NAC - die Firewall von morgen

Sascha Pfeiffer ist NAC Business Development Manager bei Sophos.

Um ihre Wettbewerbsfähigkeit zu sichern, überdenken Firmen regelmässig ihre IT-Strategie. Aufgrund flexiblerer Arbeitsprozesse, dem zunehmenden Einsatz mobiler Endgeräte und neuer Kommunikationstechnologien lösen sich Netzwerkgrenzen auf. Die meisten Firmen arbeiten mit offenen Umgebungen: Mitarbeiter und Gäste erhalten Zugriff auf Daten von diversen Standorten aus. Der IT-Manager muss ihnen Zugang zum Netzwerk bieten und die Nutzung webbasierter Anwendungen wie Instant Messaging oder VoIP erlauben.

Dies bringt mehr Flexibilität und Produktivität, aber auch Risiken mit sich: Firewalls und Antivirenprogramme reichen heute nicht mehr aus. IT-Administratoren brauchen Unterstützung, um Systeme, Rechner und Daten vor Schadprogrammen und unberechtigten Zugriffen zu schützen. Nicht zuletzt, weil Unternehmen IT-Sicherheits- und Datenschutzregelungen nach SOX oder Basel II einhalten müssen.

Firmen müssen prüfen, wer sich im Netzwerk einloggt und ob alle angeschlossenen Rechner den geltenden Sicherheitsrichtlinien entsprechen. Dazu gehört die Kontrolle der Geräte auf Malware, Spam-Aktivitäten, E-Mail- und Datenschutzrichtlinien. Firmen sollten zudem individuell festlegen können, welche Websites oder Webanwendungen erlaubt sind. Möglich wird dies durch Kontrollmechanismen, wie Application Control und Network Access Control (NAC).

Die Idee von NAC: Jedes Endgerät im Netz wird einem «Gesundheitstest» unterzogen. Network Access Control überprüft, wer sich über welche Verbindung ins Netzwerk einwählt und ob das verwendete Endgerät den Sicherheitsrichtlinien entspricht. Dazu wird der Status der Hosts ermittelt - sowohl beim ersten Login als auch im laufenden Betrieb. Denn dessen Zustand kann sich aufgrund eines infizierten Downloads in kurzer Zeit dramatisch ändern.

Die Ergebnisse der Überprüfung werden an eine übergeordnete Validierungsinstanz geschickt, etwa an die Management- oder Policy-Plattform des Endpoint-Produkts. Diese übersetzt den Host-Zustand in Zugriffsrechte. Ist der Rechner integer, darf sein Nutzer auf alle ihm zugeteilten Ressour-cen zugreifen. Ist er es nicht, kommt er in einen isolierten Remediation-Bereich. Dort wird er für den User transparent und schnell repariert. Die Umsetzung der Policy übernimmt das Netzwerk im Hintergrund. Damit das Konzept funktioniert, müssen Endgeräte, Netzinfrastruktur sowie Authentifizierungs- und Autorisierungssysteme reibungslos interagieren.