Lösungen für Network Access Control (NAC): Ein Anbieter-Vergleich
Die Zunahme mobiler Endgeräte im Unternehmensnetz verursacht einen Aufschwung bei der Nachfrage nach Kontroll-Lösungen für den Netzwerkzugriff (NAC).
Nach Jahren der Flaute ist sich der Markt für Network Access Control (NAC)-Lösungen wieder im Aufschwung. Mobilität – oder genauer ausgedrückt, der Zuwachs von eigenen Geräten der Mitarbeiter in Unternehmensnetzwerken – ist der Haupttreiber für das neue Nachfragehoch bei den NAC-Lösungen.
Diese Lösungen verwenden verschiedene Steuerungsmechanismen für den Zugriff durch Mobilgeräte, darunter Authentifizierung, Durchsetzen der Zugriffskontrolle und Endgeräte-Sicherheit. Im Allgemeinen gibt es bei NAC-Lösungen teils deutliche Unterschiede in Abhängigkeit von Stärken und Schwerpunkten der einzelnen Hersteller. Dabei gibt es unterschiedliche Kategorien von NAC-Lösungsanbietern: einerseits Anbieter von Netzwerk-Switching- und Routing, andererseits Sicherheitsfirmen, die NAC-Technologie entweder als Einzelprodukt oder im Rahmen größerer Suites anbieten. Und schließlich gibt es noch Hersteller, die sich auf derartige Technik spezialisiert haben.
Jeder Hersteller verfolgt seine eigene Philosophie dafür, wie ein Netzwerk vor unbekannten und unerwünschten Elementen zu schützen ist, aber dennoch einen Mobilzugriff gestattet. In diesem Vergleich von NAC-Anbietern werfen wir einen genaueren Blick auf einige der wichtigsten Anbieter und wie diese sich den NAC-Herausforderungen in einer BYOD (Bring Your Own Device)-Welt stellen. Wir sind auf eine Reihe von Strategien gestoßen, die sich teils drastisch unterscheiden, aber auch auf einige Ähnlichkeiten.
Fünf NAC-Lösungen für Mobilität
Aruba Networks hat im November 2011 Avenda Systems gekauft und deren Lösung eTIPS Policy Decision Point (PDP) übernommen. Diese kann den Zugriff von Geräten auf das Netzwerk verhindern oder einschränken. Als identitätssensible NAC-Lösung verwendet eTIPS neben Protokollen wie SNMP, SSH oder TACACS auch RADIUS. Darüber wird Routern und Switches mitgeteilt, in welchem Umfang Zugriffsrechte für ein bestimmtes Gerät eingeräumt werden sollen, basierend auf Unternehmenrichtlinien. Dabei werden sowohl die Anforderungen zur Sicherheitskonfiguration für das Gerät selbst berücksichtigt als auch die Rolle des Benutzers, der auf das Netzwerk zuzugreifen möchte. Die Lösung bietet konsolidiertes Management, Überwachung und Reporting unter einer zentralen Oberfläche.
eTIPS sammelt Identitätsinformationen aus verschiedenen Datastores, darunter Active Directory, LDAP und SQL. Anschließend setzt es diese Informationen in Beziehung zu Merkmalen, wie Ort, Datum, Uhrzeit und Authentifizierungsart. Die Lösung verwendet einen agentenlosen Ansatz, um den Sicherheitsstatus des zugreifenden Gerätes im Hinblick auf vorhandene Virenschutz-Software, Anti-Spyware, Firewalls und andere Schutzmechanismen zu bewerten.
Die besondere Stärke dieser Technologie wird beim Einsatz in Umgebungen mit Produkten unterschiedlicher Hersteller deutlich: Sie arbeitet sowohl mit kabelgebundenen als auch mit Wireless-Geräten von vielen Anbietern wie Cisco, Enterasys oder Juniper. eTIPS kann zudem mit einer langen Liste verwalteter und nicht verwalteter Endgeräte kommunizieren, die nicht zu den üblichen Mobilgeräten zählen – etwa mit Produktionsmaschinen, medizinischen Geräten oder Kameras.
Seit der Übernahme ist noch nicht viel Zeit vergangen. Deshalb dürfen sich die Kunden gedanklich darauf einstellen, dass in nächster Zukunft noch diverse Schritte in Richtung einer besseren Integration folgen werden. Allerdings darf jetzt schon als sicher gelten, dass die Technologie als Ergänzung der Wireless-Produkte hervorragend in das Portfolio von Aruba passen wird.
Cisco Systems bietet seine Agenten-basierte Identity Services Engine (ISE) in zwei Versionen an: eine Basisversion, die 802.1x-basierte Authentifizierung und Absicherung bietet und eine Advanced Edition. Letztere überprüft zusätzlich die Konformität des Gerätes im Hinblick auf im Unternehmen geltende Vorgaben zur Sicherheitskonfiguration wie Patches oder Virenschutz. Cisco ISE routet den Datenverkehr in Abhängigkeit von Benutzerrolle, Gruppe, Einsatzort und Authentifizierungsresultat.
Die auf RADIUS aufsetzende Anwendung kann sowohl mit Ciscos eigenen als auch mit fremden Geräten zusammenarbeiten. Sie leitet gegebenenfalls den Traffic in eine Gastzone mit eingeschränktem Zugriff um, was für eine BYOD-Umgebung geradezu ideal ist. Für die ISE-Lösung nutzt Cisco ein Abonnement-basiertes Preismodell. Dies dürfte auf längere Sicht nicht unbedingt kosteneffizient sein, insbesondere im Vergleich mit einem traditionelleren Investitionsmodell.
ForeScout Technologies verbindet in seiner Plattform CounterACT NAC mit Schutz vor Bedrohungen und der Absicherung von Endgeräten. Damit steht Großunternehmen eine facettenreiche Lösung zur Verfügung, die auch mit einer inhomogenen Zusammenstellung von Geräten funktioniert. Die Verwendung einer einzelnen Appliance und eines agentenlosen Ansatzes soll die Bereitstellungszeit verkürzen und die schnelle Zusammenarbeit mit einer großen Zahl von Endpunkten erleichtern.
Als Spezialanbieter für Sicherheitstechnologie nimmt ForeScout das BYOD-Segment mit speziellen Funktionen in Angriff. Dazu gehören zum Beispiel Gast-Netzzugänge für Dienstleister und andere begrenzte Zugriffsmöglichkeiten über unverwaltete Endpunkte. Dabei kann CounterACT den Zugriff über eine Reihe von Methoden steuern. Dazu gehört das Deaktivieren von Ports, VLAN-Steuerung, Unterbrechung von VPN-Verbindungen bei Inaktivität, Sperrung über Zugriffslisten (ACL = Access Control List), drahtloses Genehmigen/Abweisen sowie Quarantäne, bis eine entsprechende Berechtigung greift.
Obwohl es sich bei ForeScout um ein relativ kleines Unternehmen handelt, konnte es einige namhafte Großkunden für sich gewinnen. Die Agentenlosigkeit dieser Lösung spricht insbesondere dynamische, große Unternehmen an, die eine NAC-Lösung möglichst schnell einführen wollen.
Juniper Networks agentenlose NAC-Lösungen umfassen mehrere Gateway-Geräte, die jeweils auf die speziellen Anforderungen von mittleren, großen und staatlichen Auftraggebern hinsichtlich Compliance und Skalierung ausgerichtet sind. Unter der Bezeichnung Unified Access Control (UAC) können die Juniper-Produkte Gast-Anwender authentifizieren und den Datenverkehr sowohl in Kabel- als auch in Funknetzwerken steuern. Dies geschieht in Abhängigkeit von Unternehmensrichtlinien bezüglich Benutzer-Rollen und des Sicherheitsprofils des Gerätes.
Die UAC-Appliance erleichtert den Zugriff auf das Unternehmensnetzwerk per Layer-2-Bridge und weist dem Endgerät eine unternehmenseigene IP-Adresse zu. Dank des Junos Apple iOS-Clients funktionieren die Juniper-Geräte funktionieren auch mit Apple-Geräten (iPads und iPhones). Da die UAC-Komponenten sich an geltenden Standards orientieren, fügen sie sich besonders gut in heterogene Netzwerk-Umgebungen ein. Sie sind außerdem sehr gut skalierbar, und über ein einziges Gerät können Zugriffe von bis zu 200 Benutzern gesteuert werden.
McAfee liefert NAC sowohl als Einzelprodukt als auch als Teil seiner Endpoint Potection Suite aus, die zusätzlich unter anderem Compliance-Auditing und Endpoint-Security bietet. Aufgrund der speziellen Software arbeiten die McAfee NAC-Produkte auch mit IPS-Geräten von McAfee zusammen. Dadurch wird es diesen Produkten möglich, einem Gerät über IPS Zugang zu gewähren oder zu verweigern, jeweils auf Basis unternehmenseigener Sicherheitsauflagen. Die McAfee-Lösung wickelt den Zugang unverwalteter Geräte über ein Portal für Gastzugriffe ab. Letzteres verifiziert dann die Sicherheitsdaten des Gerätes, um zu bestimmen, ob dieses zu den angeforderten Ressourcen weitergeleitet oder unter Quarantäne gestellt wird, bis die Gerätekonfiguration aktualisiert wurde.