Analyse der wichtigsten Methoden für Network Access Control-Lösungen

Das Angebot an Network Access Control-Lösungen (NAC) zum Schutz vor Fremdgeräten im Unternehmensnetz ist in den vergangenen Jahren stark gewachsen. Dennoch handelt es sich hierbei immer noch um einen recht jungen Markt, der sich insbesondere technologisch noch stark entwickeln wird. „Zurzeit bestehen noch keine Komplettlösungen, sondern eine Sammlung aus Einzellösungen und Komponenten, die jeweils nur Teilbereiche abdecken“, umschreibt Friedhelm Zawatzky-Stromberg die aktuelle Situation. Die Abstimmung der Hersteller untereinander erfolge zwar immer häufiger mit Schnittstellen, diese seien jedoch meistens mit „sieben Siegeln“ behaftet und würden oftmals nur als Alibi zur Verfügung gestellt, so der Vorstand des Dortmunder Netzwerk- und Security-Spezialisten.

„Selbst Hersteller, die mit ihrem Produktportfolio die gesamte Thematik NAC abdecken, weisen noch Lücken auf und bieten ein Sammelsurium an Produkten, deren Zusammenspiel oftmals nicht gewährleistet ist“, problematisiert er. Gleichzeitig hat er in seiner Beratungspraxis festgestellt, dass seitens der Anwender vielfach keine genauen Kenntnisse der verschiedenen NAC-Methoden bestehen. Er hat deshalb die wichtigsten technischen Ansätze untersucht und sie einzeln nach ihren Kosten, dem Realisierungsaufwand und dem Sicherheitsgrad bewertet:

• 802.1x mit Radius: Die wohl zurzeit sicherste Methode hat den Vorteil, dass noch bevor ein Zugriff auf das Netzwerk gewährt wird, eine Authentifizierung am Switchport erfolgt. Bei diesem Standard sind allerdings mindestens drei Komponenten (Client, Switch und RADIUS- Server) erforderlich, die aufeinander abgestimmt sein müssen. Die Schwierigkeit besteht jedoch darin, dass nicht alle Endgeräte diese Authentifizierungsmethode unterstützen. Darüber hinaus sind die Implementierungsmethoden der Switch-Hersteller nicht einheitlich. Für einen unternehmensweiten Einsatz bei heterogener Umgebung ist der Standard 802.1x zurzeit noch schwer umzusetzen. Bei Anschaffung einer neuen homogenen Infrastruktur ist dies jedoch eine sinnvolle Alternative. Bewertung: teuer, aufwändig, sicher.

• MAC-Authentifizierung: Sie stellt eine Alternative zu 802.1x dar und ist vor allem für Netzwerkumgebungen mit älteren oder auch heterogenen Netzwerken eine mögliche Alternative. Hierbei wird nur die bei Anmeldung ans Netzwerk erkannte MAC-Adresse vom RADIUS-Server überprüft, bevor ein Netzwerkport freigeschaltet wird. Dies ist zwar kein hoher Sicherheitsstandard, bei älteren Endgeräten aber oftmals die einzige Möglichkeit eine Authentifizierung durchzuführen. Die Implementierung erfordert die gleichen Voraussetzungen für die Switches und den RADIUS-Server wie bei 802.1x. Bewertung: mittlere Kosten, mittlerer Aufwand, geringe Sicherheit.

• Web-basierende Authentifizierung: Hierbei ist die Eingabe von Benutzername und Passwort an einem eigens zur Verfügung stehenden Webserver erforderlich. Dies ist eine mögliche Alternative für Benutzer, bei denen keine Möglichkeit besteht, einen Supplicant für 802.1x zu implementieren. Bewertung: mittlere Kosten, wenig Aufwand, mittlere Sicherheit.

• Statische Port- / MAC-Zuordnung: Sie sieht eine feste Zuordnung von MAC-Adressen und Switch-Ports vor. Dabei müssen alle kommunizierenden Systeme in die Konfiguration eines jeden Switches eingetragen werden. Jedes neue Gerät und jede Löschung zieht somit eine Konfigurationsänderung auf dem Switch nach sich. Bewertung: günstig, hoher Aufwand, geringe Sicherheit.

• Dynamische Port-/MAC-/IP-Zuordnung mittels SNMP: Hierbei wird die vorhandene Infrastruktur genutzt. Es ist kein Agent auf den Endgeräten notwendig, sondern die gesamte Kommunikation erfolgt mit der Netzwerk-Infrastruktur (Switches und Router). SNMP ist ein weit verbreiteter Standard, der nahezu flächendeckend in Unternehmen Verwendung findet und mit Version 3 auch ausreichend sicher ist. Nahezu alle Netzmanagement-Systeme basieren hierauf. Durch Verwendung zusätzlicher Tools wie Port-Scanner, VoIP- und WLAN-Module, sFlow/netFlow oder Router-Module können solche Systeme sehr leistungsstark sein und ein Netzmanagementsystem nahezu ersetzen. Bewertung: günstig, mittlerer Aufwand, mittlere Sicherheit.

• Kerberos Snooping: Damit kann keine Lokalisierung von Endgeräten, sondern ausschließlich eine Authentifizierung von Benutzern vorgenommen werden. Hierzu ist es erforderlich eine „Inline“–Komponente in dem Datenstrom zum Anmeldeserver (Active Directory) einzurichten. Bewertung: günstig, geringer Aufwand, mittlere Sicherheit.

„Diese Liste umfasst längst nicht alle sondern nur einige der wichtigsten Methoden zur Identifizierung und Lokalisierung in Netzwerken“, erläutert Zawatzky-Stromberg. Welche Alternative für ein Unternehmen den vorteilhaftesten Ansatz bietet, hänge vor allem vom Schutzbedarf, den Investitionsmöglichkeiten und vorhandenen Komponenten ab. „Von den vorgestellten Möglichkeiten haben zweifellos Systeme mit Dynamischer Port-/MAC-/IP-Zuordnung mittels SNMP, wie beispielsweise der IntraPROTECTOR die größten Vorteile, da diese Systeme viele weitere Sicherheits- und Netzmanagementfunktionen bieten. Außerdem sind sie mit anderen Methoden gut kombinierbar.“

Ausführlichere Darstellungen dieser Lösungen sowie konkrete Hilfestellungen für die Planung von NAC-Projekten und Best Practice bietet ein umfangreicher und produktneutraler Leitfaden von COMCO. Er kann von Anwendern kostenlos unter www.comco.de bestellt werden.