Schwerpunkte

Kein Königsweg

Network-Access-Control-Ansätze: Die Qual der Wahl

23. April 2009, 16:21 Uhr   |  Werner Veith

Network-Access-Control-Ansätze: Die Qual der Wahl

Die verschiedenen Prozesse innerhalb von NAC (Network-Access-Control) sind Erkennen/Lokalisieren/Authentifizieren, Assessment, Autorisierung, Remediation und Monitoring. (Quelle: Comco)

Das Netz wird immer mehr zu einer Lebensader, deshalb es gut den Zugang mit Network-Access-Control vor Fremden zu schützen. Aber es gibt verschiedene Technologien. Comco liefert eine Analyse der wichtigsten Ansätze.

Besucher in einem Unternehmen müssen sich anmelden, vielleicht ihren Personalausweis hinterlegen oder dürfen sich eventuell nur mit Begleiter im Betrieb bewegen. Nur im Netzwerk ist es oft anders. Besucher können etwa beliebige Netzwerkdosen benutzen und auf Erkundungstour im LAN gehen. Damit dies nicht passiert, gibt die Network-Access-Control (NAC). Allerdings existieren sehr verschiedene Methoden von Einsatz vom 802.1x mit Radius bis zu Kerberos-Snooping. Comco hat diese Verfahren einer Bewertung unterzogen. Die aufwändigste und sicherste Technologie ist dabei 802.1x.

Für Comco gehören zu den wichtigsten technischen Ansätzen, 802.1x mit Radius, MAC-, Web-Authentifizierung, statische Port-/MAC-Zuordnung, dynamische Zuteilung von Port/MAC-/IP-Adresse mittels SNMP und Kerberos-Snooping.

Als sicher bewertet Comco 802.1x. Hierbei bekommt der Client erst dann einen Zugang zum Netzwerk, wenn er sich am Switch-Port authentifiziert hat. Leider beherrschen nicht alle Endgeräte dieses Verfahren. Zum anderen implementieren die Switch-Hersteller dieses nicht einheitlich. Nicht besonders geeignet hält Comco 802.1x für einen unternehmensweiten Einsatz bei einer heterogenen Infrastruktur.

Wenig Schutz bietet dagegen eine MAC-Authentifizierung. Es gibt etwa diverse Programme mit dem ein Nutzer einem Netzwerk-Interface eine beliebige MAC-Adresse verpassen kann. Aufwand und Kosten liegen jedoch im mittleren Bereich. Hier überprüft ein Radius-Server anhand der MAC-Adresse, ob ein Client berechtigt ist, bevor er den Port öffnet. Bei älteren Geräten ist eine MAC-Überprüfung oftmals die einzige Möglichkeit, diese überhaupt zu kontrollieren.

Seite 1 von 2

1. Network-Access-Control-Ansätze: Die Qual der Wahl
2. Network-Access-Control-Ansätze: Die Qual der Wahl (Fortsetzung)

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Günstige Einreisekontrolle mit Dual-Band-Router für 11n von D-Link
D-Link-Switches unterstützten Microsofts NAP-Technik
Kostenloser Leitfaden zum Thema »Sicherer LAN-Zugang«
Details zu Release 2 für Windows-Server 2008
Thema der Woche: Network-Access-Control
Wie sich Netze mithilfe von Network-Access-Control sicher machen lassen
Symantec verringert Gefahr durch Gastnutzer
Check Point packt Virenschutz, Firewall und VPN in einen Agenten
Symantec-Studie: Der Einsatz mobiler Geräte braucht Regeln zum Datenschutz
Thema der Woche: Unified-Threat-Management, Teil 1
Warum Network-Access-Control ohne Netzwerk-Audit nicht funktioniert
Check Points »UTM-1-Edge«-Systeme mit Multi-Layer-Messaging-Security
Thema der Woche: Endpunkt-Sicherheit, Teil 1
Thema der Woche: Endpunkt-Sicherheit, Teil 2
Test: Drei Client-Security-Suites unter der Lupe
Sicherheitschecks von Netzwerken werden grob vernachlässigt

Verwandte Artikel

IT-Security

Netzwerk-Infrastruktur

Netzzugang