Sascha Pfeiffer ist NAC Business Development Manager bei Sophos.

Um ihre Wettbewerbsfähigkeit zu sichern, überdenken Firmen regelmässig ihre IT-Strategie. Aufgrund flexiblerer Arbeitsprozesse, dem zunehmenden Einsatz mobiler Endgeräte und neuer Kommunikationstechnologien lösen sich Netzwerkgrenzen auf. Die meisten Firmen arbeiten mit offenen Umgebungen: Mitarbeiter und Gäste erhalten Zugriff auf Daten von diversen Standorten aus. Der IT-Manager muss ihnen Zugang zum Netzwerk bieten und die Nutzung webbasierter Anwendungen wie Instant Messaging oder VoIP erlauben.

Dies bringt mehr Flexibilität und Produktivität, aber auch Risiken mit sich: Firewalls und Antivirenprogramme reichen heute nicht mehr aus. IT-Administratoren brauchen Unterstützung, um Systeme, Rechner und Daten vor Schadprogrammen und unberechtigten Zugriffen zu schützen. Nicht zuletzt, weil Unternehmen IT-Sicherheits- und Datenschutzregelungen nach SOX oder Basel II einhalten müssen.

Firmen müssen prüfen, wer sich im Netzwerk einloggt und ob alle angeschlossenen Rechner den geltenden Sicherheitsrichtlinien entsprechen. Dazu gehört die Kontrolle der Geräte auf Malware, Spam-Aktivitäten, E-Mail- und Datenschutzrichtlinien. Firmen sollten zudem individuell festlegen können, welche Websites oder Webanwendungen erlaubt sind. Möglich wird dies durch Kontrollmechanismen, wie Application Control und Network Access Control (NAC).

Die Idee von NAC: Jedes Endgerät im Netz wird einem «Gesundheitstest» unterzogen. Network Access Control überprüft, wer sich über welche Verbindung ins Netzwerk einwählt und ob das verwendete Endgerät den Sicherheitsrichtlinien entspricht. Dazu wird der Status der Hosts ermittelt - sowohl beim ersten Login als auch im laufenden Betrieb. Denn dessen Zustand kann sich aufgrund eines infizierten Downloads in kurzer Zeit dramatisch ändern.

Die Ergebnisse der Überprüfung werden an eine übergeordnete Validierungsinstanz geschickt, etwa an die Management- oder Policy-Plattform des Endpoint-Produkts. Diese übersetzt den Host-Zustand in Zugriffsrechte. Ist der Rechner integer, darf sein Nutzer auf alle ihm zugeteilten Ressour-cen zugreifen. Ist er es nicht, kommt er in einen isolierten Remediation-Bereich. Dort wird er für den User transparent und schnell repariert. Die Umsetzung der Policy übernimmt das Netzwerk im Hintergrund. Damit das Konzept funktioniert, müssen Endgeräte, Netzinfrastruktur sowie Authentifizierungs- und Autorisierungssysteme reibungslos interagieren.

Nicht alle Lösungen für NAC gehen gleich vor. So herrscht noch keine Einigkeit zwischen den Anbietern, was den Status eines Rechners ausmacht und wie er ermittelt werden soll. Einige wollen die Hosts über Agenten analysieren. Sie prüfen, ob die AV-Signaturen aktuell, alle nötigen Patches aufgespielt, die PC-Firewall und Host-IPS aktiviert sind und das System im richtigen IP-Subnetz verbunden ist. Das Problem: Wie handhaben Firmen Gastnutzer, die auf interne Ressourcen zugreifen sollen? Was geschieht mit Systemen wie Druckern, VoIP-Telefonen oder Embedded-Plattformen, für welche die Hersteller noch keine Agenten entwickelt haben?

Andere propagieren einen Appliance-Ansatz, der keinen Agenten erfordert, dafür aber ein Stück Code auf den Endpoint überträgt. Aber selbst das Applet braucht einen privilegierten Zugang zum Host. Stellt sich die Frage: Darf eine Firma diese Rechte bei Gastanwendern einfordern?

Viele Hersteller bieten komplette NAC-Lösungen oder Schlüsselkomponenten davon an. Hinter «NAC» verbergen sich aber teils unterschiedliche Systeme - von Tools zur Erkennung von Eindringlingen über authentifizier-te DHCP-Lösungen bis zu Netzwerk-Hardware und Security Suites. Dies führt zu Verunsicherung; Firmen vergleichen auf der Suche nach NAC-Angeboten oft Äpfel mit Birnen.

Heute gibt es hauptsächlich zwei Lösungen: Appliance- und Software-basierte Technologien. Eine Appliance-Lösung hat Router- oder Switch-Funktionalität und wird im Netzwerk als solche genutzt. Um firmenweiten Schutz zu gewährleisten, müssen einheitliche Lösungen angeschafft werden. Oft werden die Appliance-Technologien jedoch nur als VPN-Switches oder als 802.1X-Lösungen verwendet. Intern werden sie hingegen nicht eingesetzt. Flächendeckende Sicherheit im Unternehmen ist nicht möglich.

Beim Software-basierten Ansatz ist die NAC-Lösung in Sicherheitssuiten integriert, die sich selbst überwachen und durch Quarantänebereiche für eine Aktualisierung sorgen. Dies ist bei einem mehrstufigen Viren-schutzansatz wenig hilfreich und führt dazu, dass sich etwa Gastrechner nicht überprüfen lassen. Zudem müssen nicht nur Microsoft-Patches und Virenscanner überwacht werden, sondern auch andere Applikationen, welche die Firmen-Security gefährden könnten.

Drei Initiativen beherrschen heute die Entwicklung der Netzwerkzugangskontrolle. Sie alle verfolgen unterschiedliche Konzepte:

- Das Cisco Network Admission Control Framework vereint als netzwerkbasiertes Compliance-Enforcement-Verfahren Sicherheitsrichtlinien in der Netzwerkinfrastruktur eines Unternehmens. Richtlinien werden auf Policy-Servern gespeichert und durch Router und Switches erzwungen: Ein Client-PC, der sich mit dem Netzwerk verbindet, meldet seinen Status an den Policy-Server. Nichtkonforme Rechner werden in Quarantäne gesetzt oder erhalten nur eingeschränkten Zugriff auf das Netzwerk. Cisco NAC eignet sich insbesondere für grosse Firmen, deren Netzwerke exklusiv aus Hard- und Software von Cisco sowie Cisco-NAC-kompatiblen Komponenten bestehen.

- Mit Network Access Protection (NAP) hat Microsoft eine Funktion in Windows Vista integriert, mit der sich Sicherheitsrichtlinien durchsetzen lassen. NAP setzt sich aus Client- und Server-basierten Komponenten zusammen, die Funktionen wie Policy-Konfiguration und Remediation durchführen. Die NAP-Sicherheitsrichtlinie besteht aus Enforcement- und Quarantäneeinstellungen. Die Plattform erzwingt dabei Anforderungen, denen alle Netzwerkrechner entsprechen müssen. Solange sie sich nicht aktualisieren lassen, erhalten nicht-konforme PCs nur limitierten Zugriff auf das Firmennetz. Für reine Microsoft-Umgebungen oder NAP-kompatible Produkte mag diese Technik eine gute Basislösung sein. In gemischten IT-Infrastrukturen stösst sie jedoch schnell an ihre Grenzen.

- Die Trusted-Network-Connect-Arbeitsgruppe (TNC) will den Unternehmen in dieser schwierigen Situation helfen. Denn weil die oben angeführten Konzepte bislang nicht interoperabel sind, müssen sich Firmen zwangsläufig auf eines festlegen. Ziel von TNC ist es, offene Industriespezifikationen für Netzwerksicherheit sowie international geltende plattform-, geräte- und herstellerneutrale Standards zu etablieren.

Wer in eine NAC-Lösung investiert, sollte eine offene Lösung wählen. Diese muss sich in bestehende Umgebungen integrieren und Anwendungen unterschiedlicher Hersteller überprüfen. So ist gesichert, dass sich etwa das Endpoint-Security-Produkt mit der Infrastruktur abspricht - unabhängig davon, welches NAC-Verfahren der fremde Switch oder die Appliance beherrscht.

Was die Integration sowie Anpassung an bestehende Infrastrukturen und neue Anforderungen betrifft, hat ein rein Software-basierter Ansatz klare Vorteile. Dieser sollte mit den vorhandenen Appliances kommunizieren können, um sie in das Lösungskonzept zu integrieren. Gleichzeitig müssen auch alle gängigen Anwendungen und Virenscanner überwacht werden. Optimal ist eine Software-Lösung, die das Vorhandene nutzt, um ein Security-Konzept auf einfache Weise zu verwirklichen. Sie vergrössert im Idealfall die Fähigkeiten eines DHCP-basierten Enforcements, in dem sie Echtzeitbenachrichtigungen über MAC- und IP-Adressen liefert. So können Administratoren Massnahmen ergreifen, sobald sich ein unautorisierter Computer mit dem Netzwerk verbindet.

Lässt sich die Lösung mit netzwerkbasiertem Enforcement integrieren, können die Prozesse für bekannte und richtlinienkonforme Computer automatisiert werden. Reporting-Funktionen mit Berichten über Eindringlinge und gesperrte Endpoints sowie Alarminformationen sorgen für eine einfache Administration. Eine NAC-Lösung sollte das Netzwerk zudem passiv überwachen, ohne die laufende Netzwerkkommunikation zu stören. Auf unterster Ebene sollte sie ausserdem ARP (Address Resolution Protocol) kontrollieren. Denn selbst wenn sich ein Rechner dem DHCP- oder dem 802.1X-netzwerkbasierten Enforcement entzieht, kann er - ohne ARP zu nutzen - nicht mit dem Netzwerk kommunizieren und auch keine Infektionen verbreiten. Durch die Überwachung des ARP lässt sich somit jede IP-Kommunikation im Netzwerk erkennen sowie nicht-autorisierte Rechner identifizieren. Wird ein Eindringling entdeckt, kann der Administrator alarmiert werden.

Angesichts der steigenden Mobilität und zunehmenden Öffnung der Netzwerke lässt sich nur durch NAC gewährleisten, dass Unternehmen vor Computerwürmern & Co. geschützt bleiben. Aufgrund der noch fehlenden Standards sowie der teils schwammigen Unterscheidung verschiedener Systeme und Konzepte ist es für Unternehmen nicht immer einfach, die für sie passende Lösung zu finden. Ein Software-basierter Ansatz bietet hier die breitesten Einsatzmöglichkeiten.

Grundsätzlich gilt: Mit NAC lassen sich vorhandene Sicherheitskonzepte sinnvoll ergänzen - nicht ersetzen. Eine Sicherheitslösung inklusive Firewall, Antiviren- und Antispam-Software bleibt weiterhin unerlässlich. Sie sollte mit Endpoint-Richtlinien verwaltet und mit einer Funktion zur Applikationskontrolle ausgestattet sein, um Gefahren durch die Nutzung webbasierter Anwendungen wie Instant Messaging oder Peer-to-Peer-Tools entgegenzuwirken.