Basiswissen: Die Technik hinter Network Access Control

Agenten und andere Helfer

Welche Optionen es für die Erkennung und Authentisierung gibt, ist nun klar, doch NAC soll, zumindest in der ursprünglichen Idee, erheblich mehr leisten. Ein Endgerät muss auch den Richtlinien des Unternehmens entsprechen, um Zugang zu erhalten. Die richtige Benutzername-Passwort-Kombination allein reicht nicht. Vielmehr sind weitere Informationen notwendig; ein beliebtes Beispiel ist die Version der Antivirensignatur und das installierte Service-Pack des Betriebssystems. Generell gibt es zwei Wege, um an die Daten zu kommen: Entweder mit einem Agenten auf dem Endgerät oder komplett ohne zusätzliche Software.

Fast alle NAC-Anbieter erlauben beide Varianten. Schließlich sind die Agenten meist nur für Windows-Betriebssysteme verfügbar. Alles, was nicht von Microsoft kommt, wie Netzwerkdrucker oder VoIP-Telefone, wäre sonst ausgeschlossen. Vermutlich wird sich die Frage nach dem Agenten über kurz oder lang ohnehin erledigen. Seit Windows XP SP3 ist zumindest ein rudimentärer NAP-Agent im Betriebssystem eingebaut, Windows Vista, Windows 7 und Windows Server 2008 verfügen über vollwertige NAP-Agents. Nachdem Microsoft die Spezifikationen zumindest so weit freigegeben hat, das jeder über ein API auf die Daten zuzugreifen kann, werden die meisten Anbieter kaum daran vorbeikommen, die Daten abzugreifen.

Alternativ haben viele Hersteller eigene Lösungen im Angebot, allen voran Cisco mit dem Cisco Trust Agent (CTA). Der wurde in der Vergangenheit allerdings schon mehrfach ausgetrickst, Hacker und Entwickler liefern sich ein munteres Wettrüsten. Lösungen mit einem fest im Betriebssystem verankerten Agenten bieten mittlerweile auch mehrere Antivirenhersteller wie Symantec oder Sophos. Nachdem sich die AV-Engine ohnehin tief im Kernel verankert und meist noch eine Firewall enthält, lag die Idee nahe, auch gleich einen NAC-Client zu integrieren. Daten über den AV- und Firewall-Zustand stehen diesen Clients ohnehin zur Verfügung.