- Anzeigen -

Sie sind hier: Home » Fachartikel » Entscheidungshilfen

Warum eigentlich Network Access Control?


Effiziente Compliance mittels Netzwerkzugangskontrolle
Flächendeckende Abbildung der Compliance-Zustände aller im Netzwerk befindlichen Geräte durch beliebige, herstellerunabhängige Datenlieferanten

- Anzeigen -





Von Christian Bücker, Geschäftsführer der macmon secure GmbH Berlin

Netzwerkzugangskontrolle spielt in der IT eine immer größere Rolle. Der Einsatz unterschiedlichster Endgeräte nimmt rasant zu. Wer sitzt zum Surfen eigentlich noch vor dem PC? Mittlerweile nutzen wir das Smartphone oder Tablet als Zugangsinstrument – das ist komfortabler und handlicher und das überträgt sich bis zum Arbeitsplatz. Die Möglichkeiten und den Komfort, den diese Geräte bieten, erwarten die Mitarbeiter heute und zukünftig auch an ihrem Arbeitsplatz.

Gerade die gängigen Endgeräte, wie auch einfache Access Points sind heute so kinderleicht zu bedienen, dass Mitarbeiter ohne weiteres entsprechende "Verteiler" mitbringen, anschließen und betreiben können – ohne, dass es die IT-Abteilung mitbekommen würde. Dem IT-Verantwortlichen läuft es dabei eiskalt den Rücken herunter.

Die Mitarbeiter selbst haben jedoch oft kein Gefühl und auch nicht das Know-how, welche Gefahren auf sie lauern. Die genutzten Geräte sind in der Regel gar nicht für den Unternehmenseinsatz gedacht und damit auch nicht einfach zentral verwaltbar. Das Zulassen auch nur einzelner Geräte öffnet jedoch den Zugang für alle anderen, wenn nicht zeitgleich oder vorher eine entsprechende Kontrollinstanz eingeführt wurde. Diese Instanz heißt Network Access Control (NAC).

Ein weiterer Grund, warum die Netzwerkzugangskontrolle aktuell auf dem Vormarsch ist, sind die mittlerweile einfachen und anwendbaren Lösungen. Bis vor kurzem noch basierten die meisten der angebotenen Produkte auf Technologien und Lösungsansätzen, die nicht oder nicht zufriedenstellend arbeiteten. So sollten flächendeckend Appliances im Netzwerk verteilt werden, die den Traffic von unerwünschten Systemen blocken, Software auf allen Clients installiert werden, die nur die Kommunikation zu eigenen Geräten erlauben oder die Infrastruktur musste aufwendig auf Komponenten eines Herstellers umgerüstet werden.

Neue und alte, aber dafür gereifte Technologien bieten heute die Möglichkeit, eine Kontrolle und damit eine zentrale Sicherheitsinstanz einzuführen. Das bestehende Netzwerk muss nicht angepasst werden, es stehen keine hohen Investitionen an und der Aufwand ist absolut überschaubar.

Es ist also eine gute Zeit, dass sich Unternehmen Gedanken über die Einführung einer neuen oder Modernisierung einer veralteten NAC-Lösung machen. Doch worauf muss bei der Auswahl der Lösung geachtet werden?

Zentrales Thema: Übersicht und Kontrolle aller Netzwerkzugänge
Wichtig ist, dass die eingesetzte Lösung nicht nur den Zugriff kontrolliert, sondern auch zu einem signifikanten Anstieg der Transparenz im eigenen Netzwerk führt. Nur wenn bekannt ist, was genau und wo genau vorhanden und zugelassen ist, kann effektiv auf unbekannte und unerwünschte Systeme und Komponenten reagiert werden.

Die wichtigsten Faktoren sind hier:
• >>
Mitarbeiter dürfen nicht mehr unbemerkt fremde Geräte anschließen.
• >> Besucher dürfen nicht mehr einfach zugängliche Netzwerkzugänge nutzen.
• >> Nutzen Angreifer die unwissenden Mitarbeiter aus und tarnen sich z.B. als Servicetechniker im Blaumann, dürfen trotzdem keine Geräte wie z.B. Drucker, unbemerkt eingebracht oder getauscht werden.

Zeitgemäße Technologien nutzen SNMP (Simple Network Management Protocol), um mit allen Switches und Routern in Ihrem Netzwerk zu kommunizieren – unabhängig, von welchem Hersteller und wie aktuell die Komponenten sind. SNMP beschreibt den Aufbau der Datenpakete, die gesendet werden können, und den Kommunikationsablauf. Das Protokoll regelt dabei die Kommunikation zwischen den überwachten Geräten und der Überwachungsstation. Durch diese direkte Kommunikation mit der "vordersten Front", erhält man eine vollständige Netzwerkübersicht und die Gewissheit, dass nicht Teilbereiche ausgelassen werden, weil beispielsweise nicht genügend Appliances verteilt wurden.

NAC im Kontext Compliance
Neben der Netzwerkzugangskontrolle wird auch die detaillierte Überprüfung der zugelassenen Systeme auf Einhaltung der Sicherheitsrichtlinien immer wichtiger. In vielen Situationen reichen schon "kleine Sicherheitsverstöße", um leicht erreichbare Angriffsflächen zu bieten. Eine permanente Überprüfung des "Compliance-Status" und die automatisierte Durchsetzung der Vorgaben, sind damit unumgänglich.

Um diesen Imperativ gerecht zu werden, sollten moderne NAC-Lösungen – unabhängig von der Größe des Unternehmens – einige zentrale Funktionen bieten:

Key Facts
>>
Flächendeckende Abbildung der Compliance-Zustände aller im Netzwerk befindlichen Geräte durch beliebige, herstellerunabhängige Datenlieferanten
>> Proaktive Reaktion auf Infektionsquellen
>> Schnelle und automatisierte Isolation von unsicheren Systemen im Netzwerk
>> Einfaches und schnelles Implementieren(im Optimalfall ohne Veränderung der bestehenden Infrastruktur um Investitionen zu schützen)

Nutzung beliebiger, herstellerunabhängiger Quellen zur Ermittlung des Compliance-Status
Zahlreiche Unternehmen haben bereits Systeme im Einsatz, die in der Lage sind, den Compliance-Status der Endgeräte zu ermitteln und die Administratoren über Abweichungen zu informieren. Fast alle haben jedoch gemein, dass die effektive Durchsetzung der Richtlinien in der Regel von Hand oder zumindest reaktiv erfolgen muss.

Dieses reaktive Vorgehen birgt jedoch das Risiko, dass Lücken nicht sofort geschlossen werden und potentielle Angreifer Handlungsspielraum haben. Außerdem entsteht dadurch enormer Management-Aufwand, der dringend benötigte Ressourcen in den IT-Abteilungen bindet. Besitzt die NAC-Lösung jedoch die Möglichkeit, sich flexibel – beispielsweise durch modularen Aufbau – an die jeweiligen Gegebenheiten anzupassen, minimiert sich das Risiko. Je nach Anforderung kann in diesem Fall der Compliance-Status von externen Quellen empfangen, durch die Anbindung fremder Datenbanken aktiv eingeholt oder aktiv durch Agenten ermittelt werden. Auch die Nutzung integrierter IF-MAP Technologie kann hier von Vorteil sein.

Lesen Sie zum Thema "IT-Security" auch: IT SecCity.de (www.itseccity.de)

Bei einem solchen Ansatz bekommt eine offene Schnittstelle, die beliebige, herstellerunabhängige Quellen verwenden kann, um den Compliance-Status eines Endgerätes zu übermitteln, und das Anbinden mehrerer unterschiedlicher Quellen auf einmal ermöglicht, eine Schlüsselrolle. Wird bei einem solchen Setup der Compliance-Status eines Endgeräts durch ein anderes System, wie beispielsweise Endpoint Security, Intrusion Prevention, Security Incidentand Event Management, Patch Management oder Schwachstellen-Management verändert, so kann die Änderung, einschließlich der Angabe der Quelle und des Grundes, in einer GUI angezeigt werden.

Ein flexibles Regelwerk erlaubt dann, eine Konfiguration der Reaktion auf die Status-Änderung. Endgeräte, die nicht mehr regelkonform sind, können dann beispielsweise automatisch in Quarantäne und nach erfolgter Prüfung sowie entsprechend erneuter Status-Veränderung wieder in ihren ursprünglichen Netzwerkbereich verschoben werden.

Ein entscheidender Vorteil der Kombination verschiedener Lösungen ist dabei, dass die Zuständigkeiten der einzelnen IT-Bereiche nicht verändert werden. Wie und wann auf einen Richtlinienverstoß reagiert wird, entscheidet der Administrator des jeweiligen Systems. Die Netzwerkabteilung kann einen Automatismus zur Erfüllung von Isolationsaufgaben anbieten. Sie muss in keiner Weise selber eingreifen, da die Isolierung und das Zurückführen automatisiert durch das Regelwerk erfolgen. Das befreit Ressourcen, die beispielsweise in andere strategische IT-Initiativen umgeleitet werden können.

Einbindung von Antivirus-Systemen
Eine weitere Komponente, die bei der Auswahl einer NAC-Lösung erwägt werden sollte, ist eine automatisierte Einbindung von Antivirus-Systemen. Eine solcheaktive Komponente erlaubt das Anbinden diverser Antivirus-Systeme (z.B. Kaspersky, McAfee, Sophos, Symantec oder TrendMicro), um auf kritische Events reagieren zu können, ohne notwendige Konfigurationen am Antivirus-Management selbst vornehmen zu müssen.

Virenscanner können die permanent neuen Malware-Bedrohungen und modifizierte Schädlinge nicht immer vollständig abwehren und neben der Erkennung muss auch das Säubern gewährleistet sein. Regelmäßiges Patchen, aktuelle Virenscanner und zusätzliche Technologien wie Desktop Firewall, Host Intrusion Prevention oder Application Control bieten zwar bereits hervorragenden Schutz, dennoch gibt es Situationen, in denen der Virenscanner nicht mehr adäquat auf eine Bedrohung reagieren kann.

Wenn das Antivirus-Programm auf einem Endgerät meldet, dass eine Malware nicht gesäubert und nicht gelöscht werden konnte, möchte man das betreffende System möglichst schnell finden und isolieren, um händisch eingreifen zu können. Ist das Antivirus-Programm an die NAC-Lösung angekoppelt,erkennt es diese Situation automatisch und isoliert direkt das betreffende Endgerät oder verändert seinen Status auf "Non-Compliant".

Aktive Statusänderung durch Agenten
Eine dritte Möglichkeit, die Compliance im Unternehmen zu wahren, ist die Verwendung eigens darauf ausgerichteter Agenten, die im NAC-System die Richtlinienkonformität der Endgeräte überprüft. Solche Agenten ermitteln zyklisch den Status des Virenschutzes, der Firewall, des Patchlevels und weiterer konfigurierbarer Eigenschaften der Endgeräte des Unternehmens. Entspricht ein Endgerät nicht den Vorgaben, so wird – ähnlich wie bei der oben beschriebenen Einbindung von Antivirus-Systemen– der Status geändert und das Endgerät entsprechend des Regelwerkes isoliert.

Als unsicher eingestufte Endgeräte sollten dann durch das NAC-System selbsttätig in ein Quarantäne-VLAN oder auch Remediation-LAN verschoben werden, um sie in diesem geschützten Umfeld hinsichtlich des Sicherheitsstatus zu aktualisieren. Nach erfolgreicher Aktualisierung können die Systeme unmittelbar wieder ihrer ursprünglichen Produktiv-Umgebung im Netzwerk zugewiesen werden.

Fazit
Modernes regelkonformes Arbeiten muss in der heutigen Zeit zwingend den Einsatz unterschiedlicher Endgeräte berücksichtigen. Zumal das Volumen eingesetzter Mobilgeräte in Zukunft mit Sicherheit nicht abnimmt – sondern das Gegenteil wird der Fall sein. Es ist also jederzeit unerlässlich für einen IT-Entscheider darüber im Bilde zu sein, was sich im Netzwerk abspielt und im Ernstfall sofort reagieren zu können. Eine moderne Network Access Control-Lösung, die im Optimalfall die oben beschriebenen Kriterien erfüllt, sollte demnach auf die IT-Agenda der IT-Verantwortlichen. (macmon secure: ra)

macmon secure: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Administration

  • Erfüllung der hohen Compliance-Anforderungen

    Die Implementierung von IT-Compliance-Vorgaben kann sich als wahre Mammutaufgabe erweisen. Dell erläutert fünf Best Practices, mit denen die Umsetzung gelingt. Die Einhaltung gesetzlicher Bestimmungen, regulatorischer Vorschriften, Standards und nicht zuletzt interner Regeln ist heute für alle Unternehmen ein zentrales Thema - seien es Behörden, Organisationen im Gesundheitswesen, Automobil- oder Maschinenbauer, Finanzdienstleister oder Einzelhändler. Eine wichtige Rolle spielen dabei Maßnahmen wie die Förderung eines Sicherheitsbewusstseins unter den Mitarbeitern inklusive fortlaufender Schulungen, klarer Regeln für die Zugriffe auf Daten sowie eine regelmäßiger Überprüfung und Anpassung der Sicherheitsregeln. Der folgende Fünf-Stufen-Plan von Dell ebnet Unternehmen den Weg zur Erfüllung der hohen Compliance-Anforderungen.

  • Schritthalten mit der Compliance

    Wir möchten alle glauben, dass unsere Netzwerke vollständig sicher sind und unsere Verfahren und Richtlinien voll und ganz den Vorschriften entsprechen, die unsere Branche regeln. Doch die Sicherheitslandschaft verändert sich viel zu schnell, als dass Organisationen jederzeit gegen alle Bedrohungen geschützt sein könnten. Im Jahr 2012 führten wir eingehende Sicherheitsprüfungen bei Netzwerken von 900 Organisationen weltweit durch und fanden heraus, dass 63 Prozent mit Bots infiziert waren, von denen sie nichts wussten. Diese kommunizierten mindestens alle zwei Stunden mit ihren externen Steuerungszentren - und zogen dabei aktiv Daten von den infizierten Netzwerken der Unternehmen ab.

  • PIM-Lösung: Fluch oder Segen?

    Die Vorteile einer zentralen Lösung zur automatischen Verwaltung privilegierter Accounts sind umfassend. Für das Unternehmen reichen sie von der Prozessoptimierung über die Einhaltung von Compliance-Anforderungen bis hin zu einer generellen Erhöhung der Sicherheit. Auch der einzelne Administrator profitiert von einer deutlichen Reduzierung seines Verwaltungsaufwandes.

  • Compliance bei der Softwarelizenzierung

    Erfolgreiche Geschäftsbeziehungen beruhen auf dem Vertrauen zwischen Käufern und Verkäufern. Für die Softwarebranche sind die Themen Vertrauen und faire Gegenleistungen traditionell eher schwierige Themen. Denn viele Unternehmen verstoßen trotz bester Absichten immer wieder gegen geltende Nutzungsbestimmungen. Anwendungshersteller stellen ihren Kunden Anwendungen im Rahmen bestimmter Berechtigungen zur Verfügung. Dieser Rahmen gibt vor, wie das Produkt unternehmensweit genutzt werden darf. Diese Nutzungsberechtigungen werden üblicherweise mit einem Lizenzierungsmodell durchgesetzt, das das geistige Eigentum der Softwareapplikationsshersteller gleichzeitig schützt und monetarisiert. Im Laufe der Zeit und je nach avisierten Märkten und Segmenten stellt der Hersteller bisweilen auf ein anderes Lizenzierungsmodell um, das den geänderten Kundenanforderungen besser gerecht wird. Möglicherweise werden auch mehrere Lizenzierungsmodelle zur Wahl gestellt. Diese Dynamik erschwert ein einwandfreies Compliance-Management erheblich.

  • Compliance und Software-Audits

    Software-Audits gelten seit langem als notwendiges "Übel", um sicherzustellen, dass Endkunden nicht gegen Lizenzrechte verstoßen. Denn Softwarehersteller setzen nach wie vor hauptsächlich auf diese Methode, damit Kunden nicht irrtümlich oder vorsätzlich mehr Softwarelizenzen nutzen, als sie erworben haben. In manchen Marktsegmenten werden Kunden von den jeweiligen Herstellern allerdings stärker geprüft als von anderen. Schon die Vorstellung, sich einem Audit unterziehen zu müssen, veranlasst die meisten Endkunden dazu, angemessene Vorkehrungen zur Einhaltung der Lizenzbestimmungen zu treffen.