Basiswissen: Die Technik hinter Network Access Control

Handeln und umsetzen

Ist das Endgerät mit dem Netzwerk verbunden, die Identität des Benutzers geklärt und der Status des Systems bekannt, kommt der entscheidende Punkt: Was tun, wenn die definierten Richtlinien nicht eingehalten werden? Das "C" in NAC steht für Kontrolle, die Lösung muss handeln können, um wirklichen Schutz zu bieten. Wie und wo das sogenannte Enforcement stattfindet, ergibt sich zum Teil schon aus der Architektur der vorangegangenen Schritte.

Wenn es im NAC-Konzept nur um das Blockieren von Risiken geht, genügt eine relativ grobe Lösung. Im einfachsten Fall verweigert der DHCP-Server eine IP-Adresse. Oder ein 802.1x-fähiger Switch kappt dem Endgerät den Zugang am Port. Das klappt auch mit SNMP-Switches problemlos. Doch einen Benutzer auszusperren, nur weil sein Service-Pack nicht up to date ist, wird den Administrator sehr schnell sehr unbeliebt machen. Wegsperren darf nur eine vorübergehende Maßnahme sein. Abhilfe statt Abhalten heißt die Losung.

Je reichhaltiger die abgefragten Daten über das Endgerät sind, desto mehr Baustellen können sich auftun, die der Abhilfe bedürfen. Das Isolieren und Parken in einem Quarantänesegment sorgt dafür, dass der PC zunächst in einem kontrollierten Bereich auf weitere Aktionen wartet. Ein Weg kann jetzt sein, den Benutzer per Web-Portal durch die notwendigen Schritte zu führen, um die Probleme zu lösen. Das setzt zumindest rudimentäre Computerkenntnisse voraus. Besser wäre es, die Abhilfe automatisch zu leisten, doch das erfordert einen Agenten mit umfassenden Eingriffsrechten im Betriebssystem. Zudem kann der Agent kompromittiert werden, wie bei der Technologie-Demo von Ciscos CTA. Dann ist die Sicherheit durch das Enforcement ebenfalls dahin. Den Support anzurufen und mit ihm per Fernsteuerung alle bemängelten Punkte abzuhaken dürfte die bequemste Variante für den Benutzer sein. Doch den administrativen Mehraufwand werden nur die wenigsten Unternehmen bewältigen können und wollen.