Network Access Control - Eine Frage der Integrität

Gemeinsam Lösungen finden
mit Kompetenz werben

Login

Registrieren

Global filtern nach Kategorien:

Ihre Suche

Erweiterte Suche

Titel / Name:

Online seit:

Region:

Untertitel:

Thema / Center:

Qualitäts Level:

Suchkriterien zurücksetzen

Allgemeine Informationen zur Competence Site

AGB Anbieterverzeichnis

Semantisches Klassifikations-Profil des Dokuments (u.a. Extrakt)

network access control_sophos_062007.pdf

14 Network-Access-Control Eine Frage der Integrität Security- und Infrastrukturanbieter Erst wenn ein Endgerät einen Zutrittsprivilegien genießen. aktuellen Konzepte recht proprietär. Das Thema Network-Access-Control, kurz NAC, wird die IT-Security-Industrie in den kommenden Jahren bestimmen. Denn mit Cisco und Microsoft bauen zwei Schwergewichte NAC- oder NAP- Funktionen, wie es bei den Redmon- dern heißt, in viele ihrer Produkte ein. Cisco und Microsoft haben außerdem ei- ne Allianz geschlossen, um ihre eigenen Konzepte aufeinander abzustimmen. Als Gegengewicht hat sich die »Trusted Net- work Connect«-Arbeitsgruppe (TNC) ge- bildet und erarbeitet allgemeingültige Standards für NAC-Konzepte. Ein Unternehmen ist in einer schwie- rigen Situation. Das Marktgewicht die- ser Player bedingt, dass Betriebe eines der NAC-Konzepte automatisch in ihr Netz tragen, sobald sie eine von deren Lösungen implementieren. Da die Kon- zepte derzeit nicht interoperabel sind, müsste sich eine Firma auf ein Konzept festlegen. Stärken und Schwächen Die Idee von NAC sieht vor, jedes Endge- rät im Netz einem Gesundheitstest zu unterziehen. Er ermittelt den Status der Hosts, und zwar beim ersten Login und später im laufenden Betrieb. Denn sein Zustand kann sich wegen eines infizier- ten Downloads in kürzester Zeit drama- tisch ändern. Was den Status einer Maschine aus- macht und wie er ermittelt werden soll, darüber herrscht noch Unklarheit. Eini- ge Anbieter wollen die Hosts über Agen- ten analysieren. Sie prüfen, ob die AV- Signaturen aktuell, alle nötigen Patches aufgespielt, die PC-Firewall und Host-IPS aktiviert sind und das System im richti- gen IP-Subnetz verbunden ist. Aber wie handhabt ein Firma Gast-User oder die Securityfacts / Februar 2007 revolutionieren die Zugangskontrolle. Gesundheitscheck absolviert, darf es alle Da auf dem Gebiet Standards fehlen, sind die Die Policies mit entsprechenden Enforce- ment-Aktionen werden granular für verschiedene Gruppen zentral definiert Der Host wird während des Logins und während des Betriebs auf seine Compliance zur Policy untersucht Alarme und Reports werden zentral Sophos NAC 3.0 kann abgewickelt einfach in bestehende Hier wird der Zugriff auf die Ressourcen Systeme eingefügt wer- den und bindet sie in anhand zahlreicher Mechanismen gesteuert Hosts,die gegen die Policy verstoßen, das eigene zentrale werden in einer Quarantäne isoliert und Management mit ein. dort repariert Rechner externer Service-Techniker, die Autorisierungssysteme reibungslos in- auf interne Ressourcen zugreifen sol- teragieren. Wer heute investiert, sollte len? Was geschieht mit Systemen wie daher eine offene Lösung wählen. So Druckern, VoIP-Telefonen oder Embed- bleibt gesichert, dass sich beispielsweise ded-Plattformen, für die die Hersteller das Endpoint-Security-Produkt mit der noch keine Agenten entwickelt haben? Infrastruktur abspricht, unabhängig Andere Anbieter propagieren einen davon, welches NAC-Verfahren der Appliance-Ansatz, der keinen Agent for- fremde Switch oder die Appliance be- dert, dafür ein Stück Code auf den End- herrscht. Christian Christiansen, Pro- point überspielt. Aber selbst das Applet gram-Vice-President Security-Products braucht wie der Agent einen privilegier- & Services bei IDC, ergänzt: »Einer in- ten Zugang zum Host. Darf ein Unter- tegrierten NAC-Lösung gelingt die Ba- nehmen diese Rechte bei Gast-Usern lance, um kritische Geschäftsprozesse oder Service-Technikern einfordern? auf allen Endpoints vor gefährlichen Die Ergebnisse der Gesundheitstests Threats zu schützen«. werden schließlich an eine übergeord- nete Validierungsinstanz geschickt, sei Offenheit suchen es die Management- oder Policy-Platt- Ein rein auf Software basierender An- form des Endpoint-Produkts. Dieses Sys- satz hat in diesem Punkt gegenüber rei- tem übersetzt den Host-Zustand in Zu- nen Hardware-Konzepten Vorteile, denn griffsrechte. Ist der Rechner integer, darf er lässt sich an neue Anforderungen an- sein User auf alle die ihm zugesproche- passen. Sophos hat mit seinem »Sophos nen Ressourcen zugreifen. Ist er es nicht, Network Access Control« genau diesen wird er in einem Remediation-Bereich Weg gewählt. Das offene Agent-Konzept isoliert und dort für den User möglichst integriert andere NAC-relevante Anwen- transparent und schnell repariert. Die dungen auf dem Endpunkt, indem es nackte Umsetzung der Policy wird im deren Integritätswerte abfragt. Der Vor- Hintergrund vom Netzwerk übernom- teil: Der Sophos-Agent wird zentral men. Damit das Konzept funktioniert, administriert und bindet die fremden müssen Endpunkt-Produkte, die Netz- Applikationen policygemäß ein. infrastruktur, Authentifizierungs- und Christian Meier, Security-Consultant, Belsoft-IT-Solutions, Schweiz