Unsicher bleibt draussen

Unsicher bleibt draussen

25. Mai 2007 - Firmennetzwerke können von unsicheren Dritt-Geräten kompromittiert werden. Network Access Control (NAC) wirkt dem Problem entgegen.
Artikel erschienen in IT Magazine 2007/10

Unternehmensnetzwerke sind bekanntlich vielerlei Risiken ausgesetzt – und werden entsprechend geschützt. Allzu oft beschränkt sich der Schutz allerdings auf Bedrohungen von aussen, aus dem Internet. Mindestens ebenso gefährlich sind aber «innere» Bedrohungen, solche, die aus dem Intranet stammen. Zu denken ist hier beispielsweise an Notebooks von Kunden, Service-Technikern oder sogar Mitarbeitern, die typischerweise ausserhalb des eigenen Netzes genutzt, gelegentlich aber in dieses eingebunden werden. Wird ein solches Notebook ausserhalb des eigenen geschützten Netzes mit Malware kompromittiert, kann sich diese später ungehindert im eigenen Netz ausbreiten – die üblichen Schutzmassnahmen, von der Firewall bis zur Intrusion Prevention, greifen in diesem Fall nicht, da der Übergriff ja aus dem vermeintlich sicheren Intranet erfolgt.


Dem Problem versuchen zahlreiche Hersteller mit unterschiedlichen Ansätzen (und verschiedenen Namen dafür) Herr zu werden. Allen voran ist hier Microsoft zu nennen (Network Access Protection, das mit Windows Server 2008 «Longhorn» eingeführt wird), daneben Cisco (Network Admission Control), Checkpoint, Enterasys, HP, Juniper, McAfee, Sophos und rund 35 weitere Hersteller. Microsoft und Cisco haben sich darüber hinaus in einer Allianz zusammengeschlossen, um ihre Ansätze abzustimmen, und daneben gibt es die «Trusted Connect»-Arbeitsgruppe (TNC), in der mittlerweile über 160 Hersteller und Anbieter zusammengeschlossen sind und die an unabhängigen, offenen Standards arbeitet. Konkrete Ergebnisse gibt es aus der TNC bisher allerdings nicht


Das Problem an der Vielzahl an Lösungen ist nicht unbedingt, dass der potentielle Kunde nun die Qual der Wahl hat, sondern dass die Ansätze untereinander nicht interoperabel sind. Gleichzeitig werden mit Cisco-Netzwerk-Hardware und Microsoft-Betriebssystemen die Konzepte der beiden Anbieter quasi automatisch ins Unternehmensnetz implementiert, was die Situation nicht gerade vereinfacht. Ein Unternehmen steht damit vor der schwierigen Aufgabe, ungeachtet der systemimmanenten Probleme, auf die noch zu kommen sein wird, eine brauchbare Lösung zu finden.





Intranet mit limitiertem Zugriff


Einfaches Grundprinzip

Die Idee hinter Network Access Control ist denkbar simpel: Demzufolge wird jedes Endgerät (insbesondere natürlich die mobilen Geräte) im Netz einem kurzen Test unterzogen. Zu prüfen ist beispielsweise, ob etwa Betriebssystem und Anwendungssoftware auf dem jeweils aktuellsten Stand sind, ob sämtliche Patches installiert wurden, ob ein Virenscanner und andere Sicherheitsmassnahmen mitsamt aktuellen Signatur-Datenbanken implementiert sind und so weiter. Dieser Health-Check wird sowohl beim ersten Log-in durchgeführt als auch immer wieder im laufenden Betrieb, da sich der Status des Geräts beispielsweise beim Surfen im Web oder nach einem Download innert kürzester Zeit wesentlich ändern kann.
Laut Microsoft (deren Lösung hier als Beispiel fungiert; andere Ansätze funktionieren ähnlich) werden dabei die folgenden drei Aspekte adressiert:



- Gültigkeit von Netzwerkrichtlinien: Bei der Verbindungsaufnahme eines Notebooks mit dem Netz wird geprüft, ob sein gegenwärtiger Sicherheitsstatus die vom Administrator definierten Zugangsrichtlinien erfüllt. Geht es dabei bloss um die Überwachung, wird eine allfällige Richtlinienverletzung zwar protokolliert, der unsichere Rechner erhält aber dennoch Zugriff aufs Netz. Das System lässt sich aber auch so konfigurieren, dass ein Rechner bei einer Regelverletzung strikt isoliert wird und keinerlei Zugang erhält (Quarantäne).



- Erfüllung von Netzwerkrichtlinien: Der Administrator kann vorsehen, dass der gewünschte Sicherheitsstatus erzwungen wird. Unsichere Computer, die die geforderten Richtlinien nicht erfüllen, können während ihrer Isolierung im Quarantäne-Netzwerk eine Aktualisierung ihrer Sicherheitskonfiguration durchführen, um daraufhin Zugang zum Netzwerk zu erlangen. Dabei lassen sich mittels Ausnahmen unerwünschte Geräte definitiv ausschliessen.



- Netzwerkisolation: Erfüllen Rechner bei der Verbindungsaufnahme mit dem Unternehmensnetzwerk die geforderten Netzwerk­richtlinien nicht und werden deshalb als unsicher eingestuft, kann die Lösung diese Rechner automatisch isolieren. Dabei gibt es unterschiedliche Szenarien, die von der Überstellung in ein separates Quarantäne-Netzwerk über Zugriffsbeschränkungen lediglich auf eine einzelne Ressource bis hin zur Verweigerung jeglichen Zugriffs auf interne Ressourcen reichen. Ausserdem lässt sich ein Quarantäne-Netzwerk für Gast-PCs nutzen, die zwar keinerlei Berechtigungen für das Firmennetz besitzen, aber zumindest auf das Internet zugreifen dürfen.



All diese Massnahmen basieren technisch sowohl auf Server- als auch auf Client-Komponenten; damit kann laut Microsoft der Zugang zum Unternehmensnetzwerk sowohl für verwaltete und unverwaltete Rechner – Firmen-PCs und -Notebooks ebenso wie private Mitarbeiter- und Gast-Rechner – als auch beim Remote-Access problemlos und präzise gesteuert werden.
Andere Hersteller arbeiten mit einem «Client-losen» Ansatz. Dabei handelt es sich allerdings um einen Etikettenschwindel, denn selbst wenn eine Lösung ohne einen «richtigen Client» auskommt, muss doch wenigstens ein kleines Stück Software auf den fremden Rechner gebracht werden.
Nicht zuletzt gibt es von einigen Herstellern auch NAC-Appliances. Diese versprechen eine schnelle und saubere Lösung ohne aufwendige Installation und Konfiguration, können dieses Versprechen in der Praxis aber auch nur bedingt einlösen.

 
Seite 1 von 3

Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER