Network-Access-Control: Sicherheit und Netzwerkverwaltung:
Wie sich Netze mithilfe von Network-Access-Control sicher machen lassen

von Bernd Reder (bernd.reder@networkcomputing.de), Markus Nispel

Share
01.08.2008

Auf der einen Seite sollen Endgeräte sicher in ein Netz eingebunden werden. Auf der anderen Seite fürchten Administratoren, dass durch eine Network-Access-Control das Management des Netzes noch komplizierter wird. Doch das muss nicht sein, wenn man einige Grundregeln beachtet.

Getrieben von Forderungen nach der Zugangskontrolle direkt am Netzwerk-Eingang für Mitarbeiter, Gäste und alle anderen Geräte eines Unternehmens, gewinnt Network-Access-Control, kurz NAC, immer mehr an Bedeutung. Und auch die Sicherheit von Endgeräten ist dabei kontrollierbar.

Neben den organisatorischen Anforderungen in der Planung und Konzeption wird aber immer wieder das Thema Betriebskosten heiß diskutiert. Wie bei allen Sicherheitsthemen sehen die meisten Anwender diese Themen diametral zueinander stehend. Dies belastet natürlich zunächst den Business-Case für NAC.

Jedoch ist auch schon in ersten Implementierungen zu sehen, dass eine optimale Technologie-Auswahl bei NAC sowie eine saubere Einbindung in bestehende Workflows das Netzwerkmanagement sogar vereinfachen kann. Das heißt ein positiver Beitrag für den NAC-Business-Case kann dargestellt werden. Offene Schnittstellen sind dabei ein wichtiger Aspekt.

Hierbei kann generell in folgende Bereiche gegliedert werden:

  • Nutzer- und Endgeräteerfassung mit Nachverfolgung,
  • optimale Nutzung bestehender Unternehmensdaten,
  • automatische Konfiguration der Netzkomponenten bei add/move/changes der Endgeräte,
  • User-Helpdesk-Unterstützung sowie
  • automatisierte Angriffsanalyse und Reaktionen.

Nutzer- und Endgeräte-Erfassung mit Nachverfolgung

Viele Anwender möchten zunächst einmal nur wissen, wer und was überhaupt an ihrer Infrastruktur angeschlossen wird.

Das heißt ein »Asset Discovery« und ein entsprechendes Tracking von Geräten sind Funktionen, die man durch den Einsatz einiger NAC-Lösungen wie bei Enterasys [1]automatisch mitgeliefert bekommt.Doch unabhängig vom Anbieter sollte der Anwender darauf achten, dass ein Network-Access-Controll-System eine solche Funktion bereitstellt.

Gravierende Unterschiede gibt es bei den einzelnenen Lösungen, was die Detailtiefe und die Möglichkeiten betrifft, auf diese Daten zuzugreifen. Typischerweise ist dies auch notwendig, um überhaupt abschätzen zu können, was passiert, wenn man eine NAC-Lösung »scharf« schaltet.

Darauf aufbauend wird oft eine Trennung von Gästen und eigenen Mitarbeitern mit vom Unternehmen gemanagten Desktops und Laptops sowie sonstigen Geräten wie VoIP-Phones, Überwachungskameras und sonstige Facility-Management-Geräte durchgeführt.

Verknüpfung mit Kerberos

Eine interessante Erweiterung von Standardinformationen bietet eine Verknüpfung mit Kerberos an. Bei der Authentifizierung von Nutzern in einer Microsoft-AD-Umgebung ist dies Standard.

Hierbei ist ohne netzbasierte Authentifizierung wie 802.1x dennoch die Möglichkeit gegeben, den am System angemeldeten Benutzer zu erfassen und in der NAC-Datenbank abzulegen. Diese Information wird von den Netzkomponenten (NAC-Controllern) mit protokolliert und kann später auch nochmals intensiv weiter verwendet werden – siehe »Automatisierte Angriffsanalyse und Reaktionen«.

Allerdings ist bei diesem Erfassen von personenbezogenen Informationen das Thema Datenschutz zu berücksichtigen. Daher sollte ein Unternehmen, das eine solche Lösung implementiert, im Vorfeld den Betriebsrat mit einbeziehen.

Neue Geräte werden automatisch erkannt

Die Passwort-Informationen werden zwischen Client und Server verschlüsselt ausgetauscht, der Nutzername ist jedoch nicht verschlüsselt. Damit gehört das Suchen nach (neuen) Geräten im Netz der Vergangenheit an.

Diese werden automatisch erfasst und auch Bewegungen erkannt und dokumentiert. Eventuell können die speziell für diese Anwendung beschafften Tools abgeschaltet werden.

Weiterhin verringert sich auch die Zeit beim Troubleshooting beziehungsweise am Helpdesk. Der Grund: Die Nutzerinformation ist direkt mit eingebunden. Damit entfallen lästige Mehrfachabfragen, um die Gerätedaten eines Nutzers zu bekommen, nach dem Erstkontakt mit dem Nutzer.

NAC für sehr kleine Außenstellen ist ebenfalls wesentlich einfacher zu implementieren, wenn man nicht versucht, für fünf Mitarbeiter in einem Vertriebsbüro ohne physikalischen Zugriffsschutz auf die Netzkomponenten eine NAC vor Ort auszurollen. Dies wird typischerweise zentral erledigt und kann dennoch agentenlos (in Bezug auf den Client) sein.

Optimale Nutzung bestehender Unternehmensdaten

Ausgangspunkt für die Nutzung und den Austausch von Daten zwischen der NAC-Lösung und anderen Unternehmensdatenbanken sind offene Schnittstellen. Hierbei hält auch der Service-Oriented-Architecture-Gedanke (SOA) Einzug.

Er propagiert eine Aufteilung von monolithischen Applikationen mit mehrfach vorhandenen identischen Funktionen, wie etwa Nutzerverwaltung, in flexible, modulare Applikationen.

Diese »unterhalten« sich dann untereinander über sogenannte Web-Services, um die jeweils benötigen Daten von den dafür zuständigen Applikationen zu bekommen. Es kommt seit längerem nun XML in Verbindung mit der Interface-Beschreibung durch die Web-Services-Description-Language (WDSL) zum Einsatz.

Der Einsatz von Web-Services als NAC-Management-Interface bietet vielfältige Möglichkeiten, um zuvor ermittelten Endgerätedaten mit statischen Inventar- und Nutzerdatenbanken im Unternehmen automatisch auszutauschen und zu synchronisieren.

Ein weiterer Anwendungsfall ist die Verknüpfung mit VoIP-Management-Systemen zum Zwecke der Inventarisierung, Überwachung, Konfiguration von Netz und Endsystemen.

Zudem lassen sich auf diese Weise Presence/Location-basierte Dienste wie E.911 (Notruflokalisierung) einbinden oder Anzeigen am Endsystem individuell anpassen, etwa welcher Kollege in einem Gebäude oder auf einer Etage als Ersthelfer ausgebildet wurde.

Die Daten werden ereignisgetriggert zwischen beiden Systemen synchronisiert. Daher ist die NAC-Lösung sogar immer über die aktuell am Telefon gültige Rufnummer informiert, was wiederum für das Troubleshooting beziehungsweise das Suchen nach bestimmten Geräten hilfreich ist.

Assessment mit und ohne Agenten

Ein ganz anderer Anwendungsfall für die Nutzung bestehender Daten im Unternehmen ist die Überprüfung der Endgeräte als Teil des NAC-Prozesses, das sogenannte Assessment. Man kann hier generell agentenbasierte und agentenlose Assessment-Optionen unterscheiden. Innerhalb der Optionen wiederum ist eine Unterteilung wie folgt möglich.

  • Agentenbasiert: Ein permanenter Agent, der meist noch weitere Funktionen realisieren kann. Hier findet man die Microsoft-NAP (Network-Access-Protection) und auch die TCG-Trusted-Network-Connect-Lösung (TNC) aber auch viele andere, die aus Personal-Firewalls, Host-Intrusion-Prevention-Systemen und Antivirus-Produkten hervorgegangen sind.
  • Agentenbasiert: Ein temporärer (dissolving) Agent, der entweder als Applet geladen wird oder sich bis zum nächsten Reboot als Programm installiert.
  • Agentenlos: Durch einen Vulnerability-Assessment-Scanner (VA). Hier gibt es eine Reihe von Produkten am Markt. Die NAC-Lösung sollte verschiedene VA-Scanner integrieren können.
  • Agentenlos: Im Post-Connect-Bereich die Möglichkeit, das Verhalten des Endsystems via Intrusion-Detection-Technologien auf der Basis von Signaturen und Anomalien des Verkehrs ausgehend von einem Endgerät zu überwachen.


Man kann aber auch agentenlos arbeiten, indem man bestehende Informationen aus Softwareverteilungssystemen oder bereits vorhandenen Vulnerability-Assessment-Scannern nutzt und diese integriert. Dies kann man ebenfalls durch Web-Services-Schnittstellen im Assessment-Bereich erreichen.

Da es schier unmöglich ist, alle auf dem Markt vorhandenen Lösungen in diesem Bereich zu unterstützen, bietet beispielsweise Enterasys eine eigene Assessment-API, die es beim Kunden möglich macht, bereits vorhandene Lösungen zu integrieren. Dies kann durch Professional-Services des Herstellers oder qualifizierter Partner erfolgen.

Wichtig ist, dass nicht nur die Events der bereits implementierten Systeme gelesen und interpretiert werden, sondern auch die Steuerung der Scans erfolgen kann.


Automatische Konfiguration der Netzkomponenten


Das beschriebene Konzept der Kopplung von VoIP-Systemen und NAC sowie der automatischen Autorisierung, die natürlich auch Quality-of-Service-Parameter beinhalten sollte, kann bei einer NAC-Lösung auf alle Endgeräte ausgeweitet werden.

Nach der Authentifizierung und dem optionalen Assessment, dem Überprüfen der Geräte im Hinblick auf Schwachstellen und deren Konfiguration, kann sofort die gleiche Autorisierung (= Policy) an jedem Ort der Infrastruktur verfügbar gemacht werden.

Der Vorteil liegt auf der Hand: Das Konfigurieren des Netzes von Hand entfällt, wenn auch nicht das Herumtragen der Endgeräte.

Eine weitere Anwendung für diese Funktionen findet sich im Bereich Servervirtualisierung. Dort machen sich derzeit Fachleute viele Gedanken um Themen wie Mobility und adaptive Netzwerkkonfiguration. Ein Datenbank-basiertes NAC-Managementsystem stellt zudem die historischen Umzugsdaten zur Verfügung.

Unterstützung des User-Helpdesks

Was muss man nun beachten, wenn ein System im Rahmen eines NAC-Prozesses in Quarantäne kommt?

Zum einen sollte die Last im Support durch die Einführung einer NAC-Lösung nicht ansteigen. Das läss sich nur erreichen, wenn Probleme, etwa durch fehlende Patches oder falsche Firewall-Einstellungen, weitgehend automatisch behoben werden.

Die Prozesse, die bei Network-Access-Control anfallen.

Bei gemanagten Desktops mit Agenten ist dies »relativ einfach« mit der Verknüpfung eines Patchmanagement-Systems möglich, auf das Zugriff auch in der Quarantäne besteht.

Self-Remediation entlastet Support-Abteilung

Eine universelle Funktion ist die Umleitung auf eine sogenannte Remediation-Webpage. Dort findet der Anwender Hinweise, wie er Fehler beseitigen kann. Außerdem führt ihn die Web-Seite Schritt für Schritt durch dieses Prozedere (Self-Remediation).

Bei agentenbasierten Assessment-Optionen gibt es oft eine Auto-Remediation-Funktion, die es erlaubt, automatisch nicht vorhandene, aber erforderliche Prozesse auf einem System zu starten. Der Ablauf dafür sollte jedoch klar definiert sein. Außerdem ist es empfehlenswert, die Anwender mit einzubeziehen.

Gastzugriffe richtig verwalten

Häufig wird NAC auch zur Implementierung von Gastzugriffslösungen genutzt.

Um der Administration von Gäste-Accounts aus dem Weg zu gehen, verzichten viele Unternehmen darauf, eine solchen Netzzugriff einzurichten. Das andere Extrem sind komplizierte Abläufe, in die auch die Rezeptionist(in)en oder das Wachpersonal eingebunden werden.

Eine einfachere Variante ist das Sponsoring, sprich das Freischalten eines Gastzugangs bei Bedarf durch einen Mitarbeiter. Sponsoring erlaubt es der IT-Abteilung, die Verwaltung von Gästen »in die Fläche« zu den Mitarbeitern zu bringen.

Das heißt, auch hier entsteht kein Mehraufwand. Trotzdem ist ein hohes Maß an Sicherheit und Nachvollziehbarkeit gegeben, weil der Sponsor als Mitarbeiter des eigenen Unternehmens mit erfasst wird und nur er den Gastzugang freischalten kann.

Automatisierte Angriffsanalyse und Reaktionen

Die Überprüfung des Clients vor Anschluss an die Infrastruktur und auch dessen regelmäßige Prüfung löst nur einen Teil des Sicherheitsproblems. Denn auch ein völlig konformes Endsystem kann nicht autorisierte Aktionen in der Infrastruktur vornehmen.

Solche Aktivitäten muss das NAC-System erkennen und im selben Prozess unterbinden können wie die Identifikation eines Problems bei beziehungsweise vor Anschluss an die Netzwerk-Infrastruktur. Diese Funktion heißt Post-Connect-Assessment.

Bevor jedoch ein Endgerät in Quarantäne gesteckt wird, das bereits authentifiziert und autorisiert wurde, müssen möglichst viele Informationen über das System und seine Aktivitäten gesammelt werden. Diese Daten müssen automatisch verarbeitet werden.

Ein Nachweis von bestimmten Ereignissen ist schon aus Compliance-Gründen vorgeschrieben. Es bietet sich daher an, diese Funktion mit der Network-Access-Control zu verbinden.

Das Resultat ist eine Art »Intrusion-Response«, also die Verbindung eines Security-Monitoring-Tools mit einer Infrastrukturlösung.

SIEM hilft bei Datenauswertung

Um von den schier endlosen Logdaten und sonstigen relevanten Ereignissen, die ein Endsystem hervorruft, nicht erschlagen zu werden, ist der Einsatz eines Security-Information-and-Event-Management-Systems, kurz »SIEM«, sinnvoll. Dieses adressiert die Forderung nach Compliance-Reporting, Log-Files-Analyse und Intrusion-Detection.

Es bietet aber zusätzlich die Möglichkeit, auf sicherheitsrelevante Ereignisse adäquat zu reagieren. Entweder vollautomatisch, halbautomatisch oder manuell, wobei die Aktionen dann durch einen einfachen Klick direkt ausgelöst wird.

Fazit

Sicherheit und effektives Netzmanagement müssen sich nicht zwanglsäufig unvereinbar gegenüber stehen. Mit der richtigen Lösung auf der Basis offener Schnittstellen sowie der intelligenten Integration in bestehende oder neue Workflows kann eine NAC-Lösung einen wesentlichen Beitrag zur Verringerung der Betriebskosten leisten.

Noch ein Tipp: Enterasys hat eine kostenlose Broschüre zum Thema NAC herausgegeben. Details dazu finden Sie im Beitrag »Kostenloser Guide zu Network Access Control« in der Liste der verwandten Artikel unten.

Markus Nispel ist Director Solution Architecture bei Enterasys. Er ist unter folgender E-Mail-Adresse zu erreichen: markus.nispel@enterasys.com [2]

[1] http://www.enterasys.com
[2] markus.nispel@enterasys.com

Verwandte Artikel