15 Fragen helfen bei der Planung des Network Access Control-Projekts

Die Planung und Implementierung von Network Access Control-Lösungen (NAC) stellt eine sehr komplexe Angelegenheit dar. Denn diese Projekte beschränken sich nicht nur auf Fragen der Hard- und Software, sondern sie beinhalten auch die Berücksichtigung organisatorischer und gesetzlicher Aspekte. „Ein NAC-Vorhaben kann schnell scheitern, wenn es ausschließlich auf der technischen Ebene angesiedelt wird“, gibt Friedhelm Zawatzky-Stromberg, Vorstand der COMCO AG, zu bedenken. Notwendig sei vielmehr eine enge Zusammenarbeit der Geschäftsführung des Unternehmens mit den Datenschutz-Verantwortlichen sowie dem Security- und IT-Bereich.

„Gemeinsam muss das Ziel verfolgt werden, mit wirtschaftlich vertretbaren Möglichkeiten und unter Einbeziehung der vorhandenen Infrastrukturen und Ressourcen die größtmögliche Sicherheit in einem vertretbaren Zeitrahmen zu implementieren“, beschreibt er die grundsätzliche Anforderung an NAC-Projekte. Hierfür sollten vor Projektbeginn ein klares Anforderungsprofil entwickelt werden, indem beispielsweise folgenden Fragen zu beantworten sind:

1. Gibt es Regelungen, die den Zugriff auf das Netzwerk für Mitarbeiter, Unternehmensgäste und Freiberufler definieren?
2. Ist eine Erkennung und Lokalisierung von Geräten auf Basis der MAC-Authentifizierung möglich und erforderlich?
3. Besteht die Notwendigkeit einer Benutzerauthentifizierung beim Netzwerkzugang – etwa mittels des Standards 802.1x – und ist sie realisierbar?
4. Dürfen Benutzer auf alle Ressourcen zugreifen oder muss über VLAN-Steuerung eine logische Trennung erfolgen?
5. Sind dafür die Möglichkeiten in der Infrastruktur bereits gegeben?
6. Ist eine Überwachung der Software-Stände und deren Aktualität auf den Endsystemen erforderlich?
7. Gibt es hierfür ein Patchmanagement und ist dafür ein Quarantänenetz vorgesehen?
8. Welche Voraussetzungen gelten für Gäste und Mitarbeiter anderer Unternehmen etwa durch ein Gastnetz?
9. Bedarf es einer Überwachung des Gastnetzes?
10. Soll auch für Gäste eine Überprüfung und Patchmanagement zur Verfügung gestellt werden?
11. Werden im Unternehmen zeitliche Zugangsbeschränkungen praktiziert?
12. Gibt es Regelungen hinsichtlich „Quality of Service“ für Benutzer?
13. Bestehen Verfahrensweisen zur Analyse des Benutzerverhaltens im Verdachtsfall (sFlow/netFlow)?
14. Werden Methoden und Techniken eingesetzt, die bei einem Netzwerkzugang spezielle Gerätetypen (z.B. Router, VoIP, WLAN) automatisch erkennen?
15. Nutzt das Unternehmen Lösungen, die auch solche Infrastrukturangriffe und Konfigurationsänderungen bei Infrastrukturkomponenten erkennen, die nicht detailliert genug in den einzelnen NAC-Prozessen definiert sind?

„Im Regelfall sind die Aspekte aufgrund der unternehmensindividuellen Erfordernisse und Infrastrukturbedingungen allerdings noch wesentlich umfangreicher“, betont Zawatzky-Stromberg. Dies zeige, wie wichtig eine präzise konzeptionelle Vorplanung sei. Grundsätzlich müsse sie in drei Schritten erfolgen: Bedarf ermitteln, Policies festlegen und die Realisierungsmöglichkeiten prüfen. Konkrete Hilfestellungen und Best Practice bietet hierfür auch ein umfangreicher und produktneutraler NAC-Leitfaden des Netzwerk- und Security-Spezialisten COMCO AG. Er kann von Anwendern kostenlos unter www.comco.de bestellt werden.