Mobile-Menu

Kosten, Aufwand und Sicherheitsgrad der wichtigsten NAC-Ansätze Comco-Leitfaden über die Methoden für Network Access Control

Redakteur: Ulrike Ostler

Das Angebot an Network Access Control-Lösungen (NAC) zum Schutz vor Fremdgeräten im Unternehmensnetz ist in den vergangenen Jahren stark gewachsen. Dennoch handelt es sich hierbei immer noch um einen recht jungen Markt, der sich insbesondere technisch noch stark entwickeln wird, so die Comco AG. Das Dortmunder Software- und Systemhaus gibt einen Überblick über die wichtigsten Methoden.

Firmen zum Thema

Gute Erkennung, Lokalisierung und Identifizierung bereiten ein NAC-Projekt vor, Auszug aus dem Comco-Leitfaden
Gute Erkennung, Lokalisierung und Identifizierung bereiten ein NAC-Projekt vor, Auszug aus dem Comco-Leitfaden
( Archiv: Vogel Business Media )

Laut Comco-Vorstand Friedhelm Zawatzky-Stromberg bestehen zurzeit noch keine Komplettlösungen. Statt dessen gebe es eine Sammlung aus Einzellösungen und Komponenten, die jeweils nur Teilbereiche abdeckten. „Die Abstimmung der Hersteller untereinander erfolge zwar immer häufiger mit Schnittstellen. Diese sind jedoch meistens mit sieben Siegeln behaftet und werden oftmals nur als Alibi zur Verfügung gestellt.“

Selbst Hersteller, die mit ihrem Produktportfolio die gesamte NAC-Thematik abdecken, wiesen noch Lücken auf. Sie böten ein Sammelsurium an Produkten, deren Zusammenspiel oftmals nicht gewährleistet sei, problematisiert er.

Zugleich jedoch wiesen die Anwender vielfach lückenhafte Kenntnisse über die verschiedenen NAC-Methoden auf. Zawatzky-Stromberg hat nun die wichtigsten technischen Ansätze untersucht und sie einzeln nach ihren Kosten, dem Realisierungsaufwand und dem Sicherheitsgrad bewertet (siehe auch: Download-Link).

802.1x mit Radius

Die wohl zurzeit sicherste Methode, 802.1x mit Radius, hat laut Comco-Vorstand den Vorteil, dass, noch bevor ein Zugriff auf das Netzwerk gewährt wird, eine Authentifizierung am Switch-Port erfolgt. Bei diesem Standard seien mindestens drei Komponenten (Client, Switch und Radius-Server) erforderlich, die aufeinander abgestimmt sein müssen. Die Schwierigkeit besteht jedoch darin, dass nicht alle Endgeräte diese Authentifizierungsmethode unterstützen. Darüber hinaus sind die Implementierungsmethoden der Switch-Hersteller uneinheitlich.

Somit ist der Standard 802.1x für einen unternehmensweiten Einsatz bei heterogener Umgebung noch schwer umzusetzen. Bei Anschaffung einer neuen homogenen Infrastruktur ist dies jedoch eine sinnvolle Alternative.

Bewertung: teuer, aufwändig, sicher.

weiter mit: MAC-Authentifizierung

MAC-Authentifizierung

Die MAC-Authentifizierung mit Radius ist vor allem für Netzwerkumgebungen mit älteren oder auch heterogenen Netzwerken eine mögliche Alternative zu 802.1x. Hierbei wird nur die bei Anmeldung ans Netzwerk erkannte MAC-Adresse vom Radius-Server überprüft, bevor ein Netzwerkport freigeschaltet wird.

Dies ist zwar kein hoher Sicherheitsstandard, bei älteren Endgeräten aber oftmals die einzige Möglichkeit eine Authentifizierung durchzuführen. Die Implementierung erfordert die gleichen Voraussetzungen für die Switches und den Radius-Server wie bei 802.1x.

Bewertung: mittlere Kosten, mittlerer Aufwand, geringe Sicherheit.

Web-basierende Authentifizierung

Bei der Web-basierenden Authentifizierung ist die Eingabe von Benutzername und Passwort an einem eigens zur Verfügung stehenden Web-Server erforderlich. Dies ist eine mögliche Alternative für Benutzer, bei denen keine Möglichkeit besteht, einen Supplicant für 802.1x zu implementieren.

Bewertung: mittlere Kosten, wenig Aufwand, mittlere Sicherheit.

weiter mit: Statische Port-/MAC-Zuordnung

Statische Port-/MAC-Zuordnung

Die statische Port- / MAC-Zuordnung sieht eine feste Zuordnung von MAC-Adressen und Switch-Ports vor. Dabei müssen alle kommunizierenden Systeme in die Konfiguration eines jeden Switches eingetragen werden. Jedes neue Gerät und jede Löschung zieht somit eine Konfigurationsänderung auf dem Switch nach sich.

Bewertung: günstig, hoher Aufwand, geringe Sicherheit.

Dynamische Port-/MAC-/IP-Zuordnung mittels SNMP

Bei der dynamischen Port-/MAC-/IP-Zuordnung mittels SNMP wird die vorhandene Infrastruktur genutzt. Es ist kein Agent auf den Endgeräten notwendig, sondern die gesamte Kommunikation erfolgt mit der Netzwerk-Infrastruktur (Switches und Router).

SNMP ist ein weit verbreiteter Standard, der nahezu flächendeckend in Unternehmen Verwendung findet und mit Version 3 auch ausreichend sicher ist. Nahezu alle Netz-Management-Systeme basieren hierauf. Durch Verwendung zusätzlicher Tools wie Port-Scanner, VoIP- und WLAN-Module, sFlow/netFlow oder Router-Module können solche Systeme sehr leistungsstark sein und ein Netz-Management-System nahezu ersetzen.

Bewertung: günstig, mittlerer Aufwand, mittlere Sicherheit.

Kerberos Snooping

Mit dem Verfahren Kerberos Snooping kann keine Lokalisierung von Endgeräten, sondern ausschließlich eine Authentifizierung von Benutzern vorgenommen werden. Hierzu ist es erforderlich, eine „Inline“-Komponente in dem Datenstrom zum Anmelde-Server (Active Directory) einzurichten.

Bewertung: günstig, geringer Aufwand, mittlere Sicherheit.

„Diese Liste umfasst längst nicht alle sondern nur einige der wichtigsten Methoden zur Identifizierung und Lokalisierung in Netzwerken“, erläutert Zawatzky-Stromberg. Welche Alternative für ein Unternehmen den vorteilhaftesten Ansatz bietet, hänge zu dem letztlich vom Schutzbedarf, den Investitionsmöglichkeiten und vorhandenen Komponenten ab.

Artikelfiles und Artikellinks

(ID:2021422)