Basiswissen: Die Technik hinter Network Access Control

Lösungen mit temporären Agenten

Was in der Regel als "agentenlos" bezeichnet wird, sind meistens temporäre Lösungen. Sie werden als Applet im Browser geladen. Der Benutzer muss dann dem Scan zustimmen – eine gute Wahl für Gast- und Besucherzugänge, daher ist diese Option für NAC-Interessenten mit häufigem Kunden- und Dienstleisterverkehr wichtig. Eine andere Lösung sind Agents, die als "Wegwerfsoftware" implementiert wurden. Sie leben nur im RAM und sind beim nächsten Neustart wieder verschwunden. Zahlreiche NAC-Anbieter zapfen auch die diversen Management-Interfaces wie WMI (Windows Management Instrumentation) an, um deren Daten zu nutzen.

Ganz ohne Agent funktioniert es nur auf eine Art: über einen Vulnerability-Scanner im Netzwerksegment. Dieser nutzt, angefangen bei den Ports bis zu verschickten Datenpaketen, alles, was ihm Hinweise auf mögliche Schwachstellen geben kann. Das dauert natürlich seine Zeit und bedeutet, dass ein Zero-Day Exploit, von dem der Scanner noch nichts weiß, Chancen hat, der Entdeckung zu entgehen.

Schon aufgrund der verschiedenen Endgeräte kann es hier nicht „die“ richtige Lösung geben. Je nach Ziel des NAC-Systems muss der Kunde entscheiden, welche Geräte mit welchen Daten erfasst werden können. Einerseits lässt sich ein Agent nicht auf einem Drucker oder einem IP-Telefon installieren. Andererseits hat ein Netzwerkscanner Schwierigkeiten, die aktuelle Version des Virenscanners zu finden. Eine Rolle spielt auch die verfügbare Bandbreite und Zeit: Ein Scan kann je nach Detailtiefe viele Tage dauern. In der Praxis wird normalerweise der Weg gewählt, wenige, aber wichtige Dinge zu prüfen.

Ein weiteres Problem stellt die Last eines solchen Vulnerability-Scans auf dem Scan-Server selbst dar. Es ist unrealistisch, Tausende von Endsystemen von einem einzelnen Server regelmäßig prüfen zu lassen. Ein flächendeckender Einsatz in größeren Umgebungen scheitert deshalb meist aus finanziellen Gründen. Dafür entfällt die Installation einer Software oder eines Applets, was Besucher zu schätzen wissen. Der größte Vorteil eines Vulnerability-Scanners liegt in der Prüfung von Endsystemen, die keinen Agenten aufnehmen können.