Praxistipps der COMCO für Network Access Control-Lösungen

In zwei Jahren will nach einer Erhebung der COMCO AG die Hälfte aller Unternehmen Network Access Control-Lösungen (NAC) zum Schutz ihrer Netzwerke im Einsatz haben. Danach bewerten 48 Prozent die Notwendigkeit von Zugangskontrollen für die Netzwerke als „sehr hoch“, weitere 30 Prozent als „hoch“. Friedhelm Zawatzky-Stromberg, Vorstand des Dortmunder Security-Spezialisten, nennt aus Praxissicht die wichtigsten Grundsätze für die technische Ausrichtung der NAC-Konzepte:

1. Pflicht zur zentralen Überwachung: Schutzmaßnahmen sind nur zentral sinnvoll, deshalb müssen das Security-Konzept und die NAC-Lösung auf eine Überwachung der gesamten Infrastruktur ausgerichtet sein. Vorteilhaft ist, wenn sie durch eine einzige Komponente für das komplette Netz erfolgt. Sie muss nach definierten Regeln die gesamten sicherheitsrelevanten Ereignisse empfangen und adäquat reagieren können.

2. Hardware-Überprüfung statt Benutzer-Authentifizierung: Eine Strategie der Hardware-Überwachung hat dabei gegenüber der Benutzer-Authentifizierung den Vorteil, dass der zentrale Anmeldeserver entfällt: Ist ein Gerät in der Adress-Datenbank nicht bekannt, sendet das System einen Alarm und isoliert das unbekannte Gerät mittels Portabschaltung vom Netzwerk.

3. Kontinuierliche Überprüfung: Die Lösung muss so konzipiert sein, dass die Überprüfung nicht ausschließlich beim ersten Anschluss an das Netzwerk erfolgt, sondern mit jedem Abfragezyklus. Manipulationen im Netzwerk, wie sie bei Lösungen auf IEEE 802.1x-Basis trotz einer erfolgreichen Authentifizierung noch möglich sind, lassen sich auf diese Weise erkennen.

4. Herstellerabhängigkeit vermeiden: Zu den wesentlichen Nachteilen der IEEE 802.1x-basierten Access Control-Lösungen gehört, dass bei dieser Ausrichtung die technischen Herstellerspezifikationen dieses Standards berücksichtigt werden müssen. Dadurch erschweren sich Veränderungen und Erweiterungen der Netzwerke und entstehen zwangsläufig auch höhere Kosten.

5. Eingriffe in die technische Infrastruktur vermeiden: Viele verwendete Authentisierungsverfahren erfordern, dass die Endgeräte entweder seitens des Betriebssystems oder mit einer speziellen Software für den Betrieb konfiguriert werden. Dadurch können sich Probleme bei älteren Geräten, Druckern, Handscannern etc. ergeben, weil sie sich nicht mehr umrüsten lassen. Als Folge entstehen verhältnismäßig hohe Implementierungskosten und vermeidbare Neuinvestitionen.

6. Kostengünstige Implementierung: Die NAC-Lösung sollte so angelegt sein, dass grundsätzlich eine zeitaufwändige Projektrealisierung vermieden wird. Voraussetzung schneller Implementierungen ist eine konzeptionelle Ausrichtung der Lösung als Management-Tool, welches technisch nicht in die Infrastruktur integriert werden muss.

7. Ressourcen schonender Betrieb: Da Access Control nur einen Aspekt der Security-Strategien darstellt und die Sicherheitsthematik wiederum nur ein Teilgebiet der Aufgaben im IT-Betrieb der Unternehmen oder Behörden darstellt, muss das System diesen Praxisbedingungen Rechnung tragen. Die Lösung muss sich deshalb mit Blick auf die Ressourcen und Betriebskosten als administrationsarm charakterisieren.

8. Keine Beeinträchtigung der Netzwerkleistung akzeptieren: Die Lösung muss technisch so konzipiert sein, dass es weder die Performance noch die Verfügbarkeit des Netzwerks beeinträchtigt. Selbst bei einem Ausfall des Access Control-Systems muss der Zugang zum Netzwerk weiterhin gegeben sein. In Umgebungen mit dem Standard IEEE 802.1x müssen die Anmeldesysteme hingegen immer erreichbar sein, da ansonsten keine Netzwerkanmeldung erfolgen kann.

9. Den Compliance-Anforderungen entsprechen: Die rechtlichen Anforderungen verlangen, dass die NAC-Lösung alle sicherheitsrelevanten Informationen transparent erfasst und als Reports dem Management zur Verfügung stellt. Selbstverständlich sollte sein, dass alle Security-Incidents mit einem Zeitstempel versehen und in der Datenbank revisionssicher dokumentiert werden.

10. Für flexible Skalierbarkeit sorgen: Das System muss in der Lage sein, die Wachstumsentwicklungen oder andere Veränderungen in der Unternehmensstruktur durch Fusionen etc. flexibel und ohne nennenswerten Projektaufwand bzw. hohen Investitionsaufwand abbilden zu können.

Darüber hinaus muss die Zukunftssicherheit der Lösung beachtet werden. Denn da sich die technischen Anforderungen an Access Control zwangsläufig kontinuierlich erweitern werden, bedarf es Lösungen, die in ihrer technischen Konzeption weit reichende Entwicklungsperspektiven bieten und aus mittelfristiger Sicht keine Migrationsbeschränkungen aufweisen.