Netzwerke besser schützen
Auswahlkriterien für NAC-Systeme
Mit der Einführung der Network Access Protection (NAP) beim Windows Server 2008 und mit wachsender Unterstützung in den Client-Betriebssystemen hat das Thema Network Access Control weiter an Bedeutung gewonnen. Nicht jede Produktvariante der Anbieter von Cisco über Landesk bis Symantec passt dabei zu jedem Netz und jedem Einsatzzweck.
"Network Access Control" (NAC), auch als "Network Access Protection", "Network Access Quarantine" oder "Network Admission Control" bezeichnet, umfasst eine Reihe von Techniken, mit denen versucht wird, den Zugang von Systemen zum Netzwerk zu kontrollieren, um Sicherheitsrisiken zu vermeiden. Die Zielsetzung ist, dass nur Systeme, die definierte Sicherheitsanforderungen erfüllen, eine Verbindung mit dem geschützten Netzwerk aufbauen dürfen. Systeme, bei denen die Anforderungen nicht erfüllt sind, müssen entweder "draußen bleiben" oder angepasst werden.
Die Anbieter in diesem Markt sind recht unterschiedlich aufgestellt. Die Liste der Firmen reicht von Herstellern für Infrastrukturkomponenten wie Cisco, HP oder Juniper über Systemmanagement- und Sicherheitsanbieter wie McAfee, Landesk oder Symantec bis hin zu Microsoft als Betriebssystemhersteller. Die Unternehmen liefern eine beachtliche Zahl höchst unterschiedlicher Lösungsansätze für das Aufgabengebiet, das NAC abdecken soll.
Das Problem
Populär geworden ist das Thema NAC/NAP im Zuge der Diskussion über "Trusted Computing" und vertrauenswürdige Systeme. Eines der praktischen Probleme, die hinter dieser Entwicklung stehen, sind Viren, die mobile Benutzer über ihre Notebooks in Firmennetzwerke einschleppen, nachdem die Systeme beim Betrieb in weniger sicheren Umgebungen infiziert wurden. Ein anderes Thema ist die Kontrolle von Verbindungen zu drahtlosen Netzwerken. Hier bieten Schlüssel zwar einen gewissen Schutz - eine weitergehende Kontrolle, die auch den Systemstatus umfasst, erscheint in vielen Fällen aber wünschenswert. Erfahren möchte man beispielsweise den Status des Virenscanners und den Patch-Status der Clients, insbesondere bezüglich der neuesten Sicherheitsupdates. Aber auch Konfigurationseinstellungen und andere Aspekte, die Sicherheitsrisiken darstellen können, sind interessant.
Das Ziel der NAC-Technik ist die Analyse des Systems, bevor eine "aktive" Verbindung mit dem Netzwerk hergestellt wird. Dies kann bei DHCP-Verbindungen, bei Einwahlverbindungen oder auch beim Verbindungsaufbau mit einem WLAN geschehen. Im Idealfall deckt eine Lösung dabei alle Varianten von Netzwerken ab.
Die Lösung
Wenn sich ein Client mit einem Netzwerk verbindet, geschieht dies beim Einsatz eines NAC-Systems zunächst mit eingeschränkter Funktionalität, sozusagen im Quarantänemodus. NAC überprüft den Computer, wobei dies sowohl in Verbindung mit Agents auf dem Client selbst als auch über externe Analysemechanismen erfolgen kann. Agents sind dabei grundsätzlich leistungsfähiger, weil sie mehr Optionen bieten - aber sie setzen voraus, dass der Client für die NAC-Funktionalität konfiguriert ist.
Wenn die Überprüfung erfolgreich ist, darf der Client auf das Netzwerk zugreifen. Falls bei der Überprüfung aber Fehler oder Risikofaktoren auf den Client sichtbar werden, müssen Maßnahmen eingeleitet werden. Der einfachste Ansatz ist die Verweigerung des Zugangs zum Netzwerk, indem eben keine DHCP-Lease geliefert oder die Einwählverbindung nicht zugelassen wird. In den meisten Fällen streben die Anwender aber nicht eine derart restriktive Vorgehensweise an, sondern es geht ihnen darum, das Problem zu lösen und dem Client einen kontrollierten Zugang zu ermöglichen.
Das Scheitern der Überprüfung hat typischerweise eine von zwei Ursachen: Entweder ist der Agent nicht vorhanden, beispielsweise weil es sich um einen Rechner eines externen Mitarbeiters handelt, oder die Prüfung hat einen nicht akzeptierten Status des Systems erkannt. Im ersten Fall kann man, mit Zustimmung des Benutzers, das Deployment des Agents starten und eine erneute Prüfung durchführen.
Im zweiten Fall geht es dagegen darum, das System in einen zulässigen Zustand zu versetzen, was auch als "Remediation" bezeichnet wird. Konkret lassen sich Patches einspielen oder Updates für den Viren-Scanner oder Konfigurationsanpassungen veranlassen. Auch die Installation oder Deinstallation zusätzlicher Software ist möglich. Dieser Schritt setzt allerdings eine Infrastruktur für das Systemmanagement voraus, mit der solche Änderungen auch durchgeführt werden können. Spätestens hier wird die Einrichtung von NAC-Infrastrukturen komplex und planungsintensiv.
Statt den Zugang zum Netzwerk völlig zu verhindern, kann ihn der Systemverwalter auch einschränken, beispielsweise auf Server mit weniger sensitiven Informationen. Ob dies sinnvoll ist, sei dahingestellt. Gerade bei Agent-gestützten Lösungen und im Zusammenhang mit externen Benutzern ist diese Option aber oft die einzige. In diesem Fall gilt es natürlich, die exponierten Server, die dennoch zugänglich sind, besonders gut zu schützen.
NAC als Kernelement in Sicherheitsarchitekturen
Das Network-Access-Control-Konzept ist zweifelsohne ein neues Kernelement von Sicherheitsarchitekturen. Viele Bedrohungen lassen sich damit wirksam ausschließen. Eine Herausforderung bei der Wahl des optimalen Systems liegt allerdings in der Vielzahl unterschiedlicher Ansätze, was sich bereits bei den unterschiedlichen Begrifflichkeiten verschiedener Hersteller zeigt. Die Umsetzung ist zudem planungsintensiv, wenn man eine differenzierte Analyse der Clients erreichen möchte - und noch mehr, wenn man diese Systeme auch wieder in einen adäquaten Zustand versetzen will.
Die Auswahlkriterien
Gerade in Marktsegmenten, in denen es viele unterschiedliche Angebote gibt und die zugleich noch vergleichsweise jung sind, sind klare Auswahlkriterien für die Produkte unverzichtbar. Dies gilt auch für NAC-Konzepte.
Eine Kernfrage ist, ob Agents zwingend einzusetzen sind, optional genutzt werden können oder eventuell gar nicht unterstützt werden. Für Agents spricht, dass man sehr viel differenziertere Analysen durchführen kann. Dagegen spricht neben dem Deployment-Aufwand, dass Agents auch verhindern können, dass sich beispielsweise externe Mitarbeiter mit dem Netzwerk verbinden - wenn nämlich diese Mitarbeiter Agents nicht installieren können oder dürfen. Andererseits gibt es beispielsweise bei Windows in den aktuellen Versionen einen integrierten Agent, der zumindest eine Basisfunktionalität aufweist, sodass die Bedeutung dieses Kriteriums leicht abnimmt.
Der zweite wichtige Punkt ist der Umfang der Analyse. Die Status von Viren-Scannern und Patch-Management sind die wichtigsten. Weiter gehende Vulnerability Scans oder die Prüfung auf vorhandene oder fehlende Dateien sowie Konfigurationseinstellungen können ebenfalls Sinn haben. Je mehr Flexibilität es bei der Überprüfung gibt, desto besser. Eine Erweiterbarkeit der Analysefunktionen, um beispielsweise Viren-Scanner verschiedener Hersteller prüfen zu können, ist ebenfalls von Bedeutung.
Um erkannte Schwachstellen adressieren zu können, ist eine flexible Gestaltung der Quarantäne- und Remediation-Konzepte von Bedeutung. Sowohl voller als auch eingeschränkter Zugang zu Netzwerken sollte unterstützt werden. Vor allem sollte man die Anpassung von Clients im Fehlerfall flexibel vornehmen können. In diesem Bereich sind insbesondere die NAC-Konzepte von Anbietern aus dem Systemmanagement leistungsfähig, weil diese Funktionen zur Anpassung der Systeme in der Regel flexibel unterstützen. Das Microsoft-Konzept für die Network Access Protection wiederum kann man erst in Verbindung mit dem Microsoft System Center Configuration Manager in mit vollem Funktionsumfang nutzen.
Generell sind natürlich auch Reporting-Funktionen, mit denen man den Status der Zugangskontrolle zum Netzwerk ermitteln und kritische Situationen erkennen kann, von hoher Bedeutung.
Ein weiteres Kriterium ist die Unterstützung unterschiedlicher Arten von Netzwerkverbindungen. Typische Ansatzpunkte sind WLAN-Verbindungen, die Vergabe von DHCP-Leases und Einwählverbindungen. Systeme können aber auch auf tieferen Schichten des Netzwerk-Stacks ansetzen. Entscheidend ist, dass man hier keine Lücken lässt.
Gerade bei Lösungen, die mit Agents arbeiten, stellt sich immer auch die Frage nach der Plattformunterstützung. Auch wenn die meisten Clients weiterhin mit Windows als Betriebssystem arbeiten, kann es in heterogenen Umgebungen doch erforderlich sein, auch andere Betriebssysteme einzubeziehen - ein Punkt, an dem allerdings die meisten Implementierungen noch scheitern, zumindest wenn es um eine detailliertere Statusanalyse der Systeme geht.
Die Frage, ob man mit einer Hard- oder Softwarelösung arbeitet, muss man sich ebenfalls stellen. Allerdings wird dies oft eher über andere Kriterien entschieden. Zudem handelt es sich dabei keineswegs um eine ausschließliche Entscheidung. So gibt es inzwischen eine sehr große Zahl an Soft- und Hardwarefirmen, die die Network Access Protection von Microsoft unterstützen und auf der Basistechnik dieses Herstellers aufsetzen.
Fazit
Eine Entscheidung für ein Konzept der Network Access Control/Protection ist somit nicht einfach. Es ist sicherlich von Bedeutung, ob die NAP-Basistechnik von Microsoft unterstützt werden, weil man dann auf die integrierten Agents bei neueren Windows-Plattformen aufsetzen kann. Ob man allerdings mit der Basislösung allein auskommt, muss genau analysiert werden - hier fehlen noch wichtige Funktionen.
Zudem muss die Entscheidung für eine NAC-Technik immer im Kontext der Netzwerkinfrastruktur und der gesamten Sicherheitsarchitektur gefällt werden. NAC nämlich ist nur ein Baustein in einem Sicherheitsgesamtkonzept - wenn auch einer, dessen Wichtigkeit zunimmt.
Lesen Sie mehr zum Thema
