Network Access Control

In unserem Azubi-Blog erklären wir jede Woche einen Begriff aus dem ABC der IT-Security. Heute: N wie Network Access Control.

Network Access Control, auch als NAC oder Netzwerk-Zugriffskontrolle bekannt, dient in erster Linie dazu, dass unbefugte Personen sich keinen Zugang zu Ihrem Netzwerk verschaffen können. NAC galt die letzten Jahre noch als unausgereift, beziehungsweise zu kompliziert in der Implementierung und der laufenden Aktualisierung. Durch unterschiedliche Faktoren ist es dazu gekommen, dass die Netzwerkzugangskontrolle für Unternehmen immer mehr an Aufmerksamkeit gewonnen hat. Der Hauptgrund für die Zunahme an NAC-Lösungen ist der rasante Anstieg der vielen verschiedenen Endgeräte. 

Wie funktioniert das Network Access Control? 

In den meisten Fällen gibt es einen Network Access Server, der für die Authentifizierung zuständig ist. Sobald ein neues Gerät im Netzwerk erkannt wird, das Zugriff auf Ressourcen haben möchte, wird ein Check durchgeführt. Dieser überprüft, ob das Gerät unbedenklich in das Netzwerk gelassen werden kann oder nicht. Zusätzlich kann das NAC den Zugriff auf Daten einschränken, zu denen Anwender Zugang haben sollen. Darüber hinaus sind Anti-Malware Maßnahmen wie zum Beispiel Firewalls, Antiviren-Software und Spyware-Erkennung enthalten.  

Welche Technologien und Methoden werden verwendet? 

Zum einen werden Sensoren verwendet. Diese werden zur Überwachung des Netzwerkverkehrs verwendet. Es sind NAC-Geräte, die im kompletten Netz verteilt arbeiten. Die Sensoren überprüfen im gesamten Netzwerk die übertragenen Datenpakete in Echtzeit und verwerfen Datenverkehr von unerwünschten Systemen. Sie können entweder als Software auf einem bestehenden Gerät installiert sein oder als dediziertes Gerät ausgeführt werden. Zum anderen werden sogenannte Agenten verwendet. Dabei handelt es sich um Software, die auf den Endgeräten installiert ist. Der Agent sorgt für die Authentifizierung und Prüfung der Richtlinien-Compliance. Durch dieses Verfahren wird unternehmensfremden Geräten der Zugang zum Netzwerk verwehrt. Der Nachteil an dieser Methode ist, dass die Agenten für alle Plattformen und Betriebssysteme bereitgestellt werden müssen. 

Diese Methode ist daher sehr zeitaufwendig, da bei jedem neuem Gerät erst einmal Software installiert werden muss. Eine bessere Methode bietet hier die Verwendung von Traps. Ein Gerät, welches sich in das Netzwerk einwählt, sendet seine MAC per Broadcast. Wenn diese MAC authorisiert ist durch Abgleich aus einer Datenbank, wird nichts unternommen. Ist das Gerät nicht authorisiert, wird das Port am Switch gesperrt. Dies setzt voraus, dass diese Switche das System unterstützen. 

Wenn dies nicht möglich ist, wird eine andere Methode zur Authentifizierung benötigt. Zudem gibt es noch die Möglichkeit die Zugriffsrechte über LDAP-Verzeichnisse oder das Active Directory zu steuern. Dadurch lässt sich über Gruppenzugehörigkeiten festlegen, welcher Benutzer Zugriff auf welchen Service oder Server hat. Mit dieser Methode ist es möglich, verschiedenen Anwendern, die sich an dem gleichen Endgerät anmelden, unterschiedliche Berechtigungen zu geben.