Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

04.10.2006

Netzzugangskontrolle auf reiner Softwarebasis

"Dynamic NAC" (DNAC) verlagert die Entscheidungsgewalt über Zugangsberechtigung auf vertrauenswürdige Endpunkte.

Vorteil dieses Ansatzes sei vor allem der geringe Implementierungsaufwand, erklärte Stacey Lum, CEO bei dem im kalifornischen Mountain View ansässigen Unternehmen Infoexpress, gegenüber dem Online-Dienst "Computerwire". DNAC setzt in punkto Authentifizierung auf die 802.1x-Technik - was weder schwierig sei, noch große Eingriffe erfordere. Laut Lum benötigt DNAC neben dem Zugangs-Switch lediglich einen Suppli- cant gemäß IEEE 802.1x sowie einen Radius-Server.

Ein weitaus komplexeres Unterfangen sei die Verwendung von 802.1x zur Durchsetzung von Regeln, so der Infoexpress-Chef. Eben hier soll DNAC greifen, das auf so genannte Enforcer setzt. Dabei handelt es sich um vertrauenswürdige Endgeräte mit einem Softwareagenten. Diese überwachen das Netz ständig auf neue Endgeräte und prüfen diese auf die Einhaltung bestimmter Sicherheitsrichtlinien. Eine zentrale Kontrollinstanz in Form eines dedizierten Geräts entfällt.

Die Lösung sei dadurch auch fähig, Endgeräte ohne Agenten - beispielsweise Drucker - zu handhaben. Möglich sei dies, da die als Durchsetzungsinstanzen bestimmten Endpunkte die Regelkonformität der anderen überprüfen und den von diesen stammenden Datenverkehr an Drucker oder andere Netzressourcen blockieren könnten. Darüber hinaus würden die in Quarantäne gestellten Endpunkte an einen Policy-Server gemeldet.

Ein Netz mit DNAC setzt sich aus vier Endpunkt-Kategorien zusammen: Dabei handelt es sich um Enforcer, Standby-Enforcer, Gastgeräte sowie unverwaltete, bereits auf der White-List befindliche Geräte. Wann immer ein neuer, nicht vertrauenswürdiger Endpunkt Netzzugang verlangt, wird er unter Quarantäne gestellt, bis eine Überprüfung erfolgt ist. Nachdem er einen flüchtigen Agenten für die Web-basierende Kontrolle erhalten hat, rückt er auf in die Kategorie der vertrauenswürdigen Gäste.

Der Policy-Server ist eine Weiterentwicklung der "CyberGatekeeper"-Appliance, einer früheren NAC-Lösung des Anbieters, die für DNAC in eine reine Softwarelösung umgewandelt wurde. Laut Lum lassen sich die Agenten mittlerweile über Microsofts Systems Management Server (SMS) oder jeden anderen, im Unternehmen eingesetzten Mechanismus zur Softwaredistribution liefern. Da sich DNAC kurz vor der Markteinführung befindet, wollte sich der Anbieter zu den endgültigen Preisen nicht äußern. Das Preismodell soll jedoch eine Gebühr für die Server-Software sowie pro Endpoint vorsehen. (kf)