Axians Netzzugangskontrolle NAC

 Home | News | Hefte | Mediadaten | Online-Artikel | Kommentare | Trends | Wir-ueber-uns | Tipps | Impressum | CeBIT 2012

 

Home
News
Trends
Hefte
Online-Artikel
Kommentare
Service-Angebote
Feedback
Abonnement
Wir-ueber-uns
Tipps
Impressum
Veranstaltungen

»manage it« als

 E-Paper  5-6 2011
E-Paper  3-4 2011
E-Paper  1-2 2011
E-Paper  11-12 2010
 E-Paper  9-10 2010
 E-Paper  7-8 2010
 E-Paper  5-6 2010
 

 

 

 

 

 

 

 

 

Network Access Control

Kontrolle mit Köpfchen

Die Chinesen sind am sorglosesten, gefolgt von Deutschen und Südkoreanern: Einer Umfrage des Marktforschungsunternehmens Insight Express zufolge gehen mobile Mitarbeiter mit Sicherheitsrisiken durch Laptops relativ lax um. 73 Prozent der 700 interviewten Business-User in den USA, Großbritannien, Deutschland, China, Indien, Südkorea und Singapur beachten Sicherheitsregeln nicht konsequent – weil sie sich vorrangig auf die Erledigung ihrer Aufgaben konzentrieren. CIOs und IT-Teams stehen mehr denn je vor dem Dilemma Sicherheit versus Produktivität.

 

D

as Dilemma ist nicht auf mobile Mitarbeiter begrenzt: Je nach Geschäftsmodell müssen auch Externe wie Geschäftspartner oder Kunden per Fernzugriff auf das Unternehmensnetz zugreifen. Gut 60 Prozent aller Gefährdungen, so die Marktbeobachter von Forrester, kommen allerdings dann zustande, wenn sich Gäste, Kunden oder Dienstleister direkt auf dem Unternehmensgelände ins LAN einloggen und so die Perimeter-Sicherheit umgehen. Um die Netzzugangskontrolle in den Griff zu bekommen, bieten IT-Sicherheitsunternehmen komplette, weitestgehend proprietäre Frameworks oder alternativ Network-Access-Control-Appliances an. Die Idee: Zugang zum Netz erhalten nur »saubere« Rechner, alle anderen müssen in Quarantäne, um vor Netzeintritt auf den erforderlichen Sicherheitsstand gebracht zu werden oder um von dort einen eingeschränkten Zugriff zu bekommen.

Sorgfältige Analyse statt zügigem Einkauf

Welche Lösung sinnvoll und effizient ist, hängt von einer sorgfältigen Ist-Analyse der Infrastruktur und der organisatorischen Prozesse ab. Netzwerkzugangskontrolle kauft und installiert sich nicht so leicht wie ein Virenschutzprogramm: Zunächst sind technische, organisatorische und rechtliche Fragen zu klären. Dazu zählt etwa, welche Barrieren sich mit Netzseparierung, Quarantäne-Netzen, Authentifizierung und Autorisierung vor dem Eintritt ins Netz errichten lassen, mit welchen technischen Maßnahmen ein Rechner in Quarantäne auf einen sicheren Stand gebracht wird und inwieweit sich diese Maßnahme auch auf fremde Rechner anwenden lässt.

Mit Hilfe von Sicherheitszonierungen lassen sich die unterschiedlichen Schutzanforderungen planen, die je nach Sensibilität des Zugriffsbereichs in ihrem Umfang gestaffelt sind. Zudem beeinflusst natürlich die bestehende Infrastruktur die Wahl und den Aufbau einer Lösung: In einer homogenen Landschaft mit Switches eines einzigen Herstellers wie Cisco oder HP lässt sich ein Netzzugangskontrollsystem des gleichen Anbieters vergleichsweise einfach installieren. Im heterogenen Umfeld bieten Anbieter wie Phion, Juniper, Checkpoint autarke Lösungen an.

Netzwerkkontrolle konkret

Die Netzwerkzugangskontrollsysteme steuern den Zugriff im Idealfall direkt am Switch-Port des Nutzers oder an einer Firewall, die die einzelnen LAN-Segmente trennt: Während der Authentisierung wird geprüft, ob der jeweilige Rechner den Security-Richtlinien entspricht. Dazu muss auf den Rechnern zuvor ein Agent installiert werden. Fehlt beispielsweise das neueste Security-Patch für das Client-Betriebssystem, so wird dies anhand der durch den Agenten an den zentralen Network-Access-Controller gemeldeten Daten erkannt. Durch den zentralen Controller veranlasst, eröffnet der Switch – die Firewall – dem Rechner daraufhin den Zugriff auf ein definiertes LAN-Segment oder VLAN. In diesem steht der Rechner so lange unter Quarantäne, bis er mit den aktuellen Updates versorgt ist und insgesamt der für das Unternehmen festgelegten Security Policy entspricht. Ist das Update erfolgreich, wird dem Nutzer nach einem erneuten Sicherheits-Scan über den Agenten mitgeteilt, dass der Zugriff erteilt wird. Das Problem: Die Überprüfung von unbekannten Geräten – etwa von Gästen oder Dienstleistern – gestaltet sich schwierig, da sie nicht über die vorinstallierten Agenten verfügen. Eine Lösung ist, für diese Nutzer einen eingeschränkten Dienst über ein abgeschottetes LAN-Segment zur Verfügung zu stellen. Dieses ist dann zwar nicht vor Schädlingen geschützt, aber die unternehmensweite Ausbreitung ist damit verhindert. Alternativ können Fremdsysteme nach der Überprüfung mit einem temporär installierten Agenten eine erhöhte Zugriffsberechtigung erhalten. Der Agent zur temporären Installation, die Aktivierung der Überprüfungsroutinen und deren Resultate werden dem Nutzer über eine Portallösung bereit gestellt.

Tipps für die Auswahl

Mechanismen für die Netzwerkzugangskontrolle sind kein Produkt, sondern das Ergebnis umfangreicher Beratung und Analyse. Dennoch gibt es eine Reihe von Eckpunkten, die bei einer Lösungssuche grundsätzlich beachtet werden sollten.

  • Im Idealfall werden Sicherheits-Checks vor und kontinuierlich nach der Netzwerkanmeldung durchgeführt.
  • Die Sicherheitsrichtlinien werden auf Layer 2 bis Layer 7 durchgesetzt.
  • Es wird nicht nur der eigentliche Zugriff auf das Netzwerk, sondern auch die grundlegende Zulassung gemäß definierter Security Policy in einer Lösung abgedeckt.
  • Die Lösung bietet Kontrollmechanismen für gemanagte, ungemanagte und fremde Rechner sowie Netzwerkgeräte (z.B. Drucker), die sich nicht administrieren lassen.
  • Die Komponenten der Lösung sind plattformunabhängig und standardbasiert.

Robert Dürr

_____________________________________________________________________

Robert Dürr, Leiter Professional Services, Axians

Folgen Sie »manage it«

auf Google+

 

 

 

 

 
Copyright © 2003-2012  ap Verlag GmbH