NAC - die Firewall von morgen

Drei Initiativen beherrschen heute die Entwicklung der Netzwerkzugangskontrolle. Sie alle verfolgen unterschiedliche Konzepte:

- Das Cisco Network Admission Control Framework vereint als netzwerkbasiertes Compliance-Enforcement-Verfahren Sicherheitsrichtlinien in der Netzwerkinfrastruktur eines Unternehmens. Richtlinien werden auf Policy-Servern gespeichert und durch Router und Switches erzwungen: Ein Client-PC, der sich mit dem Netzwerk verbindet, meldet seinen Status an den Policy-Server. Nichtkonforme Rechner werden in Quarantäne gesetzt oder erhalten nur eingeschränkten Zugriff auf das Netzwerk. Cisco NAC eignet sich insbesondere für grosse Firmen, deren Netzwerke exklusiv aus Hard- und Software von Cisco sowie Cisco-NAC-kompatiblen Komponenten bestehen.

- Mit Network Access Protection (NAP) hat Microsoft eine Funktion in Windows Vista integriert, mit der sich Sicherheitsrichtlinien durchsetzen lassen. NAP setzt sich aus Client- und Server-basierten Komponenten zusammen, die Funktionen wie Policy-Konfiguration und Remediation durchführen. Die NAP-Sicherheitsrichtlinie besteht aus Enforcement- und Quarantäneeinstellungen. Die Plattform erzwingt dabei Anforderungen, denen alle Netzwerkrechner entsprechen müssen. Solange sie sich nicht aktualisieren lassen, erhalten nicht-konforme PCs nur limitierten Zugriff auf das Firmennetz. Für reine Microsoft-Umgebungen oder NAP-kompatible Produkte mag diese Technik eine gute Basislösung sein. In gemischten IT-Infrastrukturen stösst sie jedoch schnell an ihre Grenzen.

- Die Trusted-Network-Connect-Arbeitsgruppe (TNC) will den Unternehmen in dieser schwierigen Situation helfen. Denn weil die oben angeführten Konzepte bislang nicht interoperabel sind, müssen sich Firmen zwangsläufig auf eines festlegen. Ziel von TNC ist es, offene Industriespezifikationen für Netzwerksicherheit sowie international geltende plattform-, geräte- und herstellerneutrale Standards zu etablieren.

Wer in eine NAC-Lösung investiert, sollte eine offene Lösung wählen. Diese muss sich in bestehende Umgebungen integrieren und Anwendungen unterschiedlicher Hersteller überprüfen. So ist gesichert, dass sich etwa das Endpoint-Security-Produkt mit der Infrastruktur abspricht - unabhängig davon, welches NAC-Verfahren der fremde Switch oder die Appliance beherrscht.