10.05.2022

Wissen Sie, wie viele Geräte auf Ihr Firmennetzwerk zugreifen?

NAC2.jpg

Falls nicht, empfehlen wir Ihnen eine NAC-Lösung (Network Access Control).

Was ist Network Access Control?

Das ist eine einfache Frage, oder? Eigentlich ist NAC ein weit gefasster Begriff in einer Kategorie, die sich schnell weiterentwickelt.

Auf einer hohen Ebene beschreibt NAC lediglich eine Sicherheitsrichtlinie, bei der bestimmte Geräte auf der Grundlage einer Reihe von Bedingungen unterschiedliche Stufen des Netzwerkzugangs erhalten.

Frühe NAC-Lösungen nutzten nur die 802.1X-Vorauthentifizierung und verfügten nur über grundlegende Optionen für die Implementierung von Zugriffskontrollen - typischerweise in Form eines Ein/Aus-Schalters. Diese frühen Lösungen sind in der modernen IT-Umgebung nicht mehr relevant, da die Anzahl von Internet-of-Things (IoT)-Geräten in den Netzwerken überall stark zunimmt.

Moderne NAC-Lösungen sind weitaus eleganter. Sie sind in der Lage, eindeutige Endpunkte zu identifizieren, große Datenmengen aus einer Vielzahl von Quellen zu sammeln und auf dieser Grundlage fundierte Entscheidungen darüber zu treffen, wie Kontrollen am besten implementiert werden können.

Worauf Sie bei einer NAC-Lösung achten sollten

Sicherheitsrichtlinien, Netzwerk- und IT-Systemdesigns und Anforderungen sind von Unternehmen zu Unternehmen sehr unterschiedlich.

Aus diesem Grund sollten Sie nach einer Lösung suchen, die Ihrem Unternehmen die meisten Optionen und die größte Flexibilität bietet, um die unzähligen einzigartigen Situationen zu bewältigen, die heute in Unternehmensnetzwerken bestehen - und die in Zukunft entstehen werden. Im Folgenden finden Sie einige wichtige Funktionen, auf die Sie achten sollten:

Sichtbarkeit von Endpunktdaten

Je mehr Daten Sie in Ihre NAC-Lösung einspeisen können, desto fundiertere Entscheidungen kann sie treffen, und desto mehr können Sie Ihre Netzwerkzugriffskontrollpolitik automatisieren.

In einigen Umgebungen ist eine herstellerunabhängige Lösung für Router/Switches von entscheidender Bedeutung. Stellen Sie also sicher, dass die Hersteller Ihrer Netzwerkgeräte von der geplanten NAC-Lösung vollständig unterstützt werden.

Achten Sie außerdem auf Integrationspunkte zwischen Ihrem bestehenden Netzwerk und Sicherheitstools wie Schwachstellenscannern oder Lösungen für die Verwaltung mobiler Geräte.

Durch solche Integrationen kann Ihre NAC-Lösung Daten mit diesen anderen Tools austauschen, wodurch beide in die Lage versetzt werden, intelligentere Sicherheitsentscheidungen zu treffen.

Und schließlich sollten Sie sicherstellen, dass Sie Ihre eigenen benutzerdefinierten Integrationen erstellen können. Dies kann der Schlüssel zur Realisierung eines wirklich automatisierten Ansatzes für die Zugriffskontrolle in einer bestimmten Umgebung sein.

Inline vs Out-of-Band

Eine Inline-Lösung kann den Netzverkehr in Echtzeit beobachten, Entscheidungen über Eigenschaften treffen und Maßnahmen auf der Netz- und Transportebene ergreifen, um unerwünschten Verkehr zu stoppen.

Der Nachteil ist die zusätzliche Zeit, die der gesamte Netzwerkverkehr benötigt, um in Ihre internen Netzwerke ein- oder auszutreten.

Bei einer Out-of-Band-Lösung gibt es keine Auswirkungen auf den Datenverkehr, der in Ihre Netze eintritt oder sie verlässt, aber die Möglichkeit, den Netzwerkverkehr in Echtzeit zu sehen, wird zu einer größeren Herausforderung.

Suchen Sie ein Produkt, das die Vorteile beider Lösungen bietet. Stellen Sie außerdem sicher, dass es nicht vollständig von der Sichtbarkeit des Netzwerkverkehrs abhängt, um seine Kernfunktionen zu erfüllen, da es in einem großen Unternehmen unwahrscheinlich ist, dass eine Lösung in der Lage ist, den gesamten Ost/West-Verkehr an allen Standorten zu sehen.

Pre-Connect vs Post-Connect

Auf einer sehr hohen Ebene bedeutet "Pre-Connect", dass Entscheidungen über die Zugriffskontrolle getroffen werden, bevor einem Gerät der Zugriff auf Produktionsressourcen gewährt wird. Bei diesem Ansatz hat die Sicherheit Vorrang vor dem Benutzererlebnis, da eine NAC-Lösung die Authentifizierung, Inspektion oder anderweitige Bestätigung der Systemsicherheit vornehmen muss, während der Benutzer wartet.

Klassische 802.1X-Lösungen, die ausschließlich auf Authentifizierung setzen, fallen in diese Kategorie.

Post-Connect ist das Gegenteil und der üblichere, moderne Ansatz, insbesondere für kabelgebundene Netzwerke. Endgeräte werden in das Produktionsnetzwerk zugelassen und sofort überprüft. Wenn sie die Anforderungen nicht erfüllen, wird ihnen der Zugang ganz oder teilweise entzogen. Bei diesem Ansatz werden die Benutzerfreundlichkeit und die Betriebszeit gegenüber der ultimativen Sicherheit bevorzugt.

Im Idealfall sollten Sie ein System haben, das beides leisten kann. In drahtlosen Netzwerken sollten sich beispielsweise nur Benutzersysteme befinden, so dass ein 802.1X-Authentifizierungsansatz vor dem Verbindungsaufbau am besten geeignet ist.

In kabelgebundenen Netzwerken gibt es jedoch kritische Infrastrukturen oder eine Benutzerbasis, die 100 Prozent der Zeit produktiv sein muss; daher ist eine unterbrechungsfreie Hintergrundüberprüfung aller Systeme nach dem Verbindungsaufbau möglicherweise der bessere Ansatz. Suchen Sie nach einem Produkt, das Sie nicht auf einen Ansatz für alle Ihre Netzwerke festlegt.

Agent vs. Remote Inspection

Suchen Sie nach einer Lösung, die Endgeräte via Remote-Zugriff inspizieren und verwalten kann, ganz ohne Agent, und zwar auf so vielen Betriebssystemen, wie Sie sich vorstellen können.

Suchen Sie aber auch nach einer Lösung, die über einen Agenten verfügt, so dass sie auch in eher selten auftauchenden Situationen eingesetzt werden kann, z. B. bei alten Windows XP-Systemen, die weiterlaufen müssen, um Ihre alten Anwendungen zu unterstützen.

Sie können ein XP-System möglicherweise nicht von der Domänenebene aus verwalten, so dass Sie in solchen Fällen mit einem Agenten einen tiefen Einblick in das System gewinnen können. Stellen Sie sicher, dass der Agent auf diese Weise verwendet werden kann, anstatt einen globalen Switch zu verwenden, der den Einsatz von Agenten überall oder nirgends erfordert.

Policies

Die Art und Weise, wie eine NAC-Lösung die Kontrollen implementiert, beschreibt die Möglichkeiten, den Zugang zu Ihrem Netzwerk zu verweigern oder einzuschränken, und mehrere Optionen zu haben, ist der Schlüssel, um eine Antwort auf jede Situation zu haben.

Unterschiedliche Netzwerkimplementierungen und -konfigurationen zwischen lokalen Standorten machen es unter Umständen unmöglich, eine grundlegende Netzwerkzugriffskontrollrichtlinie zu standardisieren, die unerwünschte Systeme aus dem Netzwerk sperrt.

Sie benötigen also eine Lösung, die den Zugriff auf mehreren Ebenen des OSI-Modells einschränken kann, zumindest auf den Ebenen 1 bis 4.

Darüber hinaus ermöglicht die «Deep Inspection» der verwalteten Endpunkte die Durchführung einer beliebigen Anzahl von Konformitätsprüfungen, und jede konformitätsbasierte Kontrolle könnte eine ganz andere Netzwerkbeschränkung darstellen als die anderen.

Aus diesem Grund sollten die Kontrollen so granular sein, dass sie separat und effektiv auf alle Anwendungsfälle abzielen, ohne dass weitere Netzwerkzugänge entfernt werden müssen und dadurch die Produktivität beeinträchtigt wird.


Gerne stellen wir Ihnen unsere NAC-Lösungen in einem persönlichen Gespräch vor.

Die letzten Beiträge:

bw digitronik in Liquidation / wichtige Informationen für Kunden / important information for customers
Incident Response Retainer vs. Incident Support Service
Inside bw digitronik - Heute: Toby

bw digitronik ag | Uster West 30 | CH-8610 Uster
Telefon +41 44 905 48 48 | Fax +41 44 905 48 88 | Mail

Unsere verlässlichen Partner:

bw-digitronik – IT-Security Lösungen für die Schweiz

Anmelden

Datenschutz

powered by webpresso