Absicherung mit Network Access Control

Ins Netz gegangen

Wie sich Network Access Control (NAC) als wichtiger Bestandteil in die IT-Sicherheitsstrategie integrieren lässt.

Fußball im Netz

NAC-Lösungen passen auf, dass nicht plötzlich unerlaubte Geräte im Netz zappeln.

Daten sind mittlerweile in fast allen Branchen zur wichtigen Grundlage und zum Treiber für neue Geschäftsmodelle geworden. Von daher ist die Absicherung des Unternehmensnetzwerks, in dem diese Daten liegen, ein zentraler Aspekt der IT-Sicherheitsstrategie. Das Netzwerk dient als erste und wichtige Verteidigungslinie gegen Angreifer, die sich unbemerkt Zugang verschaffen wollen, oder zur Absicherung potentieller Schwachstellen. Durch den vermehrten Einsatz von netzwerkfähigen Geräten und die Nutzung von Bring Your Own Device (BYOD) steigt das Gefahrenpotential kontinuierlich an.

Vor diesem Hintergrund kann sich im Rahmen der IT-Sicherheitsstrategie der Einsatz einer Lösung für Network Access Control (NAC) anbieten. Dabei agiert NAC als eine Art „Türsteher“ des Netzwerks, der jeden Zugang und jedes Gerät genau überwacht und verhindert, dass etwas schiefläuft oder sich jemand unerlaubt Zugang zu sensiblen Bereichen des Netzwerks verschafft. Bei der Auswahl und Implementierung einer NAC-Lösung gibt es jedoch Einiges zu bedenken und beachten.

Die Qual der Wahl

Am Anfang steht die Auswahl des grundsätzlichen Lösungsansatzes. Im Prinzip stellt sich hier die Frage, wie weit in bestehende Infrastrukturen eingegriffen werden kann. Dabei verlangen hardware-basierte Konzepte laut der Macmon Secure GmbH, entweder das gesamte Netzwerk auf die Komponenten eines Herstellers umzurüsten oder Appliances flächendeckend im Netzwerk zu verteilen. Das bedeutet meist aufwendige, kostenintensive Eingriffe in die vorhandene Infrastruktur. Zudem ist die lückenlose Abdeckung des Netzwerks nicht absolut gewährleistet. Letzteres trifft auch zu bei der Installation von Software auf allen Clients.

Ein veritabler Weg ist folglich, sich komplett von den Gegebenheiten der Geräte zu lösen und einen hardware-unabhängigen Ansatz zu wählen. Dabei werden zum einen bestehende Investitionen in die Infrastruktur geschützt und zum anderen das Risiko von Lücken in der Absicherung ausgemerzt. Hier können sich Lösungen auf Basis von SNMP (Simple Network Management Protocol) oder SSH (Secure Shell) anbieten, um mit allen Switches und Routern im Netzwerk zu kommunizieren – unabhängig, von welchem Hersteller und wie aktuell die Komponenten sind.

Jedes Gerät, das an einem Switch Port angeschlossen ist und kommuniziert, wird sofort erkannt. Die grundlegende Identifizierung der Geräte erfolgt dabei ursprünglich über die MAC-Adresse. Da die sich aber mittlerweile relativ einfach fälschen lässt, gleichen moderne Lösungen weitere Kriterien wie IP-Adresse, Host-Namen, Betriebssystem sowie offene oder geschlossene IP-Ports im Hintergrund ab, um Adressmanipulationen und andere Angriffsversuche voll zu unterbinden.

Gleichzeitig sollten NAC-Lösungen die Voraussetzungen zur Authentifizierung von Geräten in Netzwerken über den Standard IEEE 802.1X erfüllen und nach Möglichkeit beide Technologien gleichzeitig nutzbar machen, um Infrastrukturen abzubilden, die selbst nur teilweise die Anforderungen erfüllen. Hier wird ein Radius-Server mit einbezogen, der auf Basis verschiedener Kriterien wie MAC-Adresse, Benutzername/Passwort oder Zertifikat die Entscheidung über das Gewähren des Zugangs trifft. Das Zertifikat ist dabei die höchste Authentifizierungsstufe. Da der Zugang zum Netzwerk durch den Switch erst nach erfolgter Bestätigung durch den Radius-Server erfolgt, gibt es keine ungenutzten oder unsicheren Ports, wie es auch vom BSI empfohlen wird.

Keine blinden Flecken erlauben

Neben den verschiedenen Ansätzen sollte parallel genau auf die Funktionalitäten geachtet werden, die eine NAC-Lösung mitbringen sollte. Hier einige wichtige Auswahlkriterien:

  • Sichtbarkeit: Da man nur schützen kann, was man auch sieht, ist sowohl die lückenlose topologische Erfassung des Netzwerks als auch die laufende Überwachung in Echtzeit essenziell. Die NAC-Lösung sollte also keine blinden Flecken erlauben und wirklich jedes Gerät erkennen, egal wo es auf das Netzwerk zugreift. Für die nötige Übersicht sollte darauf geachtet werden, dass die NAC-Lösung eine grafische Darstellung anbietet, in der alle für die Administratoren wichtigen Informationen auf einen Blick erkennbar sind.
  • Segmentierung: Wenn man das Netz nicht durch Virtual Local-Area-Networks (VLANs) segmentiert, kann der Zugriff von übergreifenden Abteilungen oder externen Parteien auf mehrere internen Netzwerke und damit auf entsprechende Geschäftsprozesse ohne Kontrolle erfolgen. NAC kann als übergeordnete Instanz fungieren, die das gesamte Netzwerk überspannt und im Blick hat. Es sollte sowohl statische als auch dynamische VLAN-Konzepte betreiben können und den oben beschriebenen 802.1X-Standard des IEEE (auch im Mischbetrieb) abbilden zu können. Ungenutzte Ports sollten abgeschaltet oder in ein „Unassigned VLAN“ konfiguriert und erst bei Bedarf produktiv gestellt werden können, um unerwünschte Zugriffe auf sensible Netzwerkbereiche zu unterbinden. Umzüge ganzer Abteilungen, einzelner Büros oder bestimmter Systeme lassen sich mit dieser Dynamik einfach und schnell planen und durchführen.
  • Mobilität: Besucher, Außendienst, Dienstleister, Lieferanten und Kunden benötigen unterschiedlichen Zugriff auf verschiedene Ressourcen im Firmennetzwerk. Durch die Verwaltung via NAC kann der nötige granulare Detailgrad für die Zugriffsrechte erreicht werden. Im Vorfeld abgesteckte VLANs oder Steuerungen mittels Access-Control-Listen erlauben dedizierte Zugriffsrechte je Besuchergruppe, die entsprechend sensible Bereiche ausschließen.
  • Mobile Device Management (MDM): In BYOD-Szenarien kann NAC auch mit dem MDM gekoppelt werden, um verschiedene Nutzungsszenarien abzubilden. Die Belegschaft kann dabei den Komfort und die Effizienz ihrer gewohnten Geräte auch im Arbeitsalltag nutzen, ohne für die Integrität der Netzwerkinfrastruktur ein Problem darzustellen. Damit wird sowohl die Mitarbeiterzufriedenheit als auch die nötige Sicherheit gewährleistet. Und so kann das realisiert werden: Werden die Geräte durch eine MDM-Lösung verwaltet, können sie durch die Anbindung des MDM-Systems als Identitätsquelle an die NAC-Lösung erkannt und für den definierten Netzwerkbereich autorisiert werden. Wollen die Mitarbeiter keinen Verwaltungsagenten auf ihrem persönlichen Gerät, können sie es am Netzwerk anschließen, woraufhin sie mit einem Gästeportal verbunden werden. Dort können sie sich einloggen, das Gerät registrieren und im dafür freigegebenen Bereich des Unternehmensnetzwerks betreiben. Durch die Registrierung kann eine dazu fähige NAC-Lösung nun den Zugang so lange gewähren, wie die Zugangsdaten gültig sind. Verlässt ein Mitarbeiter das Unternehmen, so erhalten auch seine persönlichen Endgeräte automatisch keinen Zugang zum Unternehmensnetzwerk mehr.

Auf mögliche Backdoors achten

Regelmäßiges Patchen, aktuelle Virenscanner und zusätzliche Technologien wie Desktop Firewall, Host Intrusion Prevention oder Application Control bieten zwar hervorragenden Schutz, dennoch gibt es Situationen, in denen der Virenscanner nicht mehr adäquat auf Bedrohungen reagieren kann. Wenn beispielsweise das Antivirus-Programm auf einem Endgerät meldet, dass eine Malware nicht gelöscht werden konnte, sollte das betreffende System möglichst schnell gefunden, isoliert und gesäubert werden.

Durch die Ankoppelung des Antivirus-Programms an die NAC-Lösung, erkennt das Gerät die Situation automatisch und isoliert direkt das betreffende Gerät. Solche als unsicher eingestuften Endgeräte werden dann durch das NAC-System selbsttätig in ein Quarantäne- oder Remediation-VLAN verschoben, um sie in diesem geschützten Umfeld hinsichtlich des Sicherheitsstatus zu aktualisieren. Nach erfolgreicher Aktualisierung bzw. Heilung können die Systeme unmittelbar wieder ihrer ursprünglichen Produktivumgebung im Netzwerk zugewiesen werden.

Desweiteren sollte man bei der Wahl der NAC-Lösung darauf achten, dass sie mit anderen Sicherheitslösungen zusammenarbeiten kann oder aktive Technologiepartnerschaften unterhält, um einen umfassenden Schutz zu bieten.

Gerade im Licht der Datenschutz-Grundverordnung (DSGVO) sollte nicht zuletzt auch die Lösung selbst im Hinblick auf ihre Absicherung gewisse Standards erfüllen. Unternehmen sollten sicherstellen, dass sie keine Hintertür (Backdoor) beinhaltet, über die Dritte (z.B. ausländische Geheimdienste) potentiell die Sicherheitsmaßnahmen ungehindert umgehen können. In Deutschland entwickelte Lösungen haben ein solches „Hintertürchen“ in der Regel nicht.

Bildquelle: Thinkstock/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok