Network Access Control (NAC)

Automatisierung im Netzwerk

Hinsichtlich der Netzwerksicherheit vertraut die Volkswagenstiftung auf eine Netzwerkzugangskontrolle „Made in Germany“.

  • Schloss Herrenhausen, Hannover

    Konferenzzentrum der Volkswagenstiftung Schloss Herrenhausen, Hannover

  • Gendarmenmarkt Berlin

    Gendarmenmarkt Berlin mit dem Wissenschaftsforum (Eckgebäude), das von der Volkswagenstiftung im Rahmen ihrer Vermögensanlage errichtet wurde

Die Volkswagenstiftung ist eine eigenständige, gemeinnützige Stiftung privaten Rechts mit Sitz in Hannover. Mit einem Fördervolumen von insgesamt etwa 150 Millionen Euro pro Jahr ist sie die größte private deutsche wissenschaftsfördernde Stiftung und eine der größten Stiftungen hierzulande. Ihre Mittel vergibt sie ausschließlich an wissenschaftliche Einrichtungen. In den mehr als 50 Jahren ihres Bestehens hat die Stiftung rund 30.000 Projekte mit insgesamt mehr als 4,7 Milliarden Euro gefördert.

Mit ihren etwas über 200 Endgeräten – Drucker, Desktop-PCs und Laptops – ist die Volkswagenstiftung eine eher kleine Organisation. Als wichtiger Förderer von Ausbildung, Wissenschaft und Technik in Forschung und Lehre trägt sie jedoch eine große gesellschaftliche und auch finanzielle Verantwortung – und bedarf deshalb auch des bestmöglichen Schutzes vor unerwünschten Zugriffen.

Zur Absicherung des Netzwerkzugangs, der ersten Verteidigungslinie zum Schutz ihrer Daten, hatte die Stiftung zwar bereits die Lösung eines Anbieters aus den USA für Netzwerkzugangskontrolle (Network Access Control, NAC) in Betrieb. Allerdings band sie das IT-Team in gewisser Weise an diesen Anbieter, sodass es schwierig war, die Infrastruktur flexibel an neue Aufgaben anzupassen und zu modernisieren. Zudem waren die Wege bei Support-Anfragen lang und umständlich, da es vor Ort in Deutschland kein lokales Serviceteam gab, das direkt kontaktiert werden konnte.

Ein weiteres Problem mit der alten Lösung war ihre zeitraubende Bedienung und hohe Komplexität, die für die relativ überschaubare Infrastruktur viel zu überladen war. Eigentlich kleine Änderungen bedeuteten dadurch viel Aufwand, alleine das Management der Lösung beanspruchte einen großen Anteil der Zeit der beiden Netzwerkadministratoren im Haus.

Umstellung auf neue Switche

Mit der Umstellung der Infrastruktur von VDX- auf ICX-Switche eröffnete sich für die Stiftung die Möglichkeit, aus dem Korsett des bisherigen NAC-Anbieters auszubrechen. Diese sind nämlich mit der herstellerunabhängigen Macmon-NAC-Lösung kompatibel, sodass sich die Chance zum einfachen Wechsel auf die komfortablere Lösung aus Deutschland ergab. Die Hardware-Unabhängigkeit der Lösung des Berliner Anbieters eröffnete dem IT-Team der Stiftung die Wahl, ihre Umgebung frei aus Best-of-breed-Lösungen bei Hard- und Software zusammenzustellen, um den passenden Schutz zu realisieren. Neben funktionalen Vorteilen war die Tatsache, dass Macmon komplett in Deutschland entwickelt wird und dadurch keine Risiken für versteckte Backdoors, durch die Dritte unbemerkt die Sicherheitsmaßnahmen umgehen können, bestehen, ein entscheidendes Kriterium.

Von der Entscheidung für NAC Version 5.3.0 bis zur Ablösung der Altlösung vergingen vier Wochen. Nach der Implementierung wurde die neue Lösung parallel zur alten im Lesemodus betrieben. Neben dem Basis-NAC-Modul wurden auch das VLAN-Management-Modul und die Grafische Topologie zum Einsatz gebracht.

Während dieser ersten Testphase konnten sich die Mitarbeiter mit den Funktionen und der einfachen Bedienung vertraut machen. Dabei wurde dem IT-Team schnell klar, dass die neue Lösung weniger umständlich zu verwalten und exakt auf die Bedürfnisse der Stiftung zugeschnitten ist. Die Topologische Darstellung bietet eine lückenlose Übersicht sowie eine Vielzahl intuitiver Verwaltungsoptionen aller im Netzwerk befindlichen Netzwerkgeräte. Weiterhin überzeugte das dynamische VLAN-Management mit hohem Automatisierungsgrad und vordefiniertem Regelwerk, sodass nur einmalig eine einzige zusätzliche Regel geschrieben werden musste.

Im Rahmen der Umstellung wurden sukzessive weitere Verteiler zugeschaltet, bis man die alte Lösung nach nur vier Wochen schließlich komplett ablösen konnte. Wegen der vorangegangenen Lese- und Lernphase waren sämtliche Geräte in Macmon bereits klassifiziert, sodass quasi nur noch der Schalter umgelegt werden musste, um das neue NAC in den Produktionsbetrieb zu überführen.

Rundum-Schutz mit Zukunft

Mit der neuen NAC-Lösung wurden fast alle manuellen Verwaltungsaufgaben der IT-Mitarbeiter automatisiert, sodass sie sich seither ganz auf produktive Aufgaben konzentrieren können, während im Hintergrund das Netzwerk überwacht wird. Versucht ein unbekanntes Gerät sich Zugang zu verschaffen, wird es automatisch in ein separates Quarantäne-VLAN verschoben und das IT-Team über den Vorfall benachrichtigt, sodass sofort entsprechende Maßnahmen ergriffen werden können.

Hardware-Neuanschaffungen, um die Infrastruktur auf dem Stand der Technik – der u. a. zur Einhaltung der neuen Datenschutzgrundverordnung (DSGVO) eine zentrale Rolle spielt – zu halten, sind aufgrund der Herstellerunabhängigkeit kein Problem. Komponenten können nun allein aufgrund der Anforderungen, Qualität und des Budgets angeschafft werden, ohne von der Preispolitik Dritter abhängig zu sein. Dies gewährt auch die Freiheit, nach oben und in die Breite zu skalieren, sollte die Stiftung in Zukunft wachsen oder weitere Standorte eröffnen.

Verschiedene Management-Funktionen ermöglichen es dem IT-Team, schnell und einfach Redundanzen einzurichten, damit im Ernstfall ein Netzwerkausfall vermieden wird. Um eine effektive Sicherheit zu gewährleisten, führte die Stiftung in ihrem Netzwerk die Authentifizierung der Geräte mit dem IEEE Standard 802.1X über einen RADIUS-Server ein. Dabei wird auf Basis verschiedener Kriterien wie MAC-Adresse, Benutzername/Passwort oder Zertifikat die Entscheidung über das Gewähren des Zugangs getroffen. Das Zertifikat ist dabei die höchste Authentifizierungsstufe. Da der Zugang zum Netzwerk durch den Switch erst nach erfolgter Bestätigung durch den RADIUS-Server erfolgt, gibt es keine ungenutzten oder unsicheren Ports, wie es auch vom BSI empfohlen wird. Die einfache Bedienung der Lösung ermöglichte eine schnelle Inbetriebnahme und bietet die Möglichkeit, einfach zum Mischbetrieb mit und ohne 802.1X zu wechseln, sollte das nötig werden.

Bildquelle: Volkswagenstiftung

©2018Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok