cherezoff - stock.adobe.com

Machen neuere Sicherheitsmethoden NAC-Systeme überflüssig?

Neuere Sicherheitsmethoden, etwa Mikrosegmentierung und Zero Trust, haben Network Access Control fast verdrängt. Dennoch können NAC-Systeme helfen, den Netzwerkrand abzusichern.

Produkte für die Netzwerkzugangskontrolle (Network Access Control, NAC) wurden ursprünglich in einer Zeit entwickelt, als Anwendungen auf Servern liefern, die in Unternehmensnetzwerken standen. Der Zugang erfolgte in erster Linie von firmeneigenen PCs aus. Seitdem hat sich viel verändert.

In vielen Fällen sind PCs nicht mehr das primäre Zugangsgerät, und Cloud-basierte Anwendungen haben überwiegend den Platz von unternehmensbasierten Anwendungen eingenommen. Das führt zur Frage: Spielt Network Access Control immer noch eine Rolle angesichts neuerer Sicherheitsmethoden?

Das Ziel von NAC-Systemen bestand darin, zu verhindern, dass auf dem PC vorhandene Malware Unternehmensserver infizieren und sich im Netzwerk ausbreiten konnte. PCs konnten leicht infiziert werden, weil Mitarbeiter sie oft für privates Surfen im Internet nutzten und gelegentlich Dateien auf CDs oder Memory Sticks in die Firma mitbrachten.

Die Lösung war, auf jedem PC einen Agenten für den Netzwerkzugang zu installieren. Dieser Agent kommunizierte dann mit Firewall-basiertem Code, der überprüfte, ob die Antivirensoftware auf dem PC aktuell und der Rechner nicht infiziert war.

Die Situation wurde komplizierter, als PCs nicht länger das einzige Gerät waren, das die Nutzer verwendeten. Die privaten Handys der Mitarbeiter wurden zum gängigen Zugangsgerät, und die Angestellten weigerten sich häufig, einen vom Arbeitgeber bereitgestellten Agenten zu installieren.

Cloud-basierte Anwendungen, zum Beispiel SaaS, haben ebenfalls die Bedeutung von NAC verringert. Diese Anwendungen kommunizieren mit einer Vielzahl von Gerätetypen aus dem Internet sowie mit anderen Anwendungen. Einen Agenten für all diese unterschiedlichen Gerätetypen und Anwendungen vorzuschreiben, die auf Cloud-basierte Anwendungen zugreifen, ist praktisch unmöglich.

NAC-Systeme wurden konzipiert, um den Netzwerkrand (Network Edge) zu schützen, aber das reicht nicht mehr aus. Die Anwendungen sind komplexer geworden und bestehen nun häufig aus mehreren Komponenten. Diese laufen in virtuellen Maschinen, die sich auf unterschiedlichen Servern in einer Public Cloud oder Private Cloud befinden. Die Verbindungen zwischen den Komponenten zu schützen, ist unverzichtbar geworden, aber NAC spielt innerhalb des Netzwerks keine Rolle.

Sicherheitsentwicklungen überrollen NAC

Neue Sicherheitsmethoden wurden entwickelt, um komplexe Anwendungen zu unterstützen. Mikrosegmentierung gruppiert alle Komponenten und Links, die eine einzelne Anwendung bilden. Zero Trust Security in Kombination mit Mikrosegmentierung überprüft die Kommunikation innerhalb des Mikrosegments. Das verkehrt die Annahme, dass jede Kommunikation innerhalb des Netzwerks frei von Bedrohungen ist, einfach weil sie am Netzwerk-Edge untersucht wurde, ins Gegenteil.

Zero Trust geht stattdessen davon aus, dass die gesamte Kommunikation blockiert werden muss, bis sie explizit als zulässig spezifiziert ist. Zero Trust überprüft sorgfältig die Quelle jedes Kommunikationsversuchs mit einer Mikrosegmentkomponente anhand der Liste mit anderen Mikrosegmentkomponenten sowie zulässigen externen Quellen und kontrolliert, ob sie frei von Malware ist.

Trotz dieser neuen Entwicklungen bleibt der Schutz am Netzwerk-Edge wichtig. Das Konzept des Software-defined Perimeters (SDP) wurde ursprünglich von der Defense Information Systems Agency entwickelt, einer Behörde des US-Verteidigungsministeriums. Diese Behörde erkannte, dass jede über das Internet erreichbare Schnittstelle immer wieder Ziel von Angreifern sein würde und die beste Präventivmaßnahme darin bestand, das Netzwerk so unsichtbar wie möglich zu machen.

Im Gegensatz zu NAC, wo Clients sich mit dem Netzwerk verbinden und dann authentifizieren, müssen SDP-Clients sich erst authentifizieren und können dann eine Verbindung zum Netzwerk herstellen. Ein SDP-Controller außerhalb des Netzwerks authentifiziert jeden Client und legt fest, auf welche Anwendungen der Client zugreifen darf.

Dann sendet der Controller eine Autorisierung an den Client, so dass er sich mit einem Netzwerk-Gateway verbinden kann. Das Gateway bestimmt – basierend auf der vom Controller gewährten Autorisierung –, welche Anwendungen für diesen Client erlaubt sind.

Der gesamte Netzwerkzugang erfolgt über die Gateways, die nur von authentifizierten Clients erreichbar sind. Weder für die Gateways noch für irgendeine andere Netzwerkkomponente werden DNS-Einträge erstellt. Damit ist das Netzwerk für Angreifer unsichtbar. Sie besitzen keine Möglichkeit, die IP-Adresse einer Netzwerkkomponente zu erfahren, so dass sie nicht darauf zugreifen können.

NAC-Systeme werden noch gebraucht

Trotz dieser neueren Sicherheitsmethoden erweisen sich NAC-Systeme in einigen Umgebungen weiterhin als wertvoll. Obwohl das Thema Internet der Dinge (Internet of Things, IoT) zunehmend wichtiger wird, enthalten entsprechende Geräte oft keine Antimalware-Software und wurden bereits genutzt, um Malware zu verbreiten und DoS-Attacken (Denial of Service) durchzuführen. Außerdem verfügen IoT-Geräte üblicherweise nicht über genügend Ressourcen, um einen NAC-Agenten zu unterstützen. Und da es so viele verschiedene Gerätetypen gibt, ist es nicht realistisch, einen Agenten vorzuschreiben.

Um mit IoT-Geräteeinschränkungen zurechtzukommen und den Geräten trotzdem einen Netzwerkzugang zu ermöglichen, wurden NAC-Produkte ohne Agenten entwickelt. Diese NAC-Lösungen prüfen den Inhalt von eingehender Kommunikation und bestimmen anhand einer Bibliothek, die die Gerätetypen enthält, den Typ des Geräts, dessen Fähigkeiten und Funktionen. Mit den Informationen über das Gerät können NAC-Systeme die Kommunikation dieses Geräts auf die passenden Anwendungen beschränken. NAC-Tools können auch Malware und Denial-of-Service-Angriffe blockieren.

Jede der genannten Sicherheitsmethoden – NAC und Software-defined Perimeter für den Schutz am Netzwerkrand sowie Mikrosegmentierung und Zero Trust innerhalb eines Netzwerks – kann dort genutzt werden, wo es angebracht ist. Viele Netzwerke kombinieren ein Edge-Verfahren mit Sicherheit innerhalb des Netzwerks, um mehrere Schutzebenen zu bieten.

Nächste Schritte

So setzen Sie Zero Trust im Unternehmen um

So setzen Sie Netzwerk-Mikrosegmentierung um

Gratis-eBook: Benutzerkonten und Rechte im Griff

Erfahren Sie mehr über Netzwerksicherheit