Network Access Control - Mißtrauen in Clients

Statistiken belegen, dass eine erhöhte Bedrohung der Informationssicherheit vom internen Netzwerk ausgeht. Deshalb werden immer umfassendere Ansätze entwickelt, welche das Gefahrenpotential vermeintlich vertrauenswürdiger (u. a. unternehmenseigener) Clients überprüfen. In diesen Konzepten wird die Umsetzung dezentraler Maßnahmen (z.B. durch Virenschutz und Nutzerrechteeinschränkungen) zentral überwacht und der Netzzugang eines jeden Rechners an Hand seiner Richtlinien-Konformität kontrolliert. Zur Zeit implementieren Hersteller solche Sicherheitssoftware unter dem Namen Endpoint-Security oder Network Access Control (NAC).

Der Ansatz "Network Access Control" (oder auch "Endpoint Admission Control", "Endpoint Security") verlangt von einem an das Unternehmensnetz angeschlossenen Rechner ein vordefiniertes Maß an Sicherheit. Ist dies nicht gegeben, wird das Gerät je nach Konzept automatisch am nächsten kontrollierten Netzknoten (Router, Switch) von der Teilnahme am Netz ausgeschlossen bzw. ihm Rechte im Netz (File-Serverzugriff, VPN-Zugriff) entzogen. Zumindest sollte eine Meldung generiert werden, welche den verantwortlichen Administrator über das Sicherheitsrisiko informiert. Wird eine Zugangskontrolle für unautorisierte Clients angeboten, wird dies meist über 802.1X (am Ethernet-Switch oder WLAN-Access-Point) realisiert und von einigen Herstellern "Rogue Prevention" genannt. Die zentral erzwungene Konfiguration auf einem Client wird auch "Policy Enforcement" oder "Policy Compliance Control" genannt.

Anwendungsfälle können somit im Einzelnen sein:

	Zugangskontrolle für ein WLAN, das mit dem internen Firmennetz verbunden ist
	Zugangskontrolle für mobile Firmenrechner, die sich per VPN verbinden, z. B. Laptops, PDAs, Smartphones
	Zugangskontrolle für firmenfremde Laptops im Unternehmensnetzwerk, z. B. von Beratern oder Besuchern
	Konformität der eigenen Rechner mit technischen Sicherheitsrichtlinien: Erweiterung des Patch-Managements um bedarfsgesteuertes Update
	Transparente Kommunikation und Statusermittlung des aktuellen Risiko-Niveaus an das IT Risk Management
	Erleichterung von Umzügen durch eingesparte Switch- und Firewall-Konfigurationen

Aus den Anwendungsfällen ergeben sich folgenden Teilaufgaben, die durch eine oder mehrere Lösungen/Teillösungen erfüllt werden:

	Erkennen von fehlender, jedoch obligatorischer Software (z. B. Virenschutz, Software-Patches, etc.) falsch konfigurierter, manipulierter Software (z. B. umkonfigurierte Personal Firewall, Virenschutz, etc.) unerlaubt installierter Software (z. B. Hackertools, Spiele, etc.)
	Zentrale Zugangskontrolle auf Basis von Policies, unabhängig vom tatsächlichen Zugangspunkt
	Zentrale Alarmierung und Protokollierung
	Umleiten von nicht-konformen Clients in ein "Quarantäne"-Netz, dass nur begrenzten Zugriff, z. B. auf Virenmuster-Updates erlaubt.
	Transparente Kommunikation und Statusermittlung des aktuellen Risiko-Niveaus an das IT Risk Management
	Zentrale Ansteuerung von Patch- oder Update-Prozessen

Die gesamte Infrastruktur besteht i. A. aus folgenden drei Teilen:

	dem Agenten,
	dem Netzzugangspunkt und
	dem Policy Enforcement Server.

Bei dem Agenten handelt es sich um eine Komponente auf dem Client, die den eigentlich Client Check vornimmt und ggf. auch den Zugang zum Netz verbietet. Eine Umkonfiguration oder ein Abschalten des Agenten sollte deshalb nur dem Administrator und nicht dem Nutzer des Rechners möglich sein.

Der Netzzugangspunkt ist die Kontrollschnittstelle auf dem diensteanbietenden Gerät, wie Switch, WLAN-Access-Point oder VPN-Router.

Policy Server Decision Points sind zentrale Instanzen, die die Richtlinien verwalten und aufgrund des Zustandes entscheiden, welche Rechte der Client erhält oder welche Aktionen durchzuführen sind. Neben dem eigentlichen Policy-Server gehören hierzu auch ein AAA-Server (Authentication, Authorization, Access), also z. B. einem RADIUS-Server, sowie eine Nutzerdatenbank in Form eines Directory-Servers.

Der derzeitige Stand der NAC-Security bietet ausreichend Konzepte und Lösungen unterschiedlicher Hersteller, um Virenschutz-Aktualität, VPN-Konfiguration und Firewall-Einstellungen gängiger Anbieter auf den Endgeräten sicherzustellen. Der zu installierende Agent fügt sich in eine herstellerabhängige Infrastruktur inkl. Policy- und Autorisierungsserver ein. IEEE 802.1X wird dabei als Standard zur Zugangskontrolle an Netzwerkknoten (Switch, Access Point) verwendet. Zu beachten ist also, dass die Lösungen wesentlich tiefer in der Infrastruktur verankert sind, als nur auf dem Client. Dies fordert ausreichende Planung und Koordination. Zudem muss eine Entscheidung für die Wahl eines bestimmten Anbieters frühzeitig gefällt werden, da der Markt noch nicht standardisiert genug ist, um verschiedene Herstellerlösungen zu kombinieren.

ConSecur hilft Ihnen bei:

1	_Konzept-Entwicklung für eine Network-Access-Control-Lösung auf Basis einer Definition der Anforderungen und Analyse der aktuellen Situation.
2	_Produktauswahl und Evaluation, Implementation und Test eines Piloten
3	_Systemintegration: Projektsteuerung der Tests, Installation, Betriebsintegration und Roll-Out

Bestellen Sie unser ausführliches White Paper! >>

von
Dipl.-Phys. Daniel Rudolph

<< zurück zur Übersicht

	IT-Grundschutz Zertifizierung an internationalen Standard ausgerichtet.
	Projektmanagement-Outsourcing - Kopf frei für Strategie!
	Informationssicherheits- Management in ITIL-Prozessen
	Sicheres Identity Management, Schutz unternehmenskritischer Prozesse
	Sicherheit für PDAs und Handhelds
	Basel II und seine Auswirkungen auf das IT-Sicherheitsmanagement
	Privatsphäre drahtlos
	Emergency Response - Entscheidende IT-Prozesse aufrecht erhalten
	Network Access Control - Neues Vertrauen ins eigene Netz

	24.03.2011 ikn2020-Kooperationsforum Osnabrück, IT-Sicherheit und Datenschutz für Unternehmen, Vortrag: Norbert Book
	28.10.2010 Firmenkontaktmesse Chance, FH Osnabrück, Aussteller
	25.06.2009 Happy Birthday, ConSecur! 10jähriges Jubiläum