NAC - die Firewall von morgen
NAC - die Firewall von morgen
Anbieter sind geteilter Meinung
Nicht alle Lösungen für NAC gehen gleich vor. So herrscht noch keine Einigkeit zwischen den Anbietern, was den Status eines Rechners ausmacht und wie er ermittelt werden soll. Einige wollen die Hosts über Agenten analysieren. Sie prüfen, ob die AV-Signaturen aktuell, alle nötigen Patches aufgespielt, die PC-Firewall und Host-IPS aktiviert sind und das System im richtigen IP-Subnetz verbunden ist. Das Problem: Wie handhaben Firmen Gastnutzer, die auf interne Ressourcen zugreifen sollen? Was geschieht mit Systemen wie Druckern, VoIP-Telefonen oder Embedded-Plattformen, für welche die Hersteller noch keine Agenten entwickelt haben?
Andere propagieren einen Appliance-Ansatz, der keinen Agenten erfordert, dafür aber ein Stück Code auf den Endpoint überträgt. Aber selbst das Applet braucht einen privilegierten Zugang zum Host. Stellt sich die Frage: Darf eine Firma diese Rechte bei Gastanwendern einfordern?
Hard- und Software-Technologien
Viele Hersteller bieten komplette NAC-Lösungen oder Schlüsselkomponenten davon an. Hinter «NAC» verbergen sich aber teils unterschiedliche Systeme - von Tools zur Erkennung von Eindringlingen über authentifizier-te DHCP-Lösungen bis zu Netzwerk-Hardware und Security Suites. Dies führt zu Verunsicherung; Firmen vergleichen auf der Suche nach NAC-Angeboten oft Äpfel mit Birnen.
Heute gibt es hauptsächlich zwei Lösungen: Appliance- und Software-basierte Technologien. Eine Appliance-Lösung hat Router- oder Switch-Funktionalität und wird im Netzwerk als solche genutzt. Um firmenweiten Schutz zu gewährleisten, müssen einheitliche Lösungen angeschafft werden. Oft werden die Appliance-Technologien jedoch nur als VPN-Switches oder als 802.1X-Lösungen verwendet. Intern werden sie hingegen nicht eingesetzt. Flächendeckende Sicherheit im Unternehmen ist nicht möglich.
Beim Software-basierten Ansatz ist die NAC-Lösung in Sicherheitssuiten integriert, die sich selbst überwachen und durch Quarantänebereiche für eine Aktualisierung sorgen. Dies ist bei einem mehrstufigen Viren-schutzansatz wenig hilfreich und führt dazu, dass sich etwa Gastrechner nicht überprüfen lassen. Zudem müssen nicht nur Microsoft-Patches und Virenscanner überwacht werden, sondern auch andere Applikationen, welche die Firmen-Security gefährden könnten.
