Was ist Network Access Control?

Durch die Network Access Control können Netzwerke vor un­er­laub­ten Zugriffen und Schä­di­gun­gen bewahrt werden. NAC funk­tio­niert vor und nach einem Zugriff.

Die Network Access Control, auch bekannt als NAC oder Netz­werk­zu­griffs­kon­trol­le, dient dazu, private Netzwerke zu schützen und sie vor dem un­er­laub­ten Zugriff durch externe Geräte zu bewahren, die bestimmte und klar de­fi­nier­te Si­cher­heits­richt­li­ni­en nicht erfüllen. NAC-Lösungen erledigen dabei im Großen und Ganzen zwei wichtige Aufgaben:

Network Access Control hat die komplette Übersicht über alle Geräte, die an ein be­stimm­tes Netzwerk an­ge­schlos­sen sind. Die Art der je­wei­li­gen Geräte spielt dabei keine Rolle, sodass neben Rechnern oder Smart­phones bei­spiels­wei­se auch Drucker, Scanner oder Tech­no­lo­gien des Internet of Things be­rück­sich­tigt werden können. Ziel dieser Her­an­ge­hens­wei­se ist es, fremden Systemen den Zugriff auf das interne Netzwerk über WLAN oder andere Zu­gangs­mög­lich­kei­ten zu un­ter­sa­gen und so die Si­cher­heits­ar­chi­tek­tur auf­recht­zu­er­hal­ten. Diese Art von Network Access Control nennt man Pre-Admission NAC.

Die Com­pli­ance-Funktion dient dazu, Geräte, die sich bereits innerhalb des Netzwerks befinden, zu über­prü­fen und so etwaige Pro­blem­quel­len oder Si­cher­heits­lecks so früh wie möglich zu iden­ti­fi­zie­ren. Durch Network Access Control wird bei­spiels­wei­se der Status einer Firewall oder eines An­ti­vi­ren­pro­gramms kon­trol­liert und dadurch ge­währ­leis­tet, dass sich nur Geräte innerhalb des Netzwerks befinden, die auf dem neuesten Stand sind. Die Funktion ist Teil des Post-Admission NAC, also der Netz­werk­zu­griffs­kon­trol­le, die bestimmte Bereiche innerhalb eines Netzwerks überwacht.

Es gibt zahl­rei­che un­ter­schied­li­che NAC-Systeme, die sich teilweise in ihrer Funk­ti­ons­wei­se un­ter­schei­den. In der Regel funk­tio­niert Network Access Control aber relativ ähnlich. Dazu legen das Si­cher­heits­team eines Un­ter­neh­mens oder die Person, die für ein Netzwerk ver­ant­wort­lich ist, zunächst Regeln fest, die für alle teil­neh­men­den Geräte ob­li­ga­to­risch sind. Über Netz­werk­zu­griffs­kon­trol­len werden neue Geräte dann überprüft und ka­te­go­ri­siert. Basierend auf den vorher de­fi­nier­ten Si­cher­heits­richt­li­ni­en wird der Zugang zum Netzwerk erlaubt oder untersagt. Ein Gerät mit Zugriff erhält bestimmte Rechte und wird weiterhin überprüft. So bleibt der Schutz des Netzwerks gewahrt.

Zwar ist NAC nicht für jedes Netzwerk geeignet, vor allem für Un­ter­neh­men oder größere Netzwerke lohnt sich aber der Einsatz. Die Technik er­mög­licht den kom­plet­ten Überblick über alle Geräte, die sich in einem Netzwerk befinden, und ver­hin­dert, dass sich Unbefugte einfach Zugang ver­schaf­fen können. Die Network Access Control hilft dabei, alle re­le­van­ten Si­cher­heits­richt­li­ni­en für das Netzwerk zu erstellen und zu wahren. Außerdem lassen sich Rechte und Rollen verteilen. Geräte, die sich bereits im Netzwerk befinden, aktuell aber nicht konform zu den Richt­li­ni­en arbeiten, können in Qua­ran­tä­ne versetzt und nach Behebung der Mängel re­ak­ti­viert werden.

Es gibt zahl­rei­che un­ter­schied­li­che Methoden und Funk­tio­nen, die von Network Access Control verwendet werden, um ein Netzwerk bereits vor dem Zugriff oder nach dem Zugriff best­mög­lich zu schützen. Zu den gän­gigs­ten gehören dabei folgende Tech­no­lo­gien:

Jedes Netzwerk benötigt fein ab­ge­stimm­te und aus­jus­tier­te Si­cher­heits­richt­li­ni­en, die ver­bind­lich für sämtliche Geräte und An­wen­dungs­fäl­le sind, dabei aber auch un­ter­schied­li­che Vor­aus­set­zun­gen und Be­rech­ti­gun­gen be­rück­sich­ti­gen. NAC-Lösungen erlauben Ihnen daher, diese Regeln im Vorfeld fest­zu­set­zen und bei Bedarf nach Aufbau des Netzwerks an­zu­pas­sen. Anhand der dabei fest­ge­leg­ten Parameter werden Geräte vor und während des Zugriffs kon­trol­liert.

Beim Profiling scannt die Network Access Control sämtliche Geräte, überprüft ihre Ei­gen­schaf­ten und gleicht z. B. ihre IP-Adressen ab. So können alle Geräte, die sich im Netzwerk befinden, erfasst und unter si­cher­heits­re­le­van­ten Aspekten durch­leuch­tet werden.

Selbst grund­sätz­lich be­rech­tig­te und frei­ge­ge­be­ne Geräte können innerhalb eines Netzwerks Schaden anrichten oder ab­sicht­lich bzw. un­ab­sicht­lich gegen die internen Regeln verstoßen. Sensoren, die entweder als Software-Kom­po­nen­ten oder direkt an Access Points arbeiten, über­prü­fen den gesamten Da­ten­ver­kehr innerhalb eines Netzwerks oder be­stimm­ter Teil­be­rei­che in Echtzeit und können diesen bei Verstößen un­ter­bin­den oder anhalten.

Bei Agenten handelt es sich im Bereich Network Access Control in den meisten Fällen um Software, die auf den End­ge­rä­ten in­stal­liert wird. Diese Agenten kom­mu­ni­zie­ren mit einer zentralen NAC-An­lauf­stel­le, die ihnen den Zugang zum Netzwerk gewährt. Der Vorteil bei dieser Methode ist, dass aus­schließ­lich vorher aus­ge­wähl­te und be­rech­tig­te Geräte Zugang erhalten. Nach­tei­lig ist, dass dadurch jedes Gerät mit einem solchen Agenten aus­ge­stat­tet werden muss. Das kann gerade bei sehr großen Netz­wer­ken sehr um­ständ­lich und zeit­auf­wen­dig sein. Neben Microsoft bietet z. B. Cisco einen Trust Agent für die NAC-Variante Network Admission Control.

Eine Al­ter­na­ti­ve sind temporäre Agenten, die nicht fest in­stal­liert werden müssen und bei einem Neustart au­to­ma­tisch gelöscht werden. Diese werden meistens über den Browser geladen und erfordern die aus­drück­li­che Zu­stim­mung des Teil­neh­mers oder der Teil­neh­me­rin. Diese Zwi­schen­lö­sung bietet sich für den tem­po­rä­ren, ein­ma­li­gen oder spo­ra­di­schen Zugriff auf ein Netzwerk an. Für die dau­er­haf­te Nutzung sind andere Methoden der Network Access Control al­ler­dings deutlich prak­ti­ka­bler.

Viele NAC-Tools schaffen über Virtual Local Area Networks Teil­be­rei­che, die lediglich be­stimm­ten Geräten zu­gäng­lich sind. So lassen sich sensible Bereiche von öf­fent­li­chen oder wei­test­ge­hend öf­fent­lich zu­gäng­li­chen Segmenten trennen.

Mit LDAP-Ver­zeich­nis­sen erstellt die Netz­werk­zu­griffs­kon­trol­le Gruppen, in die Nut­ze­rin­nen und Nutzer ein­ge­teilt werden können. Jede dieser Gruppen erhält bestimmte Rechte und hat somit Zugriff auf Teile des Netzwerks oder sämtliche Bereiche. So ist es auch möglich, Zugriffe nicht vom Endgerät, sondern einzelnen Personen abhängig zu machen.

Es gibt zahl­rei­che An­wen­dungs­mög­lich­kei­ten für Network Access Control. Nicht jede Lösung ist dabei auch für jeden Zweck geeignet oder emp­feh­lens­wert. Besonders ver­brei­tet sind die folgenden An­wen­dungs­fäl­le:

Bring Your Own Device oder BYOD ist eine Praktik, die mitt­ler­wei­le si­cher­lich in den meisten Netz­wer­ken zu finden ist. Einfach aus­ge­drückt bedeutet BYOD, dass sich Personen mit einem eigenen Endgerät in einem Netzwerk einwählen können. Das kann das Smart­phone im Büro sein oder der eigene Laptop im Netzwerk der Uni­ver­si­tät. Die zahl­rei­chen un­ter­schied­li­chen Devices stellen dadurch aber auch große Her­aus­for­de­run­gen an die In­fra­struk­tur und Si­cher­heit. Hier ist Network Access Control ei­gent­lich un­ab­ding­bar, um sensible Daten z. B. vor Schad­soft­ware zu schützen und gleich­zei­tig den Überblick zu behalten.

Auch Gäste bzw. un­ter­neh­mens­frem­de Personen benötigen unter Umständen Zugriff auf ein be­stehen­des System. Dieser findet zwar viel­leicht nur spo­ra­disch oder sogar einmalig statt, die richtige Mischung aus einer guten Ver­bin­dung und aller nötigen Si­cher­heits­aspek­te ist aber auch hierbei besonders wichtig. Auch deswegen braucht es eine durch­dach­te Network Access Control.

Durch das Internet of Things erhalten immer mehr Geräte Zugriffe auf ein Netzwerk. Nicht immer werden diese Devices auf dem neuesten Stand gehalten und einzeln überprüft. Mit einer guten NAC-Strategie stellen Sie sicher, dass solche Geräte kein Ein­falls­tor für Unbefugte dar­stel­len.

Gerade im Ge­sund­heits­we­sen steht die Si­cher­heit an oberster Stelle. Schließ­lich müssen Geräte ein­wand­frei funk­tio­nie­ren und Daten best­mög­lich geschützt werden, wofür es wichtig ist, dass das Netzwerk keinerlei Schwach­stel­len aufweist. Die passende Netz­werk­zu­griffs­kon­trol­le ist daher auch hier von großer Bedeutung.