Torwächter für Firmennetze

Stefan Starnecker ist Director Central Emea und Eastern Europe bei Consentry Networks.

Netzzugangskontrollsysteme, so genannte NAC-Lösungen (Network Access Control, siehe auch Markt-übersicht Seite 26), sind aus der Firmen-IT nicht mehr wegzudenken. Der Grund: Unternehmen müssen ihre Firmennetzwerke immer weiter für Dritte - etwa Dienstleister, Zulieferer oder Kunden - öffnen. Dies birgt grosse Sicherheitsrisiken. Weitere Gefahren gehen von Laptops aus, die gleichermassen im Firmen-LAN und an nicht vertrauenswürdigen Internetzugangspunkten eingesetzt werden.

Darüber hinaus zeigt sich, dass die Integration von immer mehr Services, Anwendungen und Endgeräte mit IP als zentrales Medium nicht nur einen Vorteil für Unternehmen darstellt. Die Anzahl der so genannten Non-Identity-Geräte im Netz explodiert geradezu. Heute werden nicht nur Drucker und Video-Equipment über IP angeschlossen, sondern auch intelligente Licht- und Heizungssteuerungen oder sogar Getränkeautomaten, die den Nachfüllbedarf selbständig über das Netz melden.

Katastrophal sind die Folgen, wenn es einem Hacker gelingt, das Firmennetz zu knacken: Neben Datenverlust und Image-Schaden können Unternehmen auch für Angriffe und Schäden, die aus ihren Netzen heraus stattgefunden haben, haftbar gemacht werden. Die gesetzlichen Bestimmungen sind diesbezüglich - vor allem in den USA, aber auch in Europa - erheblich verschärft worden.

Die IT-Abteilungen der Unternehmen stehen also vor der schwierigen Aufgabe, mehr Zugangsmöglichkeiten zum LAN zu schaffen, ohne die Systeme und Daten zu gefährden, und müssen gleichzeitig einer immer strengeren Nachweispflicht nachkommen. Mit NAC-Systemen soll diesen Herausforderungen begegnet werden.

Gerade in den letzten zwei Jahren haben viele Hersteller Systeme im NAC-Bereich lanciert. Es gibt jedoch deutliche Unterschiede in der Art der Implementierung beim grösstmöglichen Schutz. Das Gros der Hersteller bietet Lösungen, die auf den jeweiligen Endgeräten basieren. Hier wird durch Vorinstallation eines Agenten oder durch Download eines Sublicants versucht, die Hardware und den User zu authentifizieren und zu überprüfen. Solche Lösungen werden vor allem von Herstellern, die aus dem Bereich Antivirus oder Firewalling kommen, entwickelt.

Vorteile solcher Lösungen sind, dass sie relativ günstig sind und einen guten Schutz für KMU bieten, deren Aussendienstmitarbeiter sich auch von ungeschützten Einwahlpunkten aus in das Unternehmensnetz einwählen. Allerdings lassen sich mit diesen Systemen Non-Identity-Devices nicht erfassen und miteinbeziehen, da kein Agent oder Sublicant installiert werden kann.

Für mittlere bis grosse Unternehmen ist dieser Nachteil nicht hinnehmbar, da das Bedrohungspotenzial schlichtweg zu hoch ist. Diese Anwender sind an umfassenden NAC-Lösungen interessiert, die im Netz selbst implementiert werden und sowohl die Endgeräte wie auch die Zugriffe auf die verschiedenen Netzbereiche, Server und Applikationen erfassen.

Die Komplexität von NAC entsteht durch die Notwendigkeit, verschiedene Technologien zum Einsatz zu bringen. Grundsätzlich muss es Analyse-Instanzen geben, die den Datenverkehr scannen und analysieren. Da dies nicht zu einem Bottleneck führen soll, müssen diese Geräte über genügend Kapazität verfügen. Überdies sind Instanzen nötig, welche die Umsetzung der Regelwerke oder der Erkenntnisse aus der Analyse durchführen können, das so genannte Enforcement. Da es hier noch keinen einheitlichen Standard gibt, müssen beide Instanzen vom selben Hersteller stammen, um miteinander kommunizieren zu können.

Eine weitere Möglichkeit des Enforcements besteht im Einsatz von 802.1x-Standards. Sinnvollerweise sollte dies in den Zugangs-Switches (Edgeswitches) zur Verfügung stehen, um auf Portebene enforcen zu können.

Allerdings bedingt 802.1x die Installation eines Agenten auf den Endgeräten, was in der Praxis bei Grossunternehmen kaum durchführbar ist. Auch können damit wiederum Non-Identity-Geräte nur durch Umwege erfasst werden - welche von Hackern leicht umgangen werden können.

Idealerweise stehen die Analyse und Enforcement Funktionen in ein und demselben Gerät, in einer Appliance, zur Verfügung.

Grundsätzlich gibt es zwei Arten von LAN-Security-Appliances: Inline- und Out-of-Band-Lösungen. Inline-Appliances sind zwischen dem Switch im zentralen Verteilerraum (Wiring Closet) und dem Netzwerkkern positioniert und über ein Netzwerk verteilt nah am Nutzer. Da die Appliance mitten im Datenstrom des Netzwerkes sitzt, fungiert sie gleichzeitig als Analyse- und Enforcement-Instanz. Out-of-Band-Appliances hingegen werden zentral implementiert und sind meist mit einem Switch im Netzwerkkern verbunden. Da sie sich nicht innerhalb des Datenpfads befinden, dienen sie lediglich als Analyse-Instanz.

Das Enforcement wird anderen Infrastrukturkomponenten übertragen. Entweder in Form zusätzlich implementierter Appliances oder durch den Zugangsswitch (über Management-Funktionen oder über 802.1x).

Inline- und Out-of-Band-Appliances für die LAN-Sicherheit unterscheiden sich in ihrer Interoperabilität mit bestehenden Infrastrukturen, den unterstützten Sicherheitsservices und ihren Auswirkungen auf den Netzwerk- und IT-Betrieb.

Inline-Appliances sind autarke Komponenten, die den Datenverkehr in Echtzeit auf seine Richtlinienkonformität überprüfen und entscheiden, welche Daten in das LAN gelangen. Da sie ohne separate Enforcement-Infrastruktur auskommen, entstehen keine Probleme mit der Interoperabilität. Out-of-Band-Appliances überprüfen den Datenverkehr ebenfalls auf Einhaltung der Richtlinien, benötigen jedoch andere Netzwerkkomponenten für die Policy-Umsetzung. Daraus können sich Schwierigkeiten bei der Interoperabilität ergeben. Die IT-Abteilung muss sicherstellen, dass die für die Umsetzung zuständigen Wiring-Closet-Switches in der Lage sind, die von der Appliance übertragenen Befehle zu empfangen und entsprechend zu reagieren.

Ein weiterer Vorteil von In-Band-Appliances besteht darin, dass die NAC-Implementierung ohne Änderungen an der bestehenden Infrastruktur vorgenommen werden kann.

Um die Policies zu definieren, ist ein zentrales Management empfehlenswert. Idealerweise sollte die Definition über eine graphische Bedieneroberfläche erfolgen. Ausserdem ist eine Oberfläche wünschenswert, welche die wichtigsten Parameter der NAC-Analyse übersichtlich auf einem so genannten Dashboard zeigt.

Da durch jedes System automatisch benutzerbezogene Daten gesammelt werden, sollte das Management in der Lage sein, die Parameter für die Datensammlung individuell einstellen zu können. Idealerweise ist dabei eine Sicherheitsfunktion angekoppelt, etwa nach dem «Vier-Augen-Prinzip». Das heisst, Konfigurationsänderungen können nur vorgenommen werden, wenn zwei Personen gleichzeitig einen Schlüssel eingeben.