NAC-Grundlagen, Teil 1

Sicheres Netzwerk durch Network Access Control

NAC schon veraltet?

Doch nach Jahren der Grabenkämpfe ist mittlerweile so etwas wie Burgfrieden eingekehrt. Cisco will zwar immer noch am liebsten mit den eigenen Switches zusammenarbeiten. Doch durch eine Kooperation mit Microsoft kann der Kunde sowohl den eingebauten NAP-Agent in Vista, Windows 7 und Windows Server 20008 nutzen als auch den Cisco Trust Agent (TCA). Beide Agenten kümmern sich dann gemeinsam um das Wohl des Endgeräts: Microsoft um die Systemgesundheit und Cisco um den Zugang zum Netzwerk.

Zusammenarbeit gibt es auch zwischen TNC und NAP. Microsoft hat ein Kernelement seiner Architektur, das Statement-of-Health Protokoll (SoH), zur Verwendung durch die Trusted Computing Group freigegeben. Die resultierende Spezifikation IF-TNCCS-SOH ist nun Bestandteil von TNC. Damit herrscht, zumindest auf dem Papier, im Großen und Ganzen Interoperabilität zwischen den Industriegrößen. Zu den jeweiligen Lagern haben sich auch zahlreiche andere Hersteller gesellt. So sind HP, IBM, Sun und Intel ebenfalls Mitglied bei TNC. Ob in einer heterogenen Umgebung in der Praxis alle Funktionen bei einem Hersteller-Mix stabil zusammenarbeiten, steht auf einem anderen Blatt.

Simples Konzept, komplexe Umsetzung: Das Zusammenspiel der NAC-Komponenten wirkt einfach. (Quelle: Microsoft)
Simples Konzept, komplexe Umsetzung: Das Zusammenspiel der NAC-Komponenten wirkt einfach. (Quelle: Microsoft)

Durch die Zurückhaltung bei der Einführung von NAC sind viele Technologien im direkten Umfeld weiterentwickelt worden und haben NAC praktisch überrundet. So bieten aktuelle Betriebssysteme weit mehr Möglichkeiten bei der Reglementierung dessen, was der Benutzer darf und welche Bereiche im Kernel verändert werden können.

Es gibt inzwischen auch sehr ausgereifte Lösungen, um den Zugang durch Schnittstellen wie USB oder SD-Card zu überwachen und bei Bedarf einzuschränken. Einige Analysten wie Eric Ogren von der Ogren Group sind der Meinung, dass man das ganze Konzept NAC gleich ad acta legen sollte. Die Firmen würden mehr profitieren, wenn sie bestimmte Technologiekonzepte aus NAC herauslösen und diese einzeln im Unternehmen umsetzen würden. Eine Authentisierungslösung auf Basis von 802.1x funktioniert auch ohne den NAC-Überbau; eine Benutzerdatenbank und Switche mit 802.1x Unterstützung genügen.