NAC im zweiten Anlauf
NAC im zweiten Anlauf
Neustart des Projekts
Vor einigen Monaten schliesslich wurde die Firma «bw digitronik» aus Uster im Kanton Zürich bei Leupi vorstellig. Als langjährige Security-Lieferantin der Allgemeinen Gewerbeschule Basel kannte sie deren bestehende NAC-Problematik und wollte dafür mit der CounterAct Appliance der kalifornischen Herstellerin Forescout die geeignete Lösung gefunden habe. Diese Appliance bietet die Möglichkeit, unternehmensweite Sicherheitsrichtlinien auf Anwendungs-ebene durchzusetzen. Ein Ansatz, der Leupi so nachhaltig überzeugte, dass dieser trotz der bisher schlechten Erfahrungen beschloss, einen zweiten Anlauf für die NAC-Einführung zu wagen.
Und dieses Mal blieb der Erfolg nicht aus. «Plötzlich ging es Schlag auf Schlag», erinnert sich Leupi. Eine Woche nach der Entscheidung standen die Forescout-Leute der deutschen Niederlassung mit den Spezialisten von bw digitronik in Basel. Die Experten setzten die CounterAct-Appliance ins Netz und nach einem halben Tag Konfigurationsaufwand konnte das Gerät bereits den Betrieb aufnehmen. Leupi: «Die Appliance lief von der ersten Minute an tadellos. Damit war das Problem, über das wir uns jahrelang den Kopf zerbrochen hatten, innert extrem kurzer Zeit gelöst.»
Laut Leupi ging die Einführung auch deshalb so reibungslos über die Bühne, weil das Netzwerk der Schule relativ flach und auch sehr gut strukturiert aufgebaut ist. Insgesamt hängen rund 450 PCs am Netzwerk.
Türsteher fürs Schulnetz
Heute sorgt die CounterAct Appliance bei der Allgemeinen Gewerbeschule Basel dafür, dass alle PCs, die auf das Netzwerk zugreifen, den definierten Sicher-heitsrichtlinien entsprechen. Dabei kommt ein Richtliniensystem zum Tragen, das die Netzwerkzugriffskontrolle vor und nach der Verbindung bereitstellt. Mit Hilfe einer so genannten Remote-Application-Termination-Funktion können die Administratoren ausserdem riskante Anwendungen, wie beispielsweise P2P-Programme (Peer to Peer), automatisch schliessen.
Den grössten Vorteil sieht Leupi darin, dass das System clientless arbeitet. Das heisst, auf den einzelnen Schulrechnern muss keine Software installiert werden. Dies vereinfacht einerseits das Netzwerkmanagement und andererseits können auf diese Weise verschiedene Geräte, ganz unabhängig vom installierten Betriebssystem, auf ihre Security-Konformität hin überprüft werden.
Laut Leupi punktet das Gerät auch mit seiner Granularität: So lassen sich Sicherheitsrichtlinien genau auf einzelne User oder auf ganze Benutzergruppen massgerecht zuschneiden. Zudem sei es sehr einfach zu administrieren und auch das Erstellen von neuen Richtlinien und Regeln sei «keine grosse Sache», wie Leupi betont.
