Grenzkontrolle fürs Firmennetzwerk

    Netzwerke sind das Rückgrat der IT-Infrastruktur. Wer mit welchen Rechten Zutritt zu dieser Lebensader hat, muss genau geregelt werden. Ein Network Access Control Service ist der effektivste Weg, sensible Daten zu schützen.

      

    » Von Andreas Gossweiler, 21.01.2010 06:00.

    Andreas Gossweiler ist Head of ICT-Security bei Swisscom Grossunternehmen

    Die Situation ist bekannt: Man empfängt einen externer Berater bei sich in der Firma. Während der Projektphase möchte dieser mit dem eigenen Netbook auf seinen Mailaccount und seine Daten zugreifen. Der einfachste Weg: Vom Firmennetzwerk aus wird ein Tunnel zum fremden Netz des Beraters aufgebaut. Das Problem dabei: Die von der IT sorgfältig eingerichteten Sicherheitsvorkehrungen werden so einfach umgangen. Niemand überprüft, ob aus dem Firmennetzwerk Daten abtransportiert oder Malware importiert wird.

    Unterschiedliche Nutzer und Rechte

    In der Praxis stehen Netzwerkadministratoren vor der Herausforderung, in einem gemeinsam genutzten Netzwerk verschiedene Benutzergruppen zu trennen, die unterschiedlichen Sicherheitsniveaus zugeordnet sind - etwa Gastzugang, Produktion und Ähnliches. Es muss also an einem geeigneten Punkt im Netz, beispielsweise direkt am Netzwerk-Port, geprüft werden, welche Rechte mit dem Zugang verbunden sein sollen. Je nach Ergebnis der Authentifizierung wird Zugriff auf einen genau definierten Unternehmens-bereich gewährt.

    Eine weitere Herausforderung besteht darin, dass ein immer grösserer Benutzerkreis Zugriff auf die Unternehmensressourcen hat. Dazu zählen sowohl Mitarbeiter vor Ort als auch Mitarbeiter an anderen Standorten, ausserdem Gäste, Vertragspartner und temporäre Mitarbeiter.

    Vorteile einer NAC-Lösung

    In der Vergangenheit wurden im Laufe verschiedener Technologiegenerationen bereits diverse Lösungen für die Zugriffsregelung entwickelt. Die Verfahren, welche auf Network Access Control (NAC) basieren, sind inzwischen mehrfach erprobt und die Praxiserfahrungen mit dieser Methodik entsprechend vielfältig. NAC verfügt über einen hohen Standardisierungsgrad, was sich positiv auf die Kosten und den Umsetzungs-zeitraum niederschlägt. NAC ist ein Verfahren, das für nahezu alle Arten von Endgeräten und Netzwerken angewendet werden kann. Auch das bringt einen entscheidenden Kostenvorteil, da nicht auf verschiedene Authentisierungsmethoden zurückgegriffen werden muss.

    Die Grenzen der Lösung

    Trotzdem erfordern NAC-Projekte eine klare Strukturierung und detaillierte Kenntnisse der Infrastruktur im Unternehmen, damit sie sich nahtlos in die bestehende Umgebung integrieren lassen. Nicht jedes Unternehmen hat den gleichen Sicherheitsbedarf, auch dies muss bei der Abklärung berücksichtigt werden.

    Die systemischen Grenzen von NAC liegen primär in den folgenden zwei Bereichen:

    - Unberechtigter Datenaustausch auf höheren Protokollen wie E-Mail, mobilen Speichern (USB, SD etc.), Papierausdruck etc.

    - Unsachgemässer Umgang mit vertraulichen Daten durch autorisierte Benutzer.

    Die Implementierung von NAC kann auf dem Technologiestandard 802.1X der international anerkannten Organisation Institute of Electrical and Electronics Engineers (IEEE) basieren. Im Rahmen dieses Standards werden verschiedene Verfahren zur Authentisierung angeboten. Ein NAC, welcher auf dem 802.1X-Zertifikat basiert, ist dadurch aber nicht automatisch ein sicheres Netzwerk, da dazu auch Authentifizierungsmethoden zählen, die aus Sicherheitsbetrachtungen ungeeignet sind.

    Wichtig ist, dass NAC nur den Zugang zum Netz kontrolliert. Der Standard kann auf keinen Fall Firewalls und andere Sicherheitsmethoden ersetzen. NAC stellt nur einen Teil einer umfassenden Sicherheitsstrategie dar. Deshalb ist eine genaue Abklärung der Bedürfnisse unabdingbar, damit ein lückenloses Sicherheits-konzept erstellt werden kann.

    Werbung

    KOMMENTARE

    Keine Kommentare

    KOMMENTAR SCHREIBEN

    *
    *
    *
    *

    Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

    Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
    Die Verfasser von Leserkommentaren gewähren der IDG Communications AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.

     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     

    Partnerzonen Aktuelle Artikel

     
     
     
     
     
     
     
     

    MiniAds

    Unified Communications 2012 – 12. Juni 2012

    Neue Lösungsansätze für neue Herausforderungen

    » Jetzt anmelden

    Microsoft SQL Day – 31. Mai 2012

    Erleben Sie bei Digicomp 14 Referate rund um MS SQL Server!

    » Jetzt Platz sichern!

    RICOH Schweiz AG

    Ihr Partner für Büroautomation & Printmanagement.

    » www.ricoh.ch

     
     
     
     
     
     
     
     

    ANZEIGE

    Kaderstellen ab 120.000 CHF

    Headhunter suchen Spitzenkräfte für exklusive Kaderstellen.

    Jetzt kostenlos anmelden!

     
     
     
     
     
     
     
     

    ICT-Presseticker

    mehr
     
     
     
     
     
     
     
     

    Special CIO-Channel

    IT-Verträge, Rechts- & Fachwissen im Abo.

    Zum Angebot.

     
     
     
     
     
     
     
     

    Computerworld: Aktuelle Ausgabe

    Computerworld aktuelle Ausgabe

    Risiko Smartphone: CIOs fürchten die Schussligkeit der Anwender.

    Patentkrieg: Wenn Oracle gewinnt, verlieren alle!

    Enterprise-Software: Der Nutzen lässt sich doch beziffern.

    » Bestellen