Network Admission Control: Rückkehrer in die Quarantäne
Einen anderen Ansatz, dem sie einem Unternehmen unterbreiten können, bietet der Einsatz von Network Admission Control, kurz NAC. Mit Hilfe dieser Technologie lässt sich prüfen, ob ein angeschlossener Endpunkt zuvor definierte Vorgaben erfüllt. Verstößt der Rechner gegen eine oder mehrere Richtlinien, wird ihm der Zugang zum Netzwerk verwehrt. Normalerweise landet das System in einem Quarantäne-Netzwerk, über das es sich fehlende Updates herunterladen kann.
NAC-Geräte erkennen auch neu angeschlossene Netzwerkkomponenten. Das ist dann ein Vorteil, wenn sich Mitarbeiter einen eigenen WLAN-Zugangspunkt in das Netzwerk integrieren. Diese so genannten Rogue Access Points sind jedoch problematisch, da sie meist nicht den Unternehmensrichtlinien in Punkto Sicherheit, Nutzerverwaltung und Verschlüsselung entsprechen. Ein einfach zu knackender WLAN-Schlüssel sorgt außerdem dafür, dass einem möglichen Angreifer der Zugang zum Firmennetz schnell offensteht.
Beim Thema NAC scheiden sich die Geister wenn es um den Einsatz von Clients auf dem eigentlichen PC des Nutzers geht. Diese Clients, so genannte Agents, ermöglichen zwar eine deutlich genauere Kontrolle, müssen aber auf dem Endsystem installiert, verwaltet und aktualisiert werden. Eine NAC-Lösung, die ohne Agents auf den Endpunkten auskommt, kann zwar unter Umständen weniger Regeln durchsetzen, erspart allerdings zusätzlichen Konfigurationsaufwand.
Sichere Hardware, sichere Verbindungen
Ein weiterer Ansatz ist es, gefährdete Bereiche im Umfeld des Kundennetzwerkes, wie das Home Office der Mitarbeiter oder Filialen, zusätzlich zu sichern. Eine Lösung könnte sein, dass der Mitarbeiter sich stets über einen gesicherten VPN-Tunnel an der Firma anmeldet und der komplette Traffic durch die Firmen-Infrastruktur überwacht wird. Mittlerweile bietet nahezu jeder professionelle Router die Möglichkeit, einen entsprechenden VPN-Tunnel zwischen den beiden lokalen Netzwerken aufzubauen.
Nachteilig ist hierbei, dass der gesamte anfallende Traffic über das Firmennetz läuft, das Netzwerk wird so also teilweise unnötig belastet. Die Lösung heißt hierfür VLAN und Multi-SSID. VLAN steht für virtual LAN, hier wird also ein Netzwerk in mehrere virtuelle Netze unterteilt, die untereinander keinen Kontakt haben. Damit lassen sich beispielsweise Netzwerk-Anschlüsse komplett voneinander isolieren. Ähnlich verhält es sich mit Multi-SSID. WLAN-Access Points im Profi-Bereich bieten diese Funktion mittlerweile ebenfalls an. Damit kann ein Access Point mehrere WLANs erzeugen und verwalten.
Durch eine Kombination dieser Technologien ist es beispielsweise möglich, ein mit Zertifikaten und RADIUS-Unterstützung gesichertes WLAN zu betreiben, das mittels VPN mit der Firma verbunden ist. Das zweite WLAN wäre dann für den privaten Gebrauch, hätte aber keinen Zugriff auf die sensible Firmen-Verbindung. Auch bei dieser Lösung sollten Sie Ihren Kunden darauf hinweisen, nicht auf den Einsatz von Passwörtern oder Token zu verzichten. Nur so kann man prüfen, ob ein wirklich autorisierter Nutzer das Firmen-Netz betreten will oder ob der Access Point gestohlen wurde und sich der Dieb nun in die Firma hacken will.