Network Access Control - Sicherer Zugriff!

Das moderne Netzwerk ist ein komplexer Dschungel! Ein sehr aktuelles Thema ist Network Access Control (NAC), dessen Aufgabe es ist, den Anschluss von Geräten an ein Netzwerk zu erkennen, sie zu authentifizieren, deren Sicherheit und Integrität zu prüfen und im Falle eines Regelverstoßes vom Netzwerk zu isolieren.

NAC hat sich in den letzten Jahren stark entwickelt. Es gibt zwei unterschiedliche technische Lösungsansätze, welche von den Herstellern eingesetzt werden. Zum einen wird der Zugriff In-Line auf den Switchen mit 802.1x geregelt, zum anderen Out-of-Line durch Manipulation des Netzwerkverkehrs. Beide Techniken haben sowohl Vor- als auch Nachteile.
Die Hersteller haben inzwischen erkannt, dass der Markt die Möglichkeit der Kombination beider Techniken in einem Produkt fordert, um jeweils die Stäken beider Techniken auszunutzen. 

Konkurrenten sind im Bereich 802.1x Cisco (CNAC) und Juniper (UAC) - auf Grund ihrer hohen Marktanteile im Bereich Switche und Router. Die Hersteller, welche auf Out-of-Line Lösungen setzen, sind meist kleinere auf IT-Security spezialisierte Unternehmen. Zu nennen ist hier Forescout. Und Microsoft? Auch Microsoft bietet die Funktionalität Network Access Protection in Ihren Betriebssystemen, aber es werden Upgrades der meisten Betriebssysteme vorausgesetzt. Welche Probleme beim Upgrade von wenigen Servern auftreten, ist allgemein bekannt, ein komplettes Netzwerk auf den aktuellen Stand zu bringen …

NAC muss Änderungen in Echtzeit erkennen und sofort reagieren

Unserer Empfehlung nach sollten NAC-Produkte zur Erkennung von Endgeräten zwingend mehrere Methoden anwenden, um die Möglichkeit eines Unterlaufens zu verringern. Wenn ein Endgerät erkannt wird, muss das System in der Lage sein, alle relevanten Informationen aus dem Endgerät mit einem hohen Grad an Zuverlässigkeit - in Bezug auf die Richtigkeit - auszulesen. In jedem Fall sollte ein NAC erkennen, wenn über ein Wirtsystem virtualisierte Gastsysteme angeschlossen werden und dessen erlaubte Signatur "unterlaufen". Ein NAC sollte des Weiteren eine Netzwerkerkennung mitbringen, da es in Enterprise Netzwerken oft "unbekannte" bzw. nicht dokumentierte Netzwerke gibt. 

Ein weiteres wichtiges Kriterium bei der Auswahl einer NAC-Lösung ist das Vorhandensein von Schnittstellen für Ticketsysteme und Asset-Management-Datenbanken. Grundsätzlich ist festzustellen, dass ein gutes Netzdesign die Implementierung, die spätere Administration und das Troubleshooting vereinfacht und die Möglichkeit einer Umgehung des NAC erschwert. 

XXX ist am besten! Evaluieren mit System.

Im Hinblick auf die Menge der Anbieter, muss sich der Anwender zuerst bewusst machen, ob der Hersteller seiner Netzwerkgeräte Lösungen für Network Access Control bietet und er diese einsetzten will, oder ob er auf Unternehmen setzt, welche sich auf IT-Security spezialisiert haben und deren Tagesgeschäft Network Access Control  ist.

Eine enge Abstimmung von Server-, Desktop-, Netzwerk- und Security-Abteilung ist unerlässlich. Sind die Ziele und Anforderungen definiert, kann die Evaluierung der Lösungen beginnen. Wichtig: Betriebsmodell und notwendige Workflows sollten darin einfließen. Danach steht der erfolgreichen Einführung einer NAC-Lösung nichts mehr im Wege. 

Wir halten interessante Lösungen für Sie parat und helfen Ihnen gern die Evaluierungsphase zu effektivieren. Am besten Sie nehmen einfach Kontakt zu uns auf.