NAC: Herausforderung und Chance

Network Access Control ist zwar in aller Munde, dennoch bestehen bei vielen Netzwerk- oder Sicherheitsspezialisten sehr unterschiedliche Vorstellungen davon, was darunter zu verstehen ist. Die Herausforderung, einen internen Netzwerkschutz aufzubauen wachsen, da sich die Unternehmensnetze immer mehr für Kunden, Dienstleister, Partner, Versorger, Wirtschaftsprüfer und mobile Nutzer öffnen (müssen). Diesen „fremden“ Nutzern muss der Zugang zu internen Daten ermöglicht werden, ohne die Sicherheit des Netzes zu gefährden.

Netzwerkschutz ist eigentlich nichts Neues. Die Anforderung sich mit Username und Passwort ans Netzwerk anzumelden besteht seit Jahrzehnten, und auch die Authentisierungstechnologien wie Verzeichnisdienste und Radius-Service, über die die Berechtigungen im Netzwerk gesteuert werden, sind keine neuen Erfindungen.

Erste Konzepte für das Thema Network Access Control, oder auch Network Admission Control wurden im Jahre 2005 vorgestellt. Dies geschah als Reaktion auf die immensen Schäden, die in den Jahren 2003 und 2004 durch Computerwürmer wie SQL Slammer, Blaster oder Sasser weltweit verursacht wurden. Für die Verbreitung der Schadsoftware war keine Anmeldung an Netzwerkressourcen nötig. Infizierte Rechner suchten angreifbare Rechner zunächst im lokalen Subnetz und dann wurden über zufällige IP-Adressen weitere Opfer ermittelt – um diese auch zu infizieren. So kann jedes Notebook, welches unkontrolliert ans Netzwerk angeschlossen wird und über eine gültige IP-Adresse verfügt, das gesamte Netzwerk in die Knie zwingen. Die Gefahr geht hier also nicht mehr vom Anwender aus, sondern direkt vom Gerät.

In vielen Netzen wurden Schutzmechanismen auf der Basis des Sicherheitsfeatures „Port Security“, einer Funktionen der meisten Switch Typen, eingeführt. Hierbei werden jedem Switch Port eine oder auch mehrere MAC-Adressen zugeordnet, und der Switch verwirft alle Pakete, die nicht von einem zugelassenen Gerät stammen. Dieses Verfahren ist zwar sehr wirkungsvoll, aber der Administrationsaufwand ist hoch. Sobald der Anschluss eines Endgerätes verändert wird, z. Bsp. im Rahmen eines Umzugs, müssen die Zulassungen aktualisiert werden. Durch die vermehrte Nutzung von mobilen Endgeräten ist diese Lösung heute nicht mehr wirtschaftlich einsetzbar.

Was ist Network Access Control?

Network Access Control hat die Aufgabe sicherzustellen, dass in einem Netzwerk nur Geräte Zugriff auf Ressourcen haben, wenn sie für dieses zugelassen sind und wenn sie einem definierten Sicherheitsstandard genügen.

Eine NAC-Lösung muss also eine Sicherheitspolicy für alle Geräte die Zugang zum Netzwerk erhalten sollen umsetzen.

Zu einer Sicherheitspolicy für den Netzwerkzugang gehören drei Dinge:

Authentisierung: Alle Geräte, die Zugang zum Netz erhalten wollen, müssen sich vorab authentisieren. Die Authentisierung sollte auch eine Klassifizierung der Endgeräte beinhalten, um weitere Richtlinien-Entscheidungen auf Basis des Gerätetyps vornehmen zu können.

Sicherheitsstatus prüfen: Bevor ein Gerät Zugang zum Netzwerk erhält, muss überprüft werden, ob das System über Schwachstellen verfügt und ob notwendige Sicherheitssoftware entsprechend den Unternehmensrichtlinien installiert ist. Da sich der Sicherheitsstatus, auch durch Manipulationen des Anwenders, jederzeit ändern kann, sollte diese Überprüfung regelmäßig wiederholt werden, solange das Gerät aktiv im Netzwerk ist.

Autorisierung: NAC kann die Zugriffsrechte des Gerätes im Netzwerk entsprechend seiner Klassifizierung steuern. So werden IP-Telefone speziellen VLANs zugeordnet, wo sie Zugang zur benötigten Infrastruktur haben und aus Sicherheitsgründen vom Datennetz separieren sind. Auch mobile Geräte können Netzwerksegmenten mit geringeren Zugriffsmöglichkeiten zugeordnet werden, da sie grundsätzlich als gefährdeter als stationäre PC´s eingeschätzt werden.