NAC im zweiten Anlauf
NAC im zweiten Anlauf
Ziele erreicht
Insgesamt zieht Leupi eine positive Bilanz: «Mit der Einführung von Forescout CounterAct haben wir unsere definierten Ziele vollständig erreicht: Kein unsicherer Fremdcomputer kann sich heute in unser Netzwerk einloggen und dieses gefährden.»
Auch die Kosten hätten sich durchaus im Rahmen gehalten: «Wir mussten auf die leistungsstärkste Appliance von Forescout zurückgreifen. Diese hat mit rund 60000 Franken zu Buche geschlagen. Dieser Betrag beinhaltet aber lebenslange Lizenzrechte. Das heisst, es werden nur noch Supportkosten fällig», so Leupi.
Checkliste
Was Network Access Control kann - und was nicht
Grundsätzlich ist NAC eine Technik für die Zugangskontrolle, die Nutzer authentifiziert und deren Rechner auf Konformität zu den jeweiligen Sicherheitsregeln überprüft, bevor sie Einlass ins LAN gewährt. Als umfassende Lösung für die Netzzugangskontrolle konzipiert, kann NAC aber weit mehr: So lassen sich damit die Aktionen derer, die bereits im Netz sind, beschränken. NAC kann bestimmen, auf welche Server und Daten sie zugreifen und welche Applikationen sie nutzen dürfen.
Der Grad der über eine NAC-Lösung zu erzielenden Kontrolle hängt stark von deren Architektur ab. Eine einfache Zugangskontrolle für Gäste etwa lässt sich mit einer simplen Out-of-Band-Architektur realisieren. Ist mehr Kontrolle nötig - etwa eine Beschränkung dessen, was bereits im LAN befindlichen Nutzern erlaubt ist - ist es ratsam, sich Inline-NAC-Architekturen anzusehen. Darauf basierende Geräte schaffen eine weitaus solidere Grundlage für eine Kontrolle, da sie den gesamten durchlaufenden Datenverkehr inspizieren. Was sich damit im Detail überprüfen lässt, bestimmt wiederum der Funktionsumfang der jeweiligen Lösung.
Für die Nutzerkontrolle muss man verstehen, wie die Applikationen mit dem Netz arbeiten. Einige NAC-Systeme betrachten Anwendungen lediglich auf Netzebene 4, andere setzen auf der Applikationsschicht (Layer 7) an.
Das muss eine NAC-Lösung können:
- Kontrollieren, wer ins LAN darf, und die dort zugänglichen Ressourcen einschränken.
- Zugriffsmöglichkeiten für weniger vertraute oder unbekannte Nutzer begrenzen.
- Den Zugriff auf sensible Finanz- oder Kundendaten einschränken.
- Den Zugriff auf Daten nach Rollen, Tageszeit, Ort und Applikation überwachen.
- Nutzer segmentieren, um Compliance-Anforderungen zu erfüllen.
- Gegen bekannte und unbekannte Malware schützen.
- Reaktionen auf Sicherheitsvorfälle erleichtern.
- Kritische Dienste wie VoIP schützen.
- Zugriffsmöglichkeiten für weniger vertraute oder unbekannte Nutzer begrenzen.
- Den Zugriff auf sensible Finanz- oder Kundendaten einschränken.
- Den Zugriff auf Daten nach Rollen, Tageszeit, Ort und Applikation überwachen.
- Nutzer segmentieren, um Compliance-Anforderungen zu erfüllen.
- Gegen bekannte und unbekannte Malware schützen.
- Reaktionen auf Sicherheitsvorfälle erleichtern.
- Kritische Dienste wie VoIP schützen.
Was eine NAC-Lösung nicht kann:
- Informationen schützen, die das Unternehmen via E-Mail, Notebook-Diebstahl, in gedruckter Form oder per USB-Speicher verlassen.
- Gegen Social Engineering schützen.
- Verhindern, dass bekannte Malware über die WAN-Verbindung eindringt.
- Autorisierte Nutzer davon abhalten, unsachgemäss mit Daten umzugehen. Zwar mögen die Auditing-Fähigkeiten einer NAC-Lösung dabei helfen, herauszufinden, auf welche Dateien ein Nutzer zugegriffen hat. Dennoch kann NAC nicht verhindern, dass diese Informationen die Organisation verlassen.
- Gegen Social Engineering schützen.
- Verhindern, dass bekannte Malware über die WAN-Verbindung eindringt.
- Autorisierte Nutzer davon abhalten, unsachgemäss mit Daten umzugehen. Zwar mögen die Auditing-Fähigkeiten einer NAC-Lösung dabei helfen, herauszufinden, auf welche Dateien ein Nutzer zugegriffen hat. Dennoch kann NAC nicht verhindern, dass diese Informationen die Organisation verlassen.
Aus diesen Gründen müssen andere Security-massnahmen, wie etwa Data Leakage Protection (DLP) eine NAC-Lösung ergänzen. IDG
Claudia Bardola
