Network Access Control (NAC)

Türsteher

Während an den meisten Zugangspunkten innerhalb der IT-Infrastruktur bereits sichere Authentifizierungsverfahren umgesetzt werden, ist es in vielen Unternehmungen oft leicht möglich, auf die Netzwerkinfrastruktur über ungesicherte Zugänge zuzugreifen. Problematisch sind neben den direkten Angriffen auf geswitchte Netzwerke (durch MAC-Spoofing, VLAN- und STP-Attacken, Angriffe auf DNS-, DHCP- oder HSRP-Protokolle) häufig die "dummen Zufälle“.

Das Problem von eingeschleppten Viren und Würmen besteht grundsätzlich bei jedem Gerät, das, sei es auch nur temporär, nicht den Sicherheitsrichtlinien des Unternehmens entsprechend verwaltet wird. Beispiele hierfür sind Außendienstmitarbeiter, die sich mit veralteten Virensignaturen oder Patchleveln in fremden Netzen bewegen, um dann als Dienstbote den neusten Wurm an der Firewall vorbei direkt ins Netz einzuschleusen.

Auch Laptops von Gästen sind ein heikles Thema: Gerade diese Systeme sind in keiner Art und Weise kontrollierbar, und dennoch wird oft zu leichtfertig ein Netzzugang zur Verfügung gestellt. Für diese potentielle Bedrohung reicht bereits die Verfügbarkeit eines Netzwerkanschlusses aus, um aktiv am Netzwerk teilnehmen zu können. Daher ist der Schutz aller Zugangspunkte ein wichtiger Baustein im IT-Sicherheitskonzept eines Unternehmens.

Die verfügbaren Ports müssen also in irgendeiner Art und Weise vor unberechtigten Geräten geschützt werden. Als erste Grundregel sollten inaktive Ports deaktiviert werden (physikalischer Schutz).

Allerdings schützt die Maßnahme nicht davor, daß bereits aktive Ports einfach abgeklemmt werden oder vor mobilen Geräten, denen nur temporär Netzwerkzugang gewährt werden muss.

Wesentlich flexibler sind die portbasierten Authentifizierungsmethoden, die die Verfügbarkeit und Funktionalität der Netzwerkports vom angeschlossenen Teilnehmer abhängig machen. Auf diesem Weg lassen sich, nach erfolgter Ausweiskontrolle, die Netzteilnehmer entweder direkt vom aktiven Netzwerk entkoppeln oder, den Sicherheitsrichtlinien entsprechend, in bestimmte VLANs einordnen.

Die portbasierte Authentifizierung wird durch den Standard IEEE 802.1x beschrieben. Für die Identifikation jedes Teilnehmers ist dieser Standard einheitlich und damit unabhängig vom Netzwerktyp (Ethernet, logische VLANs, drahtlose Netzwerke).

Gerade die Technologie WLAN hat zur Verbreitung von 802.1x beigetragen und ist dort ein integraler Bestandteil der Infrastrukturkomponenten. In drahtgebunden Netzwerken hingegen sind marktreife Lösungen erst seit kurzem verfügbar.

Die magellan netzwerke präsentiert Ihnen gerne eine Auswahl an Möglichkeiten und ermittelt die für Ihr Unternehmen passende Lösung.