Unternehmen haben Bedarf.:
Thema der Woche: Network-Access-Control
Die Frameworks für »Network-Access-Control« (NAC) werden schrittweise verfeinert. Entsprechende Standards hat die Trusted-Network-Connect-Gruppe (TNC) formuliert und festgezurrt. Bradford, Cisco, Juniper, Sophos und Symantec nehmen Stellung zu NAC.
Network Computing: Wie viele NAC-Projekte haben Sie bereits weltweit und in Deutschland umgesetzt, und welche Zuwächse erwarten Sie für dieses Jahr?
Jürgen Joswig, Director-of-Operations Bradford NAC EMEA, Geschäftsführer von Fischer Network
Jürgen Joswig, Director-of-Operations Bradford [1] NAC EMEA, Geschäftsführer von Fischer Network [2]: Bradford hat weltweit mehr als 400 NAC-Installationen durchgeführt. In Deutschland kommt der NAC-Zug jetzt ins Rollen. Immer mehr Organisationen haben NAC im Fokus, um den Zugang für Gäste und Dienstleister zu verwalten, Regeln durchzusetzen und durch Aufwandsreduzierung den ROI früher zu erreichen.
Georg Weltmaier, SE-Manager Enterprise Central- & Eastern-Europe bei Juniper Networks [3]: Wir sehen weltweit genauso wie in Deutschland eine stark wachsende Zahl von NAC-Projekten. Mittlerweile haben die meisten Unternehmen erkannt, dass die größte Bedrohung bei der steigenden Anzahl von mobilen Mitarbeitern und Gastzugriffen auf das Unternehmensnetzwerk häufig nicht von außerhalb des Firmennetzes kommt.
Sascha Pfeiffer, Principal-Security-Consultant bei Sophos [4]: Weltweit haben wir schon jetzt mehr als 100 Installationen in Produktionsnetzen abgeschlossen. Wir erwarten daher nun auch insbesondere in Deutschland einen starken Zuwachs der Nachfrage.
Network Computing: Welches Konzept empfehlen Sie Kunden, die NAC sanft und schrittweise implementieren wollen?
Guido Sanchidrian, Produkt-Marketing-Manager E/ME/A bei Symantec
Guido Sanchidrian, Produkt-Marketing-Manager E/ME/A bei Symantec [5]: Grundsätzlich ist es möglich, erst einmal alle Endgeräte generell auszuschließen und nur bestimmte Endgeräte zuzulassen (so genanntes Whitelisting oder Bottomup-Methode). Alternativ geht es, die meisten Geräte zuzulassen, aber gewisse Szenerien und Zustände abzublocken (Blacklisting oder Top-down-Methode). Die zweite Methode eignet sich dabei eher für eine schrittweise Implementierung.
Weltmaier: Wir empfehlen Zugriffskontrollen auf Layer 3, denn so muss nicht gleich das gesamte Netz 802.1x unterstützen. In dem Fall wird ein Client per Host-Check geprüft, sobald er auf bestimmte Anwendungen oder Subnetze zugreift. Danach ist er nur für die Dauer der Session freigeschaltet. Dies lässt sich ohne großen Aufwand einführen.
Pfeiffer: Zuerst reines Reporting über eigene Ressourcen und darüber, wer sich als Gast im Netz befindet. In Phase zwei werden diese ausgewertet und die IT-Strukturen angepasst. In Phase drei werden Enduser einbezogen, indem sie Mitteilungen auf ihrem Endpoint erhalten. In Phase vier passt die Firma eigene IT-Konzepte an und bereitet die Quarantäne vor. Am Ende steht die Nutzung dieser Option für eigene und fremde Geräte.
Network Computing: Welche typischen Fehler haben Sie in der Praxis bei der Konzeption von NACProjekten beobachtet?
Georg Weltmaier, SE-Manager Enterprise Central- & Eastern-Europe bei Juniper Networks
Weltmaier: Die größten Schwierigkeiten treten bei dem Versuch auf, eine NAC-Lösung einzuführen, die nicht auf Standard-Protokollen und -schnittstellen basiert. In der Praxis führt das oft zu Kompatibilitätsproblemen mit Produkten anderer Hersteller.
Pfeiffer: Viele nehmen das Wort Quarantäne und Automatismen schnell in den Mund, ohne sich aber über die organisatorischen Konsequenzen im Klaren zu sein. NAC greift zwangsläufig in Prozesse ein.
Sanchidrian: NAC ist kein »Click-and-Run-Produkt«. Unternehmen müssen sich vorher über Ziele, Netzwerk-Komplexität und die Richtlinen Gedanken machen, die durchgesetzt werden sollen. Oft bringt ein »Proof of Concept« – also eine Evaluierung der Lösung in einem Teilbereich des Netzwerks – Klarheit über die Auswirkungen und die Erreichbarkeit der gesteckten Ziele.
Network Computing: Welche Funktionen sollten Kunde und Reseller bei einer NAC-Lösung unbedingt evaluieren?
Thomas Boele, Technical-Marketing-Manager bei Cisco
Thomas Boele, Technical-Marketing-Manager bei Cisco [6]: Sichere Authenfizierung von Geräten und Usern, Durchsetzung der Policies in der gesamten IT-Infrastruktur über alle Endgeräte und Zugangstechnologien hinweg; Quarantäne nichtkonformer Geräte und Wiederherstellung durch Software-Updates, gegebenenfalls Clean-Up-Maßnahmen; ein umfassendes, einfach zu handhabendes Richtlininenmanagement sowie ein hoher Automatisierungsgrad der Prozesse.
Joswig: Unternehmen sollten eine NAC-Lösung wählen, die die bereits getätigten Security-Investitionen effizient integriert und unterstützt. Bei der rasanten Entwicklung und Verbreitung drahtloser Technologien ist darauf zu achten, dass Wireless und VPN verschiedenster Hersteller unterstützt werden.
Sanchidrian: Wichtig ist, dass das Endgerät solange isoliert bleibt, bis seine Prüfung abgeschlossen und entschieden wurde, was mit ihm geschehen soll. Der auf Agenten basierende Ansatz ist bei der Durchsetzung von Richtlinien meist ausgefeilter als das On-Demand-Konzept, denn der Agent besitzt meist Administratorrechte. Er kann daher beispielsweise Patches installieren oder Einstellungen ändern.
Network Computing: NAC setztWissen auf Netzwerk- und Security-Seite voraus.Wie wird sich dies auf die Channel-Strukturen auswirken?
Sascha Pfeiffer, Principal-Security-Consultant bei Sophos
Pfeiffer: Richtig ist, dass NAC nicht von jedem Channel-Partner in der gleichen Weise betreut werden kann. Mit »Sophos NAC Advanced« adressieren wir Partner, die sowohl im Netzwerk- als auch im Endpoint-Bereich Erfahrung besitzen. Auch unsere bestehenden Endpoint-Partner führen wir an NAC heran, sowohl mit Trainings als auch mit Hilfe unserer neuen Lösung. Sie verbindet erstmals Endpoint-Security und NAC auf einfache Weise miteinander.
Joswig: Wir arbeiten mit Resellern zusammen, die vorrangig Netzwerkwissen besitzen. Da unsere Lösung vom Endpunkt bis zum Core die gesamte Infrastruktur umfasst, ist es unerlässlich, dass unsere Partner die LAN-Themen beherrschen. Wir haben festgestellt, dass solche Reseller meist auch den Security-Aspekt für Netzwerke abdecken.
Boele: Cisco legt seit jeher großen Wert auf die Ausbildung der Partner und bietet ein umfassendes Zertifizierungsprogramm. So gibt es auch für den Bereich Security Spezialisierungsangebote. Der Kunde hat die Möglichkeit, sich den richtigen Partner mit dem benötigen Wissen für seinen IT-Betrieb und seine Projekte herauszusuchen.
Weiterführende Informationen zu NAC
Noch Hinweise für Leser, die mehr zum Thema Network Access Control wissen möchten: Wer sich auf dem Gebiet NAC weiterbilden möchte, findet im Seminar-Shop von Network Computing [7] eine Reihe von Angeboten - von Veranstaltungen für Einsteiger bis hin zum Profi-Workshop.
Im White-Paper-Bereich [8] von Network Computing ist unter anderem ein Beitrag von Juniper Networks [9] vorhanden, der in die Implementierung von NAC einführt.
Auf www.networkcomputing.com [10] hat unser US-Kollege Mike Fratto die Resultate einer Umfrage [11] zum Thema "Einsatz von NAC in Unternehmensnetzen" veröffentlicht.
Ebenfalls auf der Web-Seite von TechWeb/Network Computing finden Sie eine eigene Rubrik [12] zum Thema NAC.
[1] http://www.bradfordnetworks.com/
[2] http://www.fischer-network.de/
[3] http://www.juniper.net/
[4] http://www.sophos.de/
[5] http://www.symantec.de/
[6] http://www.cisco.de/
[7] http://muc.networkcomputing.de/seminarshop_nwc/weiterbildung.php?MAIN_MODULE=sucher&LEVEL=1&channel=offen&su_mod=1&suchbegriff=Network+Access+Control&dates_from_country=&dates_till_day=6&dates_till_month=5&dates_till_year=2008)
[8] http://muc.networkcomputing.de/whitepaper/
[9] http://muc.networkcomputing.de/whitepaper/index.php?sec=whitepaper&id=25&from=search,,,Zugangskontrolle
[10] http://www.networkcomputing.com
[11] http://www.networkcomputing.com/channels/security/showArticle.jhtml?articleID=207402978
[12] http://www.networkcomputing.com/immersion/nac/
- 1. Seite: Thema der Woche: Network-Access-Control
- 2. Seite: Thema der Woche: Network-Access-Control (Fortsetzung)
- 3. Seite: Thema der Woche: Network-Access-Control (Fortsetzung)
- 4. Seite: Thema der Woche: Network-Access-Control (Fortsetzung)
- 5. Seite: Thema der Woche: Network-Access-Control (Fortsetzung)
» Newsletter abonnieren
Täglich aktuelle News und Hintergründe für Fachhändler, ITK-Hersteller, Distributoren und aus der Online-Welt.
» Tipp der Redaktion
Acer rockt die Eifel
Rund um den Nürburgring dröhnten einmal nicht die Rennmotoren: Beim Acer Kick-off 2012 brachten stattdessen Bässe und Gitarrensoli die Eifel zum Wackeln. Über 600 Acer-Partner rockten zum Ausklang des Partner-Events im Eifel Stadl zu Live Musik oder ließen sich im Rockstar-Outfit fotografieren.
Die besten Multifunktions-Farblaser ab 300 Euro
Im Gegensatz zu den ultrabilligen Tintenstrahl-Einsteigerdruckern, die oft schon unter 100 Euro zu haben sind, sollte die Investition in einen Multifunktions-Laserdrucker schon etwas besser überlegt sein. Wir sagen Ihnen, welcher Laser sich besonders für welchen Zweck lohnt.
Cisco zurück auf Wachstumskurs
Cisco ist zurück auf der Überholspur. Nach einem radikalen Stellenabbau und einer stärkeren Fokussierung hat der Netzwerkriese im zurückliegenden Quartal sowohl Umsatz als auch Gewinn deutlich ausgebaut.
» Bilderstrecken
» Meistgelesene News
Ist Ihrer auch zu breit?
Die linke Fahrspur ist in vielen Autobahn-Baustellen nur für Fahrzeuge mit maximal zwei Meter Breite zugelassen. Jetzt warnt der ADAC: 67 Prozent der Neuwagenmodelle sind breiter als zwei Meter! Wer nicht nachmisst, riskiert ein Bußgeld.
Chefs versagen im zwischenmenschlichen Umgang
Vielen Führungskräften fehlt es an Empathie im Umgang mit ihren Mitarbeitern und sie erfüllen ihre Aufgaben nicht effektiv. Zu diesem ernüchternden Ergebnis kommt eine Studie des Beratungsunternehmens Development Dimensions International (DDI).
» Bundesliga-Tippspiel 2011
