Network Access Control: NAC als automatisiertes Security-Response Center

Richtig eingesetzt kann Network Access Control zu einer wichtigen Stütze in einem Sicherheitskonzeptes werden, meint Markus Auer von ForeScout.

Dies ist der zweite Teil einer dreiteiligen Artikelserie. Der ersten Beitrag beschäftigt sich mit dem Wandel der Bedrohungslage und warum dies neue Wege in der IT-Sicherheit erfordert.

Sicherheitsexperten favorisieren Network Access Control (NAC) nicht nur deshalb, weil es Sicherheitskonzepte besser an die Bedrohungslandschaft anpasst. Neben den Cyberbedrohungen gilt es auch zu bedenken, dass immer mehr Geräte und Prozesse in die digitalen Netzwerke integriert werden. Clouddienste, Drucker und sogar Kaffeemaschinen müssen von den IT-Teams als Netzwerkendpunkte betrachtet werden. Jedes Gerät, das eine IP-Adresse hat und Teil des Netzwerks ist, muss heute sichtbar gemacht werden – geschieht dies nicht, ist das so, als würden Sie Ihre Haustür versperren, die Fenster aber offen lassen.

Die sogenannte Schatten-IT ist Teil der beschriebenen Entwicklung, und angesichts der wachsenden Zahl von Geräten verliert man leicht die Übersicht über das eigene Netzwerk. Laut der Gartner-Studie Preparing for Advanced Threats and Targeted Attacks vom Dezember 2014 „sehen“ IT-Teams nur über 80 Prozent der Geräte in ihren Netzwerken. 20 Prozent der Geräte sind also der Aufsicht durch die IT-Abteilung entzogen. 

Markus Auer,
ForeScout Technologies, Inc.

Dass es da zu Sicherheitsvorfällen kommt, kann nicht weiter überraschen. Noch düsterer sehen die Zahlen im Hinblick auf die Netzwerkaktivitäten aus: Das Corporative Executive Board geht davon aus, dass sich 40 Prozent der IT außerhalb der Kontrolle der Netzwerk-Administratoren befinden. Für die IT-Sicherheitsmanager ist es somit viel schwieriger geworden, zu gewährleisten, dass die Geräte und virtuellen Rechner die Sicherheits- und Konfigurationsstandards erfüllen.

Ein dritter Faktor neben den neuen Bedrohungen und der wachsenden Zahl von Geräten ist die zunehmende Verbreitung von BYOD: Gartner zufolge werden bis 2017 fast die Hälfte aller Unternehmen voraussetzen, dass die Mitarbeiter eigene Geräte zu beruflichen Zwecken nutzen. Laut einer von Citrix durchgeführten Umfrage stellen zudem bereits 54 Prozent der IT-Abteilungen fest, dass Mitarbeiter eigene Tablets in die Arbeit mitbringen. Und selbst wenn der Arbeitgeber Alternativen anbietet oder Empfehlungen ausspricht, werden sich die Mitarbeiter möglicherweise nicht daran halten, falls sie ihren Bedürfnissen nicht ausreichend entsprechen.

Die Best-Practice-Lösung der modernen IT-Sicherheit

Network Access Control kann zur wichtigen Stütze eines Sicherheitskonzeptes werden, wenn es als automatisiertes Security-Response Center eingesetzt wird. Zentralisierung gewährleistet, dass Maßnahmen getroffen und Berichte generiert werden, die die Einhaltung externer Compliance- und interner Governance-Anforderungen erheblich vereinfachen. Eine NAC-Lösung ist der beste Weg, dies zu erreichen.

Sobald ein Gerät Verbindung zum Netzwerk aufzunehmen versucht, erstellt die NAC-Lösung ein Sicherheitsprofil, das Informationen zu den Patches, unzulässiger Software und aktiven hostbasierten Abwehrmaßnahmen (Malware-Schutz, Virenschutz, IPS und ähnliche Tools) umfasst. Patch-Management ist ein erster Schritt, um den Angriffsvektor bekannter Schwachstellen zu schließen. Das Problem dabei ist allerdings, dass die Installation von Patches meist per Fernzugriff erfolgt, doch wenn das verwendete Gerät mit Malware infiziert ist, wird mit großer Wahrscheinlichkeit auch das gepatchte Gerät infiziert sein. Neben diesem Risiko kostet Patchen Zeit und Ressourcen, da die Geräte während des Zugriffs nicht verwendet werden können und das IT-Team die Installation der Patches planen und organisieren muss.

NAC-Lösungen unterstützen Self-Enrollment und haben mehr zu bieten als bloßes Monitoring von unternehmenseigenen Geräten. Sie schließen Sicherheitslücken und gewährleisten, dass Geräte immer aktuell gepatcht sind. All dies ist bei jedem Gerät möglich, ohne dass ein Client (auch als Supplicant oder Agent bezeichnet) installiert werden muss. Die Lösungen sind für jedes Betriebssystem geeignet und unterstützen sowohl vom Arbeitgeber bereitgestellte Geräte als auch BYOD und COPE (Company Owned Personally Enabled).

Moderne NAC-Lösungen basieren nicht ausschließlich auf dem IEEE-Standard 802.1X und können auch für virtuelle Infrastrukturen, ausgedehntere Netzwerkumgebungen (mit mehreren Teilnetzen), standortferne und nur kurzzeitig verbundene Geräte eingesetzt werden. Dank Unterstützung für alternative Authentifizierungsmethoden lassen sich sowohl corporate-owned als auch benutzereigene Endpunkte verwalten. Selbst Geräte aus dem sogenannten Internet der Dinge (IoT), die nur einen kleinen Footprint im Netzwerk erzeugen, können einbezogen werden. Abhängig von der Vertrauensstufe und dem Standort eines Geräts kann am Zugangspunkt ein Fingerabdruck genommen werden, um den Status jedes Nutzers individuell zu bestimmen.

Fehlverhalten lassen sich bereinigen, ohne ein Gerät direkt zu blocken oder abzuschalten. Die Benutzer werden informiert und können so die bestehenden Probleme selbst korrigieren und das Verhalten ihres Systems ändern, bevor Maßnahmen zur Richtliniendurchsetzung ergriffen werden. Kritische Probleme können mit Highspeed-Tickets gelöst werden. NAC bietet nicht nur regelmäßige Scans: Falsche oder regelwidrige Konfigurationen, kompromittierte Systeme oder Probleme beim hostbasierten Schutz und der Management-Software können geprüft und granulare Maßnahmen ergriffen werden.

Integration von NAC mit anderen Sicherheitslösungen

Neben ihren eigenen Aktivitäten erhöhen NAC-Lösungen die Sicherheit auch durch Integrationen mit Sicherheits-Tools anderer Anbieter. Dies ermöglicht es, bereits bestehende Sicherheitsmechanismen zu nutzen und die Reichweite der Sicherheitsvorkehrungen zu vergrößern.

Auf Endpunkten, die von einem Tool zur Schwachstellenanalyse als unsicher angesehen werden, können Korrekturmaßnahmen durchgeführt werden. Wenn eine ATD-Lösung (Advanced Threat Detection) ein kompromittiertes System ermittelt, kann man dieses isolieren. Bedrohungsanzeichen (IOC) lassen sich austauschen und die entsprechenden Informationen auf neue und bereits vorhandene Endgeräte anwenden. Die Integration von Third-Party-Firewalls ist nicht auf ein zweigliedriges Go/No-Go-Schema beschränkt. Bei Sicherheitsvorfällen können Geräte und User lokalisiert und identifiziert werden. ATD-Lösungen allein sind nicht in der Lage, ermittelte Bedrohungen automatisch zu beseitigen oder zu isolieren. Außerdem erkennen sie häufig das volle Ausmaß einer Bedrohung nicht. Die Integration mit einer NAC-Lösung kann diese Unzulänglichkeiten ausgleichen.

Moderne Netzwerkanalyse-Tools arbeiten mit verschiedenen Netzwerk-, Sicherheits-, Mobilitäts- und IT-Verwaltungsprodukten zusammen. (Quelle: ForeScout)

Zum Schutz drahtloser Netze kann NAC mit MDM-Lösungen (Mobile Device Management) integriert werden, um neue Geräte zu erfassen und für diese Container-Lösungen sichtbar zu machen. Die NAC-Lösung kann feststellen, ob ein Gerät eine Sicherheitsrichtlinie des Unternehmens missachtet – zum Beispiel, dass kein Virenschutzprogramm installiert ist oder ein Jailbreak durchgeführt wurde. MDM-Lösungen allein sind nicht fähig, dem Gerät in solchen Fällen den Zugang zu verwehren, so dass es zu einer potenziellen Bedrohung wird.

Ein weiteres Beispiel ist die Einbindung von SIEM-Systemen (Security Information and Event Management), die von einer NAC-Lösung zur Umsetzung von Richtlinien genutzt werden können. NAC vereinfacht Audits und spart durch Monitoring und Evaluierung von Prozessen Zeit und Ressourcen.

Moderne Netzwerkanalyse-Tools kommunizieren über Netzwerkprotokolle wie SNMP oder über Kommandozeilen mit Netzwerkgeräten wie Routern, Switches oder Wireless Access Points, um Informationen einzuholen oder Zugangsbeschränkungen zu realisieren. Das kann etwa erfolgen mittels VLAN-Änderungen, Platzierung von Zugriffssteuerungslisten, Port-Blockaden, virtuellen Firewalls oder WLAN-Blockaden. Die Interaktion mit anderen Tools über bereitgestellte Programmierschnittstellen (APIs) ermöglicht eine bidirektionale Anbindung, so dass bestehende Sicherheitsprodukte Daten mit dem NAC-System austauschen können.

Fazit

Moderne NAC-Lösungen lassen sich leicht implementieren und sind die Best-Practice-Lösung für die Absicherung von Netzwerken. Der Trend zu BYOD, die digitale Integration von Dingen und die wachsende Zahl von Sicherheitsanfälligkeiten werden mit NAC beherrschbar. Dank flexibler Integration von Drittanbieter-Tools und Unterstützung für unterschiedliche Kommunikationsprotokolle lassen sich Richtlinien auf automatisierte und dennoch fein abgestufte Weise durchsetzen. IT-Administratoren müssen keine Zeit und Ressourcen für unnötige Sicherheitsaufgaben aufwenden und können sich stattdessen auf die wichtigsten Probleme konzentrieren. Mit der Flexibilität von NAC-Lösungen ist jede IT-Abteilung gut gerüstet, um auf künftige Entwicklungen und Technologien zu reagieren.

Im dritten Teil dieser Reihe wird der Schutz von Produktionseinrichtungen mithilfe von NAC beschrieben. Dieses Beispiel zeigt, wie sich NAC-Lösungen dank ihrer Flexibilität an die Anforderungen nahezu jeden Netzwerks anpassen lassen, ungeachtet seiner Größe und der herrschenden Bedingungen.

Über den Autor:
Markus Auer, Regional Sales Director DACH, ist seit März 2014 bei ForeScout beschäftigt und für den Marktaufbau in Deutschland, Österreich und Schweiz verantwortlich. Zuvor war er bei Q1 Labs (jetzt IBM) als Sales Director Central Europe beschäftigt. Davor hatte Markus Auer weitere Positionen bei SourceFire (jetzt Cisco), netForensics und MessageLabs (jetzt Symantec) inne. Neben seiner Ausbildung zum Industrial Manager bei Siemens AG München war Herr Auer als freiberuflicher Berater für die Unternehmen Novell und Microsoft tätig.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im August 2015 aktualisiert

Erfahren Sie mehr über Network-Access-Control (NAC)

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close