgesetzt werden kann. Dazu kommt, dass es keine wirklich stringente Definition von Network Access Control gibt. Je nach Hersteller versehen die einen bereits eine Basislösung, die lediglich unbekannte PCs vom Netzwerk fernhält, mit dem NAC-Stempel. Andere Anbieter verstehen unter NAC eine Infrastruktur, die in der Lage ist, jedwedes Endgerät zu erkennen und nach detailliert einstellbaren Richtlinien zu behandeln.
Nicht einmal über die Zuordnung von NAC besteht Einigkeit. Während manche Hersteller NAC als Sicherheitslösung sehen, gehört es für andere in den Bereich Compliance. Haarspalterei, könnte man sagen, doch das macht einen großen Unterschied, sobald Budgets und Zuständigkeiten im Unternehmen betroffen sind.
Seit Cisco das Konzept zum ersten Mal vorgestellt hat, sind mehr als sechs Jahre vergangen. Die Technikkomponenten für eine NAC-Lösung sind seit geraumer Zeit am Markt verfügbar. Im Prinzip genügen ein Switch, der die Trennung des Endgeräts erlaubt, ein Agent für die Beurteilung des Endgerätezustands und ein Server, der die Policies verwaltet. Trotzdem gilt NAC für viele Experten als die wichtigste Sicherheitstechnologie, die nie so richtig in die Gänge kam. Beispiel: der beliebte Magic-Quadrant der Marktforschungsfirma Gartner. Für zahlreiche IT-Profis gilt – und das ist durchaus kein Witz – ein Marktsegment erst dann als "erwachsen", wenn die erste Marktanalyse von Gartner mit einem Magic-Quadranten veröffentlicht wurde. Im Fall von NAC fand das erst Anfang 2009 statt. Dementsprechend klein ist das Umsatzvolumen bis dato. Auch wenn der relative Zuwachs 2008 mit 51 Prozent recht beeindruckend ausfiel, ist das Gesamtvolumen mit 221 Millionen US Dollar noch recht überschaubar.
Konkurrierende NAC-Lösungen
Für die zögerliche Akzeptanz von NAC gibt es im Wesentlichen zwei Gründe. Der Erste ist das Konzept selbst. Weil alle Netzwerkbereiche von einer NAC-Einführung betroffen sind, gelten die Projekte als extrem aufwendig und zu komplex für viele Budgets und IT-Abteilungen. Man muss nicht nur technologisch aufrüsten, sondern auch die Prozesse im Unternehmen analysieren, exakt wissen, welche Elemente im Netzwerk vorhanden sind und was sie dürfen, sowie die rechtlichen und politischen Vorgaben im Unternehmen berücksichtigen.
Den zweiten schwarzen Peter hatten, zumindest in der Vergangenheit, die Hersteller. Neben Ciscos Ansatz gibt es nämlich zwei konkurrierende NAC-Systeme. Microsoft nennt seine Version NAP – Network Access Protection. Und die Trusted Computing Group (TCG) hat Trusted Networking Connect (TNC) im Angebot.
Kaum überraschend erfordert Cisco NAC, zumindest an den Außengrenzen des Netzwerks, Cisco-Switche. NAP läuft nur in reinen Microsoft Netzwerken, und TNC fand ebenfalls ein paar Unterstützer, die sich mit den anderen Lösungen nicht verstanden. Für den Kunden sind solche Lagerkämpfe extrem unangenehm. Niemand setzt gern auf eine Technologie, noch dazu eine, die sein Netzwerk in einem so großen Rahmen umfasst, um dann festzustellen, dass sich der Markt auf die andere Lösung einschießt.
NAC schon veraltet?
Doch nach Jahren der Grabenkämpfe ist mittlerweile so etwas wie Burgfrieden eingekehrt. Cisco will zwar immer noch am liebsten mit den eigenen Switches zusammenarbeiten. Doch durch eine Kooperation mit Microsoft kann der Kunde sowohl den eingebauten NAP-Agent in Vista, Windows 7 und Windows Server 20008 nutzen als auch den Cisco Trust Agent (TCA). Beide Agenten kümmern sich dann gemeinsam um das Wohl des Endgeräts: Microsoft um die Systemgesundheit und Cisco um den Zugang zum Netzwerk.
Zusammenarbeit gibt es auch zwischen TNC und NAP. Microsoft hat ein Kernelement seiner Architektur, das Statement-of-Health Protokoll (SoH), zur Verwendung durch die Trusted Computing Group freigegeben. Die resultierende Spezifikation IF-TNCCS-SOH ist nun Bestandteil von TNC. Damit herrscht, zumindest auf dem Papier, im Großen und Ganzen Interoperabilität zwischen den Industriegrößen. Zu den jeweiligen Lagern haben sich auch zahlreiche andere Hersteller gesellt. So sind HP, IBM, Sun und Intel ebenfalls Mitglied bei TNC. Ob in einer heterogenen Umgebung in der Praxis alle Funktionen bei einem Hersteller-Mix stabil zusammenarbeiten, steht auf einem anderen Blatt.
Durch die Zurückhaltung bei der Einführung von NAC sind viele Technologien im direkten Umfeld weiterentwickelt worden und haben NAC praktisch überrundet. So bieten aktuelle Betriebssysteme weit mehr Möglichkeiten bei der Reglementierung dessen, was der Benutzer darf und welche Bereiche im Kernel verändert werden können.
Es gibt inzwischen auch sehr ausgereifte Lösungen, um den Zugang durch Schnittstellen wie USB oder SD-Card zu überwachen und bei Bedarf einzuschränken. Einige Analysten wie Eric Ogren von der Ogren Group sind der Meinung, dass man das ganze Konzept NAC gleich ad acta legen sollte. Die Firmen würden mehr profitieren, wenn sie bestimmte Technologiekonzepte aus NAC herauslösen und diese einzeln im Unternehmen umsetzen würden. Eine Authentisierungslösung auf Basis von 802.1x funktioniert auch ohne den NAC-Überbau; eine Benutzerdatenbank und Switche mit 802.1x Unterstützung genügen.
Fazit
Doch drei Faktoren sprechen für den, wenn auch späten, Erfolg der Network Access Control. Erstens: Immer strengere Compliance-Anforderungen haben in den Managementetagen für ein gewisses Verständnis pro NAC gesorgt. Ein funktionierendes NAC liefert zahlreiche Informationen, die für Compliance-Standards benötigt werden. Mit der zentralen Datenbank lassen sich diese Infos einfach abfragen und bereitstellen.
Zweitens: Schon Vista brachte einen eingebauten Agenten für Microsofts NAP mit. Die mäßige Begeisterung für das Betriebssystem verhinderte, dass daraus ein großer Pluspunkt für Access Control wurde, doch Windows 7 wird weit mehr Erfolg in Aussicht gestellt. Durch einen bereits auf vielen Arbeitsplätzen installierten Agenten sinkt der Aufwand für die Implementierung deutlich, auch wenn nur etwas mehr als die Hälfte der Netzwerkgeräte Windows-PCs sind.
Drittens: Die Zeit seit dem ersten Auftauschen von NAC ist nicht ohne Folgen geblieben. Es gab durchaus Firmen, die solche Projekte angestoßen und durchgezogen haben. Die Erfahrungen daraus führten zu angepassten Produkten und einem gewissen Grundverständnis im Markt. Sowohl die Hersteller als auch die Kunden wissen nun eine ganze Menge über mögliche Probleme und Fallstricke. Das zunehmende Auftauchen von Best-Practice-Guides spiegelt das wider. Es gibt eine Interoperabilität zwischen vielen Lösungen, und eine ganze Reihe kleiner Anbieter liefert spezifische Produkte für bestimmte Anwendungsfälle. So wird es den Unternehmen deutlich einfacher gemacht, eine maßgeschneiderte Lösung zu finden, die weder das Budget noch das Know-how der Administratoren überfordert. (ala)