Unternehmen und Organisationen müssen ihre Netzwerke immer häufiger für Dritte, wie beispielsweise Partner, Lieferanten, Kunden oder Mitglieder öffnen. Damit steigt das Risiko eines Angriffs von innen ganz erheblich, weil die Administratoren die Eindringlinge meist nicht schnell genug erkennen können.

Genau dieses Problem bereitete auch Peter Leupi, IT-Leiter der Allgemeinen Gewerbeschule Basel (AGS), lange Zeit schlaflose Nächte: «Ein Schulnetzwerk stellt eine besondere Herausforderung dar. Einerseits muss es offen sein, andererseits müssen wichtige Daten ausreichend geschützt sein. In der Vergangenheit hatten wir mehrfach Viren- und Wurmbefall des Netzwerks. Die Firewall war gegen diesen Angriffe schlichtweg machtlos, da die Attacken von innen heraus stattgefunden haben.»

Vor drei Jahren bereits machte sich Leupi auf die Suche nach einer Lösung, die das LAN gegen unbefugten Zugriff und Attacken aus dem Ethernet schützen sollte. Schnell war klar, dass nur ein NAC-System (Network Access Control) dies würde leisten können. Ein solches Zugangskontrollsystem regelt, wer was im lokalen Netz darf, und ergänzt so bestehende Sicherheitssysteme.

Die Suche nach einer passenden NAC-Lösung gestaltete sich allerdings alles andere als einfach. Leupi erinnert sich: «Vor drei Jahren war Network Access Control kaum mehr als ein Hype-Begriff: Zwar redeten alle davon - aber konkrete und auch brauchbare Lösungen liessen sich an einer Hand abzählen.» Das System, das Leupi zum damaligen Zeitpunkt am geeignetsten schien, war Cisco NAC. Daher entschloss sich Leupi für dieses Produkt. Gemeinsam mit NExtiraOne, der Cisco-Partnerin der Stadt Basel, machten Leupi und sein Team sich an die Einführung.

An das, was darauf folgte, erinnert sich der IT-Leiter bis heute nicht gerne. «Die Im-plementierung war eine zweieinhalbjährige Odyssee mit dem Resultat, dass Cisco NAC nicht zum Laufen gebracht werden konnte», fasst er zusammen.

Schuld daran waren aber weder die Einführungspartnerin noch die Lösung selbst. Das Problem lag vielmehr an der Infrastruktur der AGS Basel, die noch auf Windows 2000 basierte und daher mit dem System nicht harmonierte. Schlussendlich, so Leupi, habe sich aber auch herauskristallisiert, dass Cisco NAC ohnehin viel zu komplex und zu umfangreich für die Bedürfnisse der Gewerbeschule gewesen sei. Daher wurde das NAC-Projekt auf Eis gelegt.

Vor einigen Monaten schliesslich wurde die Firma «bw digitronik» aus Uster im Kanton Zürich bei Leupi vorstellig. Als langjährige Security-Lieferantin der Allgemeinen Gewerbeschule Basel kannte sie deren bestehende NAC-Problematik und wollte dafür mit der CounterAct Appliance der kalifornischen Herstellerin Forescout die geeignete Lösung gefunden habe. Diese Appliance bietet die Möglichkeit, unternehmensweite Sicherheitsrichtlinien auf Anwendungs-ebene durchzusetzen. Ein Ansatz, der Leupi so nachhaltig überzeugte, dass dieser trotz der bisher schlechten Erfahrungen beschloss, einen zweiten Anlauf für die NAC-Einführung zu wagen.

Und dieses Mal blieb der Erfolg nicht aus. «Plötzlich ging es Schlag auf Schlag», erinnert sich Leupi. Eine Woche nach der Entscheidung standen die Forescout-Leute der deutschen Niederlassung mit den Spezialisten von bw digitronik in Basel. Die Experten setzten die CounterAct-Appliance ins Netz und nach einem halben Tag Konfigurationsaufwand konnte das Gerät bereits den Betrieb aufnehmen. Leupi: «Die Appliance lief von der ersten Minute an tadellos. Damit war das Problem, über das wir uns jahrelang den Kopf zerbrochen hatten, innert extrem kurzer Zeit gelöst.»

Laut Leupi ging die Einführung auch deshalb so reibungslos über die Bühne, weil das Netzwerk der Schule relativ flach und auch sehr gut strukturiert aufgebaut ist. Insgesamt hängen rund 450 PCs am Netzwerk.

Heute sorgt die CounterAct Appliance bei der Allgemeinen Gewerbeschule Basel dafür, dass alle PCs, die auf das Netzwerk zugreifen, den definierten Sicher-heitsrichtlinien entsprechen. Dabei kommt ein Richtliniensystem zum Tragen, das die Netzwerkzugriffskontrolle vor und nach der Verbindung bereitstellt. Mit Hilfe einer so genannten Remote-Application-Termination-Funktion können die Administratoren ausserdem riskante Anwendungen, wie beispielsweise P2P-Programme (Peer to Peer), automatisch schliessen.

Den grössten Vorteil sieht Leupi darin, dass das System clientless arbeitet. Das heisst, auf den einzelnen Schulrechnern muss keine Software installiert werden. Dies vereinfacht einerseits das Netzwerkmanagement und andererseits können auf diese Weise verschiedene Geräte, ganz unabhängig vom installierten Betriebssystem, auf ihre Security-Konformität hin überprüft werden.

Laut Leupi punktet das Gerät auch mit seiner Granularität: So lassen sich Sicherheitsrichtlinien genau auf einzelne User oder auf ganze Benutzergruppen massgerecht zuschneiden. Zudem sei es sehr einfach zu administrieren und auch das Erstellen von neuen Richtlinien und Regeln sei «keine grosse Sache», wie Leupi betont.

Insgesamt zieht Leupi eine positive Bilanz: «Mit der Einführung von Forescout CounterAct haben wir unsere definierten Ziele vollständig erreicht: Kein unsicherer Fremdcomputer kann sich heute in unser Netzwerk einloggen und dieses gefährden.»

Auch die Kosten hätten sich durchaus im Rahmen gehalten: «Wir mussten auf die leistungsstärkste Appliance von Forescout zurückgreifen. Diese hat mit rund 60000 Franken zu Buche geschlagen. Dieser Betrag beinhaltet aber lebenslange Lizenzrechte. Das heisst, es werden nur noch Supportkosten fällig», so Leupi.

Checkliste

Grundsätzlich ist NAC eine Technik für die Zugangskontrolle, die Nutzer authentifiziert und deren Rechner auf Konformität zu den jeweiligen Sicherheitsregeln überprüft, bevor sie Einlass ins LAN gewährt. Als umfassende Lösung für die Netzzugangskontrolle konzipiert, kann NAC aber weit mehr: So lassen sich damit die Aktionen derer, die bereits im Netz sind, beschränken. NAC kann bestimmen, auf welche Server und Daten sie zugreifen und welche Applikationen sie nutzen dürfen.

Der Grad der über eine NAC-Lösung zu erzielenden Kontrolle hängt stark von deren Architektur ab. Eine einfache Zugangskontrolle für Gäste etwa lässt sich mit einer simplen Out-of-Band-Architektur realisieren. Ist mehr Kontrolle nötig - etwa eine Beschränkung dessen, was bereits im LAN befindlichen Nutzern erlaubt ist - ist es ratsam, sich Inline-NAC-Architekturen anzusehen. Darauf basierende Geräte schaffen eine weitaus solidere Grundlage für eine Kontrolle, da sie den gesamten durchlaufenden Datenverkehr inspizieren. Was sich damit im Detail überprüfen lässt, bestimmt wiederum der Funktionsumfang der jeweiligen Lösung.

Für die Nutzerkontrolle muss man verstehen, wie die Applikationen mit dem Netz arbeiten. Einige NAC-Systeme betrachten Anwendungen lediglich auf Netzebene 4, andere setzen auf der Applikationsschicht (Layer 7) an.

- Kontrollieren, wer ins LAN darf, und die dort zugänglichen Ressourcen einschränken.
- Zugriffsmöglichkeiten für weniger vertraute oder unbekannte Nutzer begrenzen.
- Den Zugriff auf sensible Finanz- oder Kundendaten einschränken.
- Den Zugriff auf Daten nach Rollen, Tageszeit, Ort und Applikation überwachen.
- Nutzer segmentieren, um Compliance-Anforderungen zu erfüllen.
- Gegen bekannte und unbekannte Malware schützen.
- Reaktionen auf Sicherheitsvorfälle erleichtern.
- Kritische Dienste wie VoIP schützen.

- Informationen schützen, die das Unternehmen via E-Mail, Notebook-Diebstahl, in gedruckter Form oder per USB-Speicher verlassen.
- Gegen Social Engineering schützen.
- Verhindern, dass bekannte Malware über die WAN-Verbindung eindringt.
- Autorisierte Nutzer davon abhalten, unsachgemäss mit Daten umzugehen. Zwar mögen die Auditing-Fähigkeiten einer NAC-Lösung dabei helfen, herauszufinden, auf welche Dateien ein Nutzer zugegriffen hat. Dennoch kann NAC nicht verhindern, dass diese Informationen die Organisation verlassen.

Aus diesen Gründen müssen andere Security-massnahmen, wie etwa Data Leakage Protection (DLP) eine NAC-Lösung ergänzen. IDG