Zugangskontrolle mit Network Access Control (NAC)

Das Firmennetzwerk absichern

Interview mit Christian Bücker, Geschäftsführer der Macmon Secure GmbH, darüber, warum Informationssicherheit ohne Network Access Control (NAC) nicht funktionieren kann

Christian Bücker, Macmon Secure

Christian Bücker, Macmon Secure, erläutert die Vorteile von Network Access Control (NAC).

IT-DIRECTOR: Der NAC-Markt scheint aktuell stark in Bewegung zu sein. Was denken Sie, womit das zusammenhängt?
C. Bücker:
NAC ist für die Unternehmen seit vielen Jahren ein wichtiges Thema, da die Netzwerke immer komplexer und unübersichtlicher werden. Mit der rasanten Zunahme von überall verfügbarem WLAN und der Verbreitung mobiler Devices aber mehr denn je. Die Problematik liegt auf der Hand: Immer komplexere Netzwerke sollen immer mehr Einstiegspunkte bieten, damit die Mitarbeiter bei jeder Gelegenheit produktiv sein können – außerdem soll es nutzerfreundlich funktionieren. Mobile Device Management hilft an dieser Stelle nur bedingt, da häufig auch Geräte von Mitarbeitern zugelassen werden sollen, auf denen kein Unternehmensagent installiert werden kann bzw. darf. Das heißt, die Netze sollen sich unbekannten Geräten öffnen. Ohne eine professionelle Lösung entstehen dadurch viele gefährliche Lücken. Wirklich helfen kann hier nur Network Access Control.

IT-DIRECTOR: Was macht Ihre eigene NAC-Lösung im Vergleich zu anderen Produkten aus?
C. Bücker:
Ein Vorteil ist die Möglichkeit, jedes Netzwerk – egal von welchem Hersteller die Switches sind und egal wie es beschaffen ist (heterogen, homogen, modern, in die Jahre gekommen etc.) – komplett abbilden zu können. Andere Lösungen setzen oft auf spezielle Technologien oder benötigen konkrete Netzwerkhardware, was nicht immer passt oder aufgrund notwendiger Neuanschaffungen immense Kosten verursacht.

IT-DIRECTOR: Warum besitzt die Thematik NAC oft eher einen „negativen“ Beigeschmack?
C. Bücker:
Auf diesen Sachverhalt sind wir u.a. in unserem Hörbuch (siehe Infokasten) eingegangen. Generell wurden in der Vergangenheit verschiedene NAC-Lösungen angeboten, die nicht wirklich umsetzbar waren. Trotzdem wurde es damit versucht, was natürlich nicht klappen konnte. Dadurch herrscht mitunter noch die Meinung vor, dass NAC nur sehr umständlich realisierbar ist und mit hohen Kosten für die Einführung sowie den Betrieb verbunden ist. Diese Vorurteile müssen wir in vielen Kundengesprächen erst einmal entkräften. Interessant ist aber, dass den meisten IT-Verantwortlichen bewusst ist, dass sie in diesem Bereich etwas tun müssten.

IT-DIRECTOR: Glauben Sie, dass komplexe Standards wie 802.1X sich durchsetzen?
C. Bücker:
Der Standard ist grundsätzlich sehr gut und wird sich durchsetzen. Viele Endgeräte und Netzwerkkomponenten unterstützen die entsprechenden Anforderungen jedoch noch nicht. Möchte heute jemand 802.1X einführen, muss er in der Regel noch einige Anschaffungen tätigen, um technisch überhaupt dazu in der Lage zu sein. Von daher bieten wir mit unserer Lösung Macmon einen Mischbetrieb an: Dort, wo die Möglichkeiten gegeben sind, wird 802.1X verwendet. Dort, wo es noch nicht funktioniert, verwenden wir andere Technologien, etwa die Kommunikation per SNMP mit den Switches. Erneuert das Unternehmen künftig – eventuell auch nur in Teilen – seine Infrastruktur, kann es einfach umschalten.

IT-DIRECTOR: Andere Hersteller behaupten, Ihr technologischer Ansatz sei ver­altet – was entgegnen Sie diesen?
C. Bücker:
Ihre Hausaufgaben zu machen. Nein, im Ernst, natürlich ist unsere hauptsächlich genutzte Technologie schon etwas älter. Nichtsdestotrotz ist sie derzeit noch immer die einzige, die in jedem Netzwerk funktioniert. Desweiteren halten wir neuere Technologien wie 802.1X ebenfalls bereit. Dabei heißen es viele Anwender gut, mit einem Netzwerkansatz heute und morgen zu funktionieren. Auch gibt unser Ansatz keine Einschränkungen vor – wir betreuen Kunden mit wenigen sowie mit vielen tausenden Systemen. Zudem sind wir in diversen Forschungsprojekten mit anderen Mitgliedern der Initiative „Trusted Computing Group“ aktiv und dadurch technologisch immer auf dem neusten Stand. So bieten bislang allein wir die Kombination von NAC mit dem TPM-Chip (Trusted Platform Mo­dule) zur sicheren Authentifizierung von Endgeräten an. Wobei sich diese Vorgehensweise wiederum noch sicherer als die Nutzung von 802.1X erweist.

IT-DIRECTOR: Welche strategische Rolle spielen die Projekte?
C. Bücker:
Sie sorgen dafür, dass wir neben unserer kundennahen Entwicklung auch ein Auge auf zukünftige Technologien und Möglichkeiten werfen. Die Kombination mit dem TPM-Chip hatte ich just erwähnt, aber auch IF-MAP (Interface for Metadata Access Points) ist eine bis dato noch recht unbekannte Technologie, die in der Lage ist, einen Standard für Security-Incident-and-Event-Management-Produkte (SIEM) zu bieten. Netzwerknahe Themen wie IPv6 etc. spielen dabei ebenfalls eine große Rolle.

IT-DIRECTOR: Ist Ihr Ansatz eher im Netzwerkmanagement oder in der IT-Sicherheit beheimatet?
C. Bücker:
In der Tat fühlen wir uns beiden Bereichen zugehörig. Die Möglichkeit, die Netzwerkswitches zentral zu administrieren, zu konfigurieren sowie umfangreiche Auswertungen wie Statistiken über die einzelnen Interfaces zu erstellen, zählen ja nicht zwingend zur Security. Wenn es irgendwie möglich ist, sollten jedoch auch Sicherheitslösungen der Produktivität und Vereinfachung dienen. So sparen manche Kunden allein durch das Wegfallen von manuellem Patchen der Switchports pro Monat bis zu zwei Manntage.

NAC einfach erklärt
Kürzlich veröffentlichte Macmon Secure ein Hörbuch rund um Network Access Control. Dabei erläutert David Nathan, die deutsche Synchronstimme von US-Schauspieler Johnny Depp, die Thematik leicht verständlich. Erklärt wird u.a., was genau sich hinter einer Netzwerkzugangskontrolle verbirgt, welche aktuellen Technologien und Lösungsansätze es hierzu gibt und wie Unternehmen eine NAC-Einführung erfolgreich umsetzen können. Das Hörbuch kann kostenfrei heruntergeladen werden unter: www.macmon.eu

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok