Was ist NAC?

NAC ist eine Technologie, die die Abwehr von Viren, Würmern und unautorisierten Zugriffen aus dem Netzwerk heraus unterstützt.

Was ist Network Access Control (NAC) ?

Es ist immer wieder überraschend, wie sehr die Erwartungen und Vorstellungen zu NAC auseinandergehen. Manche verbinden hiermit die schlichte Registrierung und Autorisierung von Endgeräten anhand der (nicht ganz so) eindeutigen MAC-Adresse im IP-Netz. Andere hingegen verstehen unter NAC den Schutz des gesamten Netzes vor Viren und Würmern sowie Netzgeräten, die nicht den Unternehmensrichtlinien entsprechen. Oft wird auch eine Lösung für den kontrollierten Netzzugriff durch Gäste als NAC bezeichnet.

Wer braucht NAC ?

NAC ist für jedes Unternehmen sinnvoll, das die genannten Funktionen abdecken möchte. Realistisch ist es ab etwa 100 Arbeitsplätzen interessant – abhängig nicht zuletzt vom Know-how der IT-Mitarbeiter. Grundsätzlich gilt: je mehr Standorte involviert sind, desto höher der Bedarf.

Welche Prozesse beinhaltet NAC ?

NAC umfasst eine Vielzahl von Prozessen, die den Zugang zum Netz ermöglichen und gleichzeitig Sicherheit gewährleisten sollen. Die einzelnen Prozesse beziehungsweise Schritte sind:

  • Detect: eindeutige Identifizierung und Lokalisierung von neuen Geräten am Netz;
  • Authenticate: eindeutige Authentifizierung der Identität des Nutzers und/oder Geräts;
  • Assess: Prüfung des Endgeräts auf Richtlinienkonformität und/oder Schwachstellen;
  • Authorize: Zugangserlaubnis mit möglichen Beschränkungen (wie Quarantäne) basierend auf dem Ergebnis der Authentifizierung und des Assessments;
  • Remediate: Beheben von Problemen und Sicherheitsmängeln, aber auch automatisierte Kommunikation mit den Nutzern (Hilfestellung, Statusmeldungen);
  • Monitor: Überprüfung des Nutzer- und Geräteverhaltens während der gesamten Zeit im Netz;
  • Contain: reaktive Quarantäne bei der Feststellung von verdächtigem Verhalten des Endsystems.

Welche Authentifizierungsverfahren sollte eine NAC-Lösung unterstützen ?

Folgende Ansätze unterstützt eine NAC-Lösung im Idealfall:

802.1x-Authentifizierung:
Die sicherste Lösung stellt die Erkennung der Endsysteme am Switch-Port mittels 802.1x-Authentifizierung dar. Sie erfordert entsprechende Funktionen auf Seiten des Switches, des Clients und einer lokalen Authentifizierungsinstanz (Radius Server). Damit lassen sich sowohl Geräte als auch Benutzer identifizieren. Allerdings ist der flächendeckende Einsatz aufgrund von Einschränkungen in einem der genannten Bereiche meist nicht möglich. So gibt es Endgeräte ohne „802.1x Supplicant“ (die Software zur Authentifizierung) wie zum Beispiel ältere Drucker und IP-Video-Anlagen, oder die Switches unterstützen den Standard nicht. Zudem können damit keine Gäste erfasst werden.

MAC-basierende Authentifizierung:
Hier wird dieselbe Infrastruktur genutzt wie bei einer 802.1x-Infrastruktur, lediglich auf Zertifikate und/oder Anmeldedaten wird verzichtet. Der Switch verwendet die MAC-Adresse als Ersatz für den Benutzernamen und gleicht diese mit dem Radius-Server ab. In 802.1x-fähigen Netzen kann dieses Verfahren verwendet werden, um Endsysteme ohne „Supplicant“ gegen einen Radius-Server abzugleichen. Oder man baut im gesamten Netz ausschließlich auf diese Technik und steigt erst später bei einigen Endgeräten auf 802.1x um. Eine solche Authentifizierung ist allerdings nur bedingt zuverlässig und sollte ausschließlich in Verbindung mit einer sehr restriktiven Autorisierung genutzt werden – wenn keine andere Möglichkeit zur Verfügung steht. Weitere Abfrageinformationen wie etwa den Benutzernamen gibt es nicht, und spätere Autorisierungen können nur an die Hardwareadresse des Endgeräts gebunden werden. Von Vorteil ist hier allerdings die zentrale Verwaltung aller Teilnehmer über den Radius-Dienst.

Web-basierende Authentifizierung:
Diese Methode lagert den „Supplicant“ auf ein zusätzliches Web-Portal aus, an dem sich der Benutzer anmelden kann. Somit können sich vor allem Gäste und Systeme ohne die erforderlichen Voraussetzungen im Netz registrieren. Bei Gastzugängen ist teilweise sogar nur eine einfache Registrierung notwendig. Eine elegante Lösung für einen sicheren Gastzugang ist die „sponsored Registration“, bei der ein existierender Benutzer mit seinen Anmeldedaten für einen Gast „bürgt“. Auf diese Weise lässt sich bei eventuellen Verstößen wesentlich leichter nachvollziehen, wer den Besucher in das Netz gebracht hat. Zudem muss die Verwaltung der Gäste nicht durch die IT-Abteilung erfolgen. Diese Methode eignet sich jedoch nicht, um Geräte wie Drucker zu authentifizieren. Üblicherweise ist dies mit einer „Default Policy“ verbunden, die ausschließlich Verbindungen zum Web-Portal erlaubt und erst nach einer erfolgreichen Authentifizierung weitere Dienste zulässt. Hierbei ist jedoch zu beachten, dass die meisten Lösungen diese Beschränkung durch eine dynamische VLAN-Konfiguration realisieren. Das trennt ein Endsystem zwar vom produktiven Netz, die Kommunikation zwischen den Geräten in einem solchen Quarantäne-VLAN bleibt dabei jedoch meist uneingeschränkt. Hierbei gilt es zu bedenken, dass VLANs nicht etwa Sicherheits-, sondern nur logische Broadcast-Container sind.
Darüber hinaus gibt es Möglichkeiten wie Kerberos (Snooping), die es erlauben, NAC rasch in bestehende Netze zu implementieren. Beim Snooping erfolgt die Authentifizierung nicht direkt durch das NAC-System – vielmehr inspiziert das System Datenpakete im Netz, die bei einer erfolgreichen Authentifizierung (etwa via Kerberos) ausgetauscht werden. Auf dieser Basis werden dann die weiteren Schritte des NAC-Prozesses angestoßen.

nac

 

Quelle: Markus Nispel (Director Solution Architecture bei Enterasys Networks)

Support