Anforderungen an moderne Network Access Control-Lösungen

Der wahre Wert von NAC fürs Netz

Die Einführung von Network Access Control gilt in Unternehmen oft als Großprojekt und wird entsprechend zögerlich angegangen. Die Anbieter versuchen deshalb, potenziellen Kunden die Technik zu versüßen: Siemens und Enterasys machen daraus ein System, das den VoIP-Einsatz erleichtert, und McAfee versucht sich darin, die Technik zu vereinfachen.

Enterasys und Siemens zeigen auf der diesjährigen Systems NAC aus einer gänzlich ungewohnten Perspektive: Bei ihnen dient die NAC-Technik dazu, Geräte mit gemeinsamen Eigenschaften im Netz zu identifizieren und ihnen zum Beispiel Netzbereiche mit besonderer Service-Qualität oder eine garantierte Bandbreite zuzuweisen.

Die Lösung „Salerno“ perfektioniert dieses Prinzip für VoiP - Identifizierte IP-Telephone können beispielsweise je nach Ort, an dem sie in einem Unternehmen angeschlossen werden, automatisch eine passende Benutzeroberfläche oder Softwareversion zugewiesen bekommen. Das Verfahren dazu ist das gleiche wie bei Endpoint-Security-Ansätzen: Das Gerät wird identifiziert, lokalisiert, und gegebenenfalls über ein Remediation-Netz umkonfiguriert. Ein Punkt, der so erledigt werden kann und durchaus einen Sicherheitsaspekt hat, ist beispielsweise die Änderung der Kurzwahl für den nächsterreichbaren Ersthelfer in einzelnen Gebäudeteilen, wenn ein Telefon „umzieht“.

Der Anbieter McAfee wiederum will die NAC-Einführung für Unternehmen vereinfachen, in dem er sein eigenes System in die Managementkonsole McAfee Epolicy Orchestrator (ePO) integriert. Verwaltungsaufwand und Fehleranfälligkeit sollen so sinken. Unter dem Namen „Unified Secure Access“ enthält die Lösung nun neben der Orchestrator-Komponenten folgende Komponenten: McAfee Network Access Control 3.0 unterstützt Microsoft NAP, prüft nach Herstellerangaben in über 5000 standardisierten und kundenspezifischen Tests die Systemintegrität und leitet, falls erforderlich, die nötigen Reparaturen ein.

Das System nutzt dieselbe Prüfbibliothek wie der McAfee Policy Auditor und ist Bestandteil von McAfee Total Protection for Endpoint (ToPS) Advanced. Die Network Security Platform 5.1 steuert IPS bei, und das „NAC Module for Network Security Platform“ agiert als Inline-Controller und überwacht den nutzer-, rechner- und anwendungsspezifischen Netzzugriff gemäß der definierten Network Security Policy. Die McAfee NAC Appliance, die auf der Network Security Platform aufsetzt, lässt sich für Inline-Zugangskontrollen ohne zusätzliche IPS-Funktion einsetzen. (Elmar Török/mha)