Definition

Network Access Control (NAC)

Network Access Control, auch als NAC oder Netzwerk-Zugriffskontrolle bekannt, ist eine Methode, mit der die Sicherheit eines proprietären Netzwerks verbessert werden kann. Man schränkt dabei die Verfügbarkeit der Netzwerkressourcen auf entsprechende Endgeräte ein, die definierte Sicherheitsrichtlinien erfüllen.

Ein herkömmlicher Network Access Server (NAS) ist ein Server, der für Authentifizierung und Autorisierung zuständig ist. Er beinhaltet Funktionen, mit denen sich potenzielle Anwender via Anmeldeinformationen verifizieren können. Zusätzlich schränkt NAC den Zugriff auf Daten ein, zu denen Anwender Zugang haben. Weiterhin sind Anti-Malware-Maßnahmen wie Firewalls, Antiviren-Software und Spyware-Erkennung enthalten. NAC reguliert und beschränkt zusätzlich auch die Aktionen, die individuelle Nutzer ausführen können, sobald sie verbunden sind. Diverse große Netzwerk- und IT-Anbieter haben NAC-Produkte im Portfolio.

NAC eignet sich hervorragend für Unternehmen und Behörden, wo sich die Anwender-Umgebung strikt kontrollieren lässt. Allerdings sehen einige Administratoren die praktikable Seite von NAC skeptisch, vor allen Dingen mit Hinblick auf große Netzwerke in denen sich viele Anwender und Geräte aufhalten, da sich hier ständig Änderungen ergeben. Ein Beispiel hierfür wäre eine Universität mit einer Vielzahl an Abteilungen, zahlreichen Access Points und mehreren Tausend Anwendern, die alle verschiedene Hintergründe haben und unterschiedliche Ziele verfolgen.

Die Evolution von NAC

Unternehmen haben traditionell NAC-Technologien eingesetzt, um mit dem physischen Netzwerk verbundene bösartige Geräte, in der Regel in Form von Desktops oder Notebooks, zu erkennen und sich vor ihnen zu schützen. Mit dem Fortschritt der Technologie und der zunehmenden Anzahl und Art der mit dem Netzwerk verbundenen Geräte wurden die Netzwerkzugangskontrollsysteme jedoch aktualisiert, um drahtlose Netzwerke, mobile Geräte und den BYOD-Trend sowie Cloud-basierte Dienste zu berücksichtigen. Mittlerweile wird auch besonderes Augenmerk auf die Integration von NAC mit dem Internet der Dinge (IoT) gelegt.

BYOD und IoT haben das Gesicht des NAC-Marktes enorm beeinflusst, wobei die Kontrolle von persönlichen Geräten, vor allem von Smartphones und Tablets, zu einer der wichtigsten Rollen geworden ist, die NAC-Produkte spielen. Infolgedessen gingen NAC-Produktanbieter zunehmend Partnerschaften mit MDM-Anbietern (Mobile Device Management) ein, um sicherzustellen, dass mobile Geräte korrekt gehandhabt werden, und sie integrieren sich mit verschiedenen anderen Anbietern, um eine maximale Sichtbarkeit IoT-fähiger Geräte zu gewährleisten.

Wie NAC-Systeme funktionieren

Nach der Bereitstellung erkennen Netzwerk-Zugangskontrollsysteme sofort alle an ein Netzwerk angeschlossenen Geräte, kategorisieren sie nach Typ und reagieren dann auf sie auf der Grundlage vorkonfigurierter Konformitätsregeln, die vom Sicherheitsteam des Unternehmens implementiert werden. NAC-Produkte ermöglichen den Gerätezugriff in einem Netzwerk auf einer spezifischen Basis pro Gerät mit granularer Kontrolle darüber, welche Art und Stufe des Zugriffs erlaubt ist. Diese Kontrollen werden durch Richtlinien bereitgestellt, die in einem zentralen Kontrollsystem definiert sind.

Richtlinien, die definiert werden könnten, wären zum Beispiel die Sperrung aller Android-Smartphones und Tablets oder die Sperrung aller Geräte, auf denen Microsoft Windows ausgeführt wird und die nicht über das neueste Service Pack verfügen. Admins könnten auch Geräte blockieren, die auf einer Whitelist von Mac-Adressen basieren, wodurch es für abtrünnige Geräte schwieriger würde, eine Verbindung zum Netzwerk herzustellen.

Die Bedeutung der NAC-Integration

Was für Organisationen immer wichtiger wird, ist die nahtlose Integration von NAC-Systemen in die bestehende Sicherheitsinfrastruktur, insbesondere in Security Information and Event Management (SIEM), Intrusion Protection System (IPS), MDM, fortschrittliche Bedrohungserkennungsdienste und Firewalls der nächsten Generation (NGFW). NAC-Systeme können die von diesen integrierten Produkten generierten Warnmeldungen nutzen, um besser auf Änderungen des Netzwerkstatus reagieren zu können.

Beispiele hierfür wären das Blockieren aller neuen Geräteverbindungen, wenn ein Eindringversuch gemeldet wird, oder das Blockieren eines einzelnen Geräts aufgrund seines Verhaltens, wenn es beispielsweise Port-Scans initiiert . Oder es wird aufgrund der erhaltenen Informationen blockiert, sei es, weil ein bestimmtes Gerät Angriffe auf das Netzwerk startet oder weil es kompromittiert wurde. Neuere Integrationen mit Tools zur Schwachstellenbewertung und Bedrohungserkennung können Geräte auf der Grundlage von Indikatoren für eine Kompromittierung blockieren und IT-Teams sofort vor einem potenziellen Eindringen oder einer fortgeschrittenen, anhaltenden Bedrohungsinfektion warnen.

Die meisten Netzwerk-Zugangskontrollsysteme können auch in Active Directory integriert werden, um den Netzwerkzugang auf der Grundlage von Gruppenrichtlinien zu kontrollieren und sicherzustellen, dass Benutzer nur den Netzwerkzugang erhalten, der zur Erfüllung ihrer Aufgaben erforderlich ist. Eine Organisation würde beispielsweise nicht wollen, dass ein Call-Center-Agent Zugriff auf die Personaldatenbank hat.

Diese Definition wurde zuletzt im September 2020 aktualisiert

Erfahren Sie mehr über Netzwerksicherheit