Drei Gründe für den Einsatz von Lösungen für Network Access Control (NAC)

Unternehmen nutzen Lösungen für Network Access Control (NAC), um den Zugriff auf ihr Netzwerk granular zu kontrollieren. Aber lohnt sich der Einsatz?

Viele Unternehmen setzen Lösungen für Network Access Control (NAC) ein, um den Zugriff auf ihr internes Netzwerk zu kontrollieren. NAC prüft Endgeräte während der Authentifizierung, ob sie die sicherheitsrelevanten Richtlinien und Parametern des Netzwerks erfüllen und gewährt ihnen entsprechend der Identität des Benutzers den Zugang zu den Ressourcen des Netzwerks. Fehlt dem Client-Betriebssystem beispielsweise der neueste Security-Patch, wird das betroffene Endgerät mit aktuellen Updates versorgt, bis es wieder den geltenden Sicherheitsrichtlinien entspricht. Erst dann erhält es Zugriff auf das Netzwerk.

Zu den Nutzern von NAC-Lösungen gehören vor allem Finanzinstitute, Unternehmen mit hohen Sicherheitsanforderungen oder Universitäten. Entgegen den Erwartungen hat sich NAC seit der Einführung Ende 2003 noch nicht zu einem Mainstream-Sicherheitsprodukt entwickelt. Doch die Zeiten ändern sich. Bring Your Own Device (BYOD) und die Integration von NAC-Technologien in MDM-Lösungen (Mobile Device Management) führen dazu, dass immer mehr Unternehmen prüfen, ob sie die Zugangskontrolle zu ihrem Netzwerk mit NAC-Tools verbessern können.

Insbesondere große Unternehmen sehen einen erhöhten Bedarf für NAC, da sie eine hohe Zahl an Mitarbeitern beschäftigen und meist auch vielen Partnern, Lieferanten oder Kunden den Zugriff auf ihr Netzwerk erlauben, um mit ihnen effizient zusammenzuarbeiten. 

Damit steigen natürlich auch die Risiken und entsprechend die Anforderung, die potenziellen Gefahren durch eine NAC-Lösung zu mindern. Die meisten NAC-Anbieter registrieren eine steigende Nachfrage von kleinen und mittleren Unternehmen (KMU). Haupttreiber dafür sind Medienberichte über Sicherheitslücken und damit verbundene Imageschäden. 

Die Kosten für eine NAC-Lösung sind allerdings hoch. Daher sollten vor allem KMUs vor dem Kauf eines NAC-Produkts genau prüfen, ob sie damit ihre Sicherheit signifikant erhöhen und sich die Investitionen lohnen. Zudem gilt es die Risiken zu bewerten, die aus dem Einsatz privater Endgeräte (BYOD), schwachen Richtlinien für den Netzwerk-Zugang und komplexen, zielgerichteten Attacken (Advanced Persistent Threat, APT) auf Unternehmen und ihre Mitarbeiter, Systeme, Sicherheitslücken und Daten entstehen.

NAC-Szenario Nummer 1: Bedrohungen durch BYOD

BYOD ist der Hauptgrund für das steigende Interesse an NAC-Technologien. Die sichere Integration mobiler Geräte mit schneller Antwortzeit für die Nutzer gehört zu den wichtigsten Zielen des Chief Information Security Officers (CISO).

Da die Grenze zwischen Freizeit und Arbeitszeit verschwimmen, erwarten viele Mitarbeiter, dass sie auch ihre privaten Geräte wie Smartphones, Tablets oder Notebooks im Unternehmen einsetzen dürfen. Doch damit steigt auch die Komplexität. 

Schließlich muss die IT-Abteilung nicht nur die Geräte der Mitarbeiter, sondern auch die der Partner, Kunden und Lieferanten in ihr Sicherheitskonzept einbinden, und den sicheren Zugriff auf das Netzwerk gewährleisten. Die Vielzahl privater Endgeräte widerspricht dem Bedürfnis nach Standardisierung, mit der privaten Nutzung verschwimmen zudem die Grenzen zwischen privaten und Unternehmensdaten.

Heute existieren Hunderte von Gerätetypen, Modellen und Betriebssystem-Versionen; auch die Art und Anzahl der installierten Anwendungen beziehungsweise Apps ist sehr unterschiedlich. Zudem ist auf den persönlichen Geräten der Mitarbeiter selten MDM- oder Antivirus-Software zu finden, die den Unternehmensrichtlinien entspricht. Benutzer deaktivieren zudem recht häufig grundlegende Sicherheitseinstellungen oder installieren Anwendungen, die Aktionen ausführen, welche die Sicherheit des mobilen Geräts beeinträchtigen.

Die große Herausforderung für Unternehmen ist: Wie verbindet man diese Geräte mit dem Netzwerk, ohne die Sicherheit zu gefährden? Je mehr Smartphones, Tablets oder Notebooks auf das Netzwerk zugreifen, umso höher wird das Risiko. Schließlich nehmen Kriminelle mobile Geräte verstärkt ins Visier und setzen vor allem Apps mit Malware für Angriffe ein.

Genau hier können NAC-Lösungen für Apple iOS, Android oder Windows Phone eine wichtige Rolle spielen, da sie Geräte bei der Einwahl ins Netzwerk automatisch identifizieren und den sicheren Zugriff gewährleisten. Beispielsweise können sie für bestimmte Geräte, abhängig von den Rechten des Nutzers, nur den Zugriff auf das Internet erlauben und den Zugriff auf Unternehmensdaten unterbinden. 

NAC-Szenario Nummer 2: rollenbasierter Zugriff auf das Netzwerk

Einer der großen Vorteile von NAC-Lösungen ist die granulare Definition des Netzwerkzugriffs entsprechend der Rolle des Benutzers. Durch die Integration mit dem Active Directory ist es möglich, dem Besitzer des Geräts – abhängig von seiner Position oder Rolle im Unternehmen – nur die Bereiche des Netzwerks freizugeben, deren Informationen oder Funktionen er für die Erfüllung seiner beruflichen Aufgaben benötigt.

Die meisten IT-Manager wissen, dass die parallele Verwaltung der Gruppen im Active Directory und der Rechtezuteilung in einem großen Netzwerk sehr komplex ist. Daher sind die Administratoren häufig sehr großzügig bei der Freigabe von Zugriffsrechten. Ein NAC-Produkt vereinfacht die zentrale Kontrolle und bietet die notwendige Flexibilität bei der Freigabe von Rechten etwa auf bestimmte Ordner.

Bei vielen Penetrationstests von Netzwerken erwies sich die unzureichende Kontrolle von geteilten Netzwerkressourcen als zentrale Sicherheitslücke. Dadurch war entweder der direkte Zugang zu persönlichen Informationen oder der Zugriff auf Daten möglich, die den Zugriff auf weitere Ressourcen des Netzwerks gewährten. 

In einem Test beispielsweise erlaubte eine falsch konfigurierte, von mehreren Nutzern geteilte Domain den Zugriff auf Passwörter für eine Reihe von wichtigen Datenbanken, die Namen der Kunden, Adressen, Geburtsdaten und Kreditkarteninformationen enthielten. NAC-Technologie hätte den Schutz dieser sensiblen Daten hier erheblich verbessert.

NAC-Szenario Nummer 3: Risiko von APTs reduzieren

Komplexe, zielgerichtete Attacken (Advanced Persistent Threat) auf Unternehmen und ihre Mitarbeiter, Systeme, Sicherheitslücken und Daten sind versteckter und raffinierter als je zuvor. Sie verwenden meist Social-Engineering-Taktiken, spähen also gezielt einzelne Mitarbeiter unter anderem über Facebook, LinkedIn oder Xing aus, die am besten privilegierte Accounts besitzen und Zugang zu vertraulichen Daten haben. Dazu gehören beispielsweise Administratoren oder Super-User. Über die Rechner dieser Mitarbeiter dringen die Angreifer dann in das Unternehmensnetzwerk ein oder gelangen an geheime Informationen. Häufig bleiben diese Angriffe wochenlang unentdeckt.

Auch wenn NAC nativ keine Funktionen für das Erkennen oder die Abwehr von APTs bietet, kann die Technologie die Quelle der Bedrohung oder des Angriffs vom Netzwerk trennen. NAC-Systeme, die Produkte (wie FireEye) zum Aufdecken von APTs integrieren, isolieren automatisch betroffene Systeme, bevor die Angreifer weiter auf das Netzwerk zugreifen können.

Sehr bekannt ist die Attacke auf das Netzwerk des US-Einzelhändlers Target im Jahr 2013. Die Infektion erfolgte, als sich ein externer Lieferant von Heizung und Klimaanlagen mit dem IT-Netzwerk von Target verband. Hacker hatten das Netz des Drittanbieters mit bösartigem Code versehen und nutzten die Verbindung mit dem Netzwerk von Target als Hebel für den Angriff auf den US-Einzelhändler. 

Dabei erbeuteten sie nach Angaben des Unternehmens nicht nur 40 Millionen Daten von Kredit- und Bankkarten, sondern auch Postadressen, Telefonnummern und E-Mail-Adressen von bis zu 70 Millionen Kunden. Es war einer der schwersten Hackerangriffe überhaupt.

Eine NAC-Lösung hätte hier den Zugriff des externen Lieferanten auf das Netzwerk von Target eingeschränkt und damit auch APTs auf Unternehmensdaten unterbunden beziehungsweise minimiert. Damit hätte der Angriff niemals diese kostspieligen Folgen verursacht und dem Einzelhändler und seinen Kunden eine Menge Ärger erspart. 

Wichtige Fragen vor dem Einsatz einer NAC-Lösung

NAC eignet sich nicht für alle Unternehmen. Grundsätzlich gilt eine Faustregel: Je mehr Geräte ein Unternehmen mit seinem Netzwerk verbindet, umso sinnvoller wird ein NAC-Produkt. Daher reichen die drei oben skizzierten Anwendungsszenarien nicht aus, um die richtige Entscheidung Pro oder Contra NAC-Einsatz zu treffen. Hier helfen folgende Fragen weiter:

1. Wie viele Geräte sind mit Ihrem Netzwerk verbunden? Um welche Geräte handelt es sich? Wem gehören die Geräte?

Unternehmen, die diese Fragen nicht beantworten können, kontrollieren ihr Netzwerk nur unzureichend. Sie sollten eine NAC-Lösung einsetzen, um Transparenz über die bestehende Infrastruktur und auch Geräte zu erhalten, die künftig auf ihr Netzwerk zugreifen.

2. Welcher IT-Mitarbeiter ist für die Alarmmeldungen des NAC-Systems zuständig?

Ein oder mehrere IT-Mitarbeiter müssen in der Lage sein, die Warnmeldungen der NAC-Lösung richtig zu interpretieren und die geeigneten Maßnahmen zu treffen. Nur dann sorgen sie für den sicheren und reibungslosen Zugriff auf das Netzwerk – ohne lange Wartezeiten für den berechtigten Nutzer. 

Die Verwaltung der Endgeräte im NAC-System kann ab einer entsprechenden Anzahl schnell zu einem Fulltime-Job werden. Das IT-Team sollte zumindest ein festes Zeitfenster für die Überwachung der Alarmmeldungen des NAC-Systems reservieren.

3. Besitzen Sie die Kontrolle über die Daten, die Ihr Netzwerk verlassen?

Am häufigsten gelangen Unternehmensdaten über mobile Endgeräte nach außen. Über eine NAC-Lösung können Unternehmen die Berechtigungen einschränken und Nutzern je nach Rolle nur den Zugriff auf bestimmte Ordner oder Daten erlauben. Damit können böswillige Nutzer keinen allzu großen Schaden anrichten.

4. Müssen Sie bestehende Sicherheitssysteme mit dem NAC-System integrieren?

Welche Sicherheitssysteme sind bereits im Netzwerk vorhanden? Werden sie effektiv genutzt? Wenn Unternehmen eine NAC-Lösung implementieren, sollten sie diese etwa mit ihrer MDM-Lösung oder ihrer Security Information and Event Management (SIEM) -Anwendung integrieren. Dadurch entfällt der zusätzliche Aufwand für die Verwaltung mehrerer IT-Sicherheitssysteme auf unterschiedlichen Plattformen.

5. Skalierbarkeit: Ist künftig mit Wachstum zu rechnen?

Die Kosten für NAC-Produkte basieren oft auf der Anzahl der genutzten Geräte (Preis pro Endgerät). Unternehmen müssen daher mit zusätzlichen Kosten rechnen, wenn ihre Infrastruktur wächst und sie weitere Lizenzen für zusätzliche Endgeräte benötigen. Ein Beispiel: Ein Unternehmen mit bislang 1.000 Lizenzen für Endgeräte wächst exponentiell, erweitert seine Infrastruktur und benötigt nun 5.000 Lizenzen für mobile Geräte. Damit erhöhen sich auch die Kosten für das NAC-Produkt dramatisch.

Hürden für den Einsatz von NAC-Lösungen

  1. Unternehmen sollten grundsätzlich sicherstellen, dass sie genügend Zeit einräumen, um die Alarmmeldungen des NAC-Systems zu kontrollieren. Ohne das Monitoring und die Interpretation dieser Meldungen ergibt eine NAC-Lösung wenig Sinn; die Daten werden verschwendet. Im schlimmsten Fall können berechtigte Nutzer nicht auf das Netzwerk zugreifen, weil eine Fehlermeldung nicht beachtet wurde. 
  2. Analysieren Sie die Verbindungen zum Netzwerk. Wählen sich die Nutzer über SSL VPN ein oder über Produkte etwa von Citrix? Das NAC-System sollte mit der bereits im Netzwerk bestehenden Sicherheitslösung integriert werden, damit es sein Potenzial optimal ausschöpft.

Fazit

Die Installation einer NAC-Lösung verbessert die Sicherheit des Unternehmensnetzwerks erheblich, da die IT-Abteilung die mobilen Endgeräte besser kontrollieren und die Zugriffsrechte granular definieren kann. 

Mehr zum Thema Netzwerk-Security:

Mit Network Access Control (NAC) kontinuierlich das Netzwerk prüfen.

Was Sie bei der Netzwerk-Sicherheit in hybriden Clouds bedenken sollten.

Netzwerk-Sicherheit: Threat Intelligence Feeds analysieren ein Meer an Daten.

Mikro-Segmentierung bringt mehr Netzwerk-Sicherheit für NSX und ACI.

Durch die Isolation nicht vertrauenswürdiger Personen / Geräte (wie zum Beispiel Besucher oder externe Anbieter) in geschützten Bereichen des Netzwerks (Sandbox) verringert sich das Risiko einer beabsichtigten oder unbeabsichtigten Datenpanne.

Prüfen Sie, ob sich die Investitionen in eine NAC-Lösung angesichts folgender Vorteile lohnen: Größere Kontrolle über BYOD, granulare Rechtevergabe entsprechend der Rolle des Benutzers und besserer Schutz vor Advanced Persistent Threats. Unternehmen sollten zudem berücksichtigen, dass hier weitere Kosten für zusätzliche Lizenzen, Schulungen, Überwachung des NAC-Systems und die Reaktion auf Alarmmeldungen entstehen.

Darüber hinaus sollte die NAC-Lösung mit bestehenden IT-Sicherheitssystemen harmonisch zusammenarbeiten. Eine Reihe von NAC-Produkten lässt sich direkt mit vorhandenen MDM- oder SIEM-Systemen integrieren, die über zentrale Management-Konsolen verfügen und so die Kosten für die Verwaltung und Schulungen reduzieren.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Juni 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Netzwerk-Security-Monitoring

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close