NAC - die Firewall von morgen

Was die Integration sowie Anpassung an bestehende Infrastrukturen und neue Anforderungen betrifft, hat ein rein Software-basierter Ansatz klare Vorteile. Dieser sollte mit den vorhandenen Appliances kommunizieren können, um sie in das Lösungskonzept zu integrieren. Gleichzeitig müssen auch alle gängigen Anwendungen und Virenscanner überwacht werden. Optimal ist eine Software-Lösung, die das Vorhandene nutzt, um ein Security-Konzept auf einfache Weise zu verwirklichen. Sie vergrössert im Idealfall die Fähigkeiten eines DHCP-basierten Enforcements, in dem sie Echtzeitbenachrichtigungen über MAC- und IP-Adressen liefert. So können Administratoren Massnahmen ergreifen, sobald sich ein unautorisierter Computer mit dem Netzwerk verbindet.

Lässt sich die Lösung mit netzwerkbasiertem Enforcement integrieren, können die Prozesse für bekannte und richtlinienkonforme Computer automatisiert werden. Reporting-Funktionen mit Berichten über Eindringlinge und gesperrte Endpoints sowie Alarminformationen sorgen für eine einfache Administration. Eine NAC-Lösung sollte das Netzwerk zudem passiv überwachen, ohne die laufende Netzwerkkommunikation zu stören. Auf unterster Ebene sollte sie ausserdem ARP (Address Resolution Protocol) kontrollieren. Denn selbst wenn sich ein Rechner dem DHCP- oder dem 802.1X-netzwerkbasierten Enforcement entzieht, kann er - ohne ARP zu nutzen - nicht mit dem Netzwerk kommunizieren und auch keine Infektionen verbreiten. Durch die Überwachung des ARP lässt sich somit jede IP-Kommunikation im Netzwerk erkennen sowie nicht-autorisierte Rechner identifizieren. Wird ein Eindringling entdeckt, kann der Administrator alarmiert werden.

Angesichts der steigenden Mobilität und zunehmenden Öffnung der Netzwerke lässt sich nur durch NAC gewährleisten, dass Unternehmen vor Computerwürmern & Co. geschützt bleiben. Aufgrund der noch fehlenden Standards sowie der teils schwammigen Unterscheidung verschiedener Systeme und Konzepte ist es für Unternehmen nicht immer einfach, die für sie passende Lösung zu finden. Ein Software-basierter Ansatz bietet hier die breitesten Einsatzmöglichkeiten.

Grundsätzlich gilt: Mit NAC lassen sich vorhandene Sicherheitskonzepte sinnvoll ergänzen - nicht ersetzen. Eine Sicherheitslösung inklusive Firewall, Antiviren- und Antispam-Software bleibt weiterhin unerlässlich. Sie sollte mit Endpoint-Richtlinien verwaltet und mit einer Funktion zur Applikationskontrolle ausgestattet sein, um Gefahren durch die Nutzung webbasierter Anwendungen wie Instant Messaging oder Peer-to-Peer-Tools entgegenzuwirken.