Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

28.11.2003 - 

Türsteher für Unternehmens-IT

Cisco lässt unsichere Rechner nicht ins Netz

MÜNCHEN (CW) - In Kooperation mit Antivirenspezialisten hat Cisco Systems eine neue Sicherheitstechnik entwickelt. Mit deren Hilfe sollen Router in der Lage sein, Zugriffe auf das Unternehmensnetz abzuweisen, wenn der jeweilige Client die Sicherheitsanforderungen nicht erfüllt.

Vor dem Problem stehen viele Administratoren: Zwar gelingt es ihnen, mit Hilfe von Firewalls oder Intrusion-Detection-Systemen das Eindringen von Würmern wie Blaster oder Nachi in ihr Netz zu verhindern. Sobald aber mobile User ihre infizierten Geräte danach direkt ans Netz anschließen, können die Schädlinge die IT-Infrastruktur letztlich doch noch infizieren. Ciscos "Network Admission Control" (NAC) soll diese Gefahr künftig eliminieren.

Der Netzspezialist hat das Verfahren im Rahmen seiner "Self-Defending Network Initiative" gemeinsam mit den Unternehmen Network Associates, Symantec und Trend Micro erarbeitet. Kernbestandteil von NAC ist eine neue Softwarekomponente namens "Cisco Trust Agent", die auf unterschiedlichen stationären oder mobilen Clients sowie Servern installiert werden muss. Dort sammelt sie - unter anderem über Client-Module von Antiviren-Tools - Informationen über die vorhandene Sicherheitssoftware oder den Patch-Status des installierten Betriebssystems und sendet sie an Cisco-Netzkomponenten.

Risiko-Rechner werden von Cisco in Quarantäne geschickt

Abhängig davon, ob die vorgefundene Ausstattung den im Unternehmen geltenden Security-Richtlinien entspricht, entscheiden Router oder Switches, ob den Rechnern dann der Zugriff auf das Netz gewährt wird. Das Definieren, Überprüfen und Durchsetzen dieser Policies erfolgt mit Hilfe von Ciscos "Secure Access Control Server", das Überwachen der einzelnen NAC-Elemente und das Reporting übernehmen Management-Tools wie der "CiscoWorks Security Information Manager". Weisen die Clients Sicherheitsdefizite auf, können Administratoren festlegen, dass die Anfragen je nach Schwere der Mängel entweder auf einen bestimmten Quarantänebereich umgeleitet oder aber komplett abgeblockt werden.

Taucht dann ein Virus auf, der eine seit längerem bekannte Schwachstelle ausnutzt, für die ein Patch zwar vorhanden, aber nicht installiert ist, ließe sich seine weitere Ausbreitung auch ohne aktuelle Virendefinition verhindern. Dazu muss jedoch sichergestellt sein, dass die im Unternehmen herrschende Sicherheits-Policy rechtzeitig angepasst wurde, um die Schwachstelle zu berücksichtigen.

NAI, Symantec und Trend Micro haben Ciscos Technik in Lizenz genommen, um sie in ihre jeweiligen Client-Lösungen zu integrieren. Der kalifornische Netzspezialist plant, die entsprechende Schnittstelle zu einem späteren Zeitpunkt zu veröffentlichen, damit auch andere Hersteller ihre Produkte an die Technik anpassen können.

Nach Darstellung von Richard Palmer, Vice President und General Manager von Ciscos Geschäftsbereich Virtual Private Network (VPN) und Security Services, soll die Initiative die Sicherheit der Netzinfrastruktur und die der daran angeschlossenen Computer verknüpfen: "Bislang hört Netzsicherheit da auf, wo das Netz aufhört. Die Sicherheit der Rechner wird als getrennter Bereich wahrgenommen. Wir hingegen sehen die Endpunkte als Teil desselben Systems wie die Netzinfrastruktur - schließlich sind alle Clients daran angeschlossen und stellen letztlich auch die primären Angriffsziele dar. Deshalb wollen wir die Fähigkeiten des Netzes (wie beispielsweise Zugangskontrolle, Anm. d. Red.) nutzen, indem wir den aktiven Komponenten mehr Informationen über den Status der an das Netz angeschlossenen Endpunkte geben." So kann die Infrastruktur aufgrund dieser Informationen intelligente und automatisierte Entscheidungen treffen, wie auf Bedrohungen zu reagieren ist.

Access- und Midrange-Router mit NAC kommen nächstes Jahr

"Gefahren lässt sich nicht allein mit reaktiven Maßnahmen begegnen", kommentierte Ciscos CEO John Chambers die Ankündigung. Er sieht in dem System die Möglichkeit, automatisch und proaktiv Maßnahmen zum Schutz des Unternehmensnetzes zu ergreifen. Cisco will die neue Technik ab Mitte 2004 zunächst in seinen Access- und Midrange-Routern bereitstellen. Nach und nach sollen jedoch weitere Produkte wie WLAN-Access-Points, Security-Appliances oder Switches damit ausgestattet werden. Auch mit der Integration des Verfahrens in die Produkte von NAI, Trend Micro und Symantec ist erst zu diesem Zeitpunkt zu rechnen. Zu Anfang werden NAC-Systeme Endgeräte mit den Windows-Betriebssystemen NT, XP oder 2000 unterstützen. (ave)