Sicheres Netzwerk durch Network Access Control

Konzeptionelle Probleme bei NAC

Punkt zwei: Wenn nur "gesunde" Computer Zutritt erhalten sollen, muss auch die Definition von "gesund" vorliegen. Cisco hatte schon bei der Vorstellung des Konzepts an aktuelle Antivirensignaturen und Patch-Level von Betriebssystem und Anwendungen gedacht. Das setzt aber voraus, dass sehr tiefgreifende Infos über die Art der installierten Software vorliegen. Dafür ist fast immer ein Agent notwendig, ein kleines Stück Software, das Informationen über den PC sammelt und auf Anfrage an das NAC-System weiter leitet.

Allerdings soll NAC für alle Computer wirksam sein, die Verbindung mit dem Netzwerk verlangen. Dazu gehören auch PCs und Notebooks von Besuchern, externen Mitarbeitern und Gästen. Dort ist meist kein Client installiert, und es ist nicht einmal sicher, ob einer installiert werden dürfte, schließlich sind die Computer Eigentum einer anderen Firma mit anderen Sicherheitsrichtlinien. Und wie sieht es mit Smartphones aus? Alten Mainframes, die nach wie vor wichtige Anwendungen hosten? Netzwerkdruckern und -kameras?

Der dritte Knackpunkt bezieht sich auf die Frage "Was ist, wenn der PC abgelehnt wird?" Einfach den Zutritt verwehren ist vermutlich in den seltensten Fällen eine Option. Müssten reguläre Mitarbeiter nur aufgrund einer veralteten Antivirensignatur den IT-Support bemühen, würde der Aufwand (und Frust) schnell unzumutbare Dimensionen erreichen.

In der NAC-Terminologie heißt dieser Vorgang "Remediation"; er soll so selbstständig wie möglich ablaufen. Doch die Antivirensignatur ist noch ein sehr simples Beispiel, denn sie würde sich automatisch ohne viel Aufwand beheben lassen. Wie sieht es dagegen mit dem Computer eines Dienstleisters aus, dessen Betriebssystem nicht das geforderte Service Pack aufweist? Dort darf nicht automatisch ein Update installiert werden, vom Zeitaufwand, der dafür anfiele, ganz zu schweigen.