Basiswissen: Die Technik hinter Network Access Control

Perfekte Lösung: 802.1x

Der wichtigste Mechanismus zur Authentisierung dürfte das klassische 802.1x (RADIUS) sein. Es setzt einen Supplikanten (Client) auf dem Endgerät sowie einen 802.1x Server im Netzwerk voraus. Auch der Switch, an dessen Port das Endgerät angeschlossen ist, muss 802.1x unterstützen. Das können nur Managed-Switche der oberen Preisklassen – ein Problem für viele Firmen, die am Rand des Netzwerks simple Unmanaged-Switche mit hoher Port-Kapazität einsetzen. Dafür können damit sowohl Geräte als auch Benutzer identifiziert werden. Allerdings sind auch für viele Endgeräte keine 802.1x Supplikanten verfügbar, sodass diese Art der Erkennung und Authentisierung nur einen Teil des Netzwerks abdeckt. Gäste lassen sich damit auch nur mit viel Aufwand erfassen.

Ein einfacherer Weg, RADIUS für die Authentisierung zu nutzen, besteht darin, auf Zertifikate und Anmeldedaten zu verzichten und lediglich die MAC-Adresse abzuprüfen. So können Endsysteme ohne Supplikant gegen einen RADIUS-Server abgeglichen werden. Weil sich eine MAC-Adresse aber selbst mit Windows-Bordmitteln innerhalb von 30 Sekunden fälschen lässt, darf diese Methode nur in solchen Bereichen zum Einsatz kommen, in denen das Angriffsrisiko sehr gering ist.

Ebenfalls möglich ist das Erkennen und Authentisieren über SNMP. Die Open-Source-NAC-Lösung Packetfence nutzt dieses Verfahren beispielsweise zur Anmeldung. Dazu müssen aber die Switche im Netzwerk mitspielen und die notwendigen Informationen per SNMP liefern können. Weil der Inhalt dieser Nachrichten nicht komplett genormt ist, mag das zu Schwierigkeiten führen. Quarantäne und Isolierung funktionieren bei korrekter Umsetzung natürlich sehr gut, schließlich hat der Switch volle Kontrolle über den physikalischen Port-Zustand und die VLAN-Verwaltung.