NAC-Grundlagen, Teil 2

Basiswissen: Die Technik hinter Network Access Control

Authenticated DHCP

Im Prinzip die gleichen Probleme gibt es bei der Verwendung von Authenticated DHCP oder eines DHCP-basierten NAC direkt im Switch. Immer sind die Systeme auf DHCP-Anfragen angewiesen, und die Isolierung erfolgt nur auf dem OSI-Layer 3. Computer haben also die Möglichkeit, Verbindung zum Netzwerksegment aufzunehmen, egal ob sie zugelassen oder in Quarantäne geschickt werden. Das ist besonders bedeutsam, weil keine Geräte erkannt werden, die sich hinter NAT oder einer ähnlichen Technologie verstecken, mit der die IP-Adresse eines Systems verschleiert wird. Virtualisierungslösungen wie VMware Workstation oder Virtualbox fallen in der Standardkonfiguration in diese Kategorie: Wenn der Computer mehrere VMs hostet, kann ein NAC, dass auf Layer 3 arbeitet, sie nicht erkennen.

Am Port abfangen: NAC kann direkt in die Switche integriert werden. (Quelle: Insightix)
Am Port abfangen: NAC kann direkt in die Switche integriert werden. (Quelle: Insightix)

Bei einem Authenticated DHCP wird die Anmeldung durch ein Web-Portal vorgenommen, das in der Regel durch ein VLAN vom Rest des Netzwerks getrennt ist und trotzdem vom unindentifizierten Endgerät erreicht werden kann. Ein Vorteil ist die einfache Umsetzung und die Möglichkeit, auch Besucher und Gäste bedienen zu können. Einige Hersteller schlagen vor, die Zulassung eines Gasts mit den Daten des Mitarbeiters zu koppeln, der den Besucher in Empfang nimmt. So ist später leichter nachvollziehbar, wer für den Gast zuständig war, und die IT-Abteilung bleibt von der täglichen Vergabe von Gästepässen verschont.

Der Vorteil besteht darin, dass Unternehmen diese Lösung einfach und relativ schnell umsetzen können. Ohnehin empfehlen die meisten NAC-Berater, darauf zu achten, dass mehrere Identifizierungs- und Authentisierungsverfahren gleichzeitig unterstützt werden. Ein Netzwerkdrucker muss nun mal über die MAC-Adresse im System registriert werden, der Druckerhersteller lässt keinen anderen Weg zu. Doch für Computer oder Smartphones sollte eine andere Methode möglich sein.