Sicheres Netzwerk durch Network Access Control

Network Access Control als Lösung

Nach den weitverbreiteten Attacken von Sasser und Slammer, die sich über das LAN fortpflanzen und solche Schutzmaßnahmen unterlaufen konnten, begann man in der Industrie, über eine andere Art der Abwehr nachzudenken. Im Grunde genommen, so die Überlegungen, ergibt es wenig Sinn, dem PC erst die Tür ins Netzwerk zu öffnen und danach zu sehen, ob und was passiert. Wäre es nicht sinnvoller, den Anschluss suchenden Computer zuerst auf mögliche Probleme zu überprüfen und dann erst den Zutritt zum Netzwerk zu erlauben?

Der Netzwerk-Riese Cisco präsentierte als Lösung schon 2003 ein Konzept namens Network Access Control, abgekürzt NAC. Die simple Idee dahinter: Sobald das Netzwerk ein neues Gerät erkennt, das Zugriff auf die Ressourcen haben möchte, muss es erst einen Check auf Unbedenklichkeit durchlaufen, bevor es logisch mit dem LAN verbunden wird.

In dieser einfachen Beschreibung liegen mehrere brisante Konzepte versteckt. Punkt eins: Woher weiß eine Netzwerkinfrastruktur überhaupt, dass ein neues Gerät angeschlossen wurde? Weil am Switch oder Hub der Port aktiv ist? Aber wie erfährt "das Netz" dahinter davon? Und was geschieht mit VPN- oder Remote-Access-Verbindungen? Oder mit WLANs, bei denen es keinen Port und kein "Link Up"-Signal gibt? Und wenn man auf irgendeine Weise den Anschlussversuch erkennen will, muss man dann das Endgerät nicht bereits ein Stück weit in das Netzwerk hineinlassen?