Controlware Communications Systems

Neben der verbesserten Authentifizierung vor dem Zugriff aufs Netzwerk bzw. auf zentrale Server bietet NAC die Möglichkeit, den Security Status von Arbeitsplätzen sowohl vor als auch während einer Session abzufragen. Mögliche Parameter für die Überprüfung sind die OS-Version, der SW-Patchstatus oder die Existenz von Firewall und Virenschutz.
Da die optimale NAC-Lösung für ein Unternehmen stark von den internen Vorgaben sowie von der jeweiligen Infrastruktur abhängt, empfiehlt es sich, von Anfang an sämtliche IT-Abteilungen in die Planung einzubinden.

Die einzelnen NAC-Ansätze unterscheiden sich im Wesentlichen darin, an welcher Stelle im Netzwerk die Clients überprüft werden. Im Idealfall geschieht dies direkt im Access-Bereich am Switchport, da hier die Kommunikation mit dem Netzwerk komplett unterbunden werden kann.

Allerdings erfüllen die wenigsten Netze von vorne herein die hohen Anforderungen an eine ideale NAC-Umgebung, die beispielsweise neue und homogene Access-Switche sowie den 802.1x-Standard für alle Endgeräte voraussetzen. Alternativ bieten sich hier spezielle Network-Appliances an, die zwischen Access- und Backbone-Bereich implementiert werden. Sie realisieren eine transparente NAC-Absicherung ohne Veränderungen am Client  oder Accessbereich.

Kostengünstige Lösungen für die Sicherheitsüberprüfung vor dem Netzwerkzugang stellen auch Virenschutz-Programme namhafter Hersteller dar. Hierfür sind keine Veränderungen im Netzwerk nötig; zudem ist die erforderliche 802.1x-Funktionalität im Software-Bundle enthalten.
Ebenso hat Microsoft bereits einen Lösungsvorschlag in Aussicht gestellt.

Funktionen bei Network Access Control:

• User Authentisierung – ermittelt die Identität des Users oder der Endgeräte; dies kann beispielsweise über Gerätezertifikate transparent für den User erfolgen, einige Einstiegslösungen basieren auf der MAC-Adresse der Endgeräte;
• Durchsetzung – nicht firmenkonforme Clients werden entweder direkt am Switchport bzw. vor dem Core-Backbone oder durch den Entzug einer gültigen IP-Adresse am Zugriff aufs Netzwerk gehindert;
• Endgeräte Check – Überprüfung des aktuellen Client-Status durch einen Vulnerability Scan oder über ein Plugin im Browser
• Quarantäne – stark eingeschränkter Zugriff aufs Netzwerk für nicht angemeldete User, um lediglich notwendige SW-Patches oder ausschließlich Internet-Access zu erhalten
• Endpoint Remediation – Automatisierung des Prozesses, der Clients mit für eine Netzwerkanmeldung erforderlicher Software, Patches und Updates versorgt
• Compliance – bietet verschiedene Reports und Aussagen zu Compliance-Vorgaben