Wer braucht schon Network Access Control?
NAC, eine Lösung ohne Problem

IT-ManagementIT-ProjekteNetzwerk-ManagementNetzwerkeSicherheitSicherheitsmanagement

Das Konzept, nur sichere Clients ins Netzwerk zu lassen, ist zwar löblich, macht für Firmen jedoch vieles komplizierter und teurer, meint Alan Stevens.

Wer braucht schon Network Access Control?

Letztens war ich auf einer Microsoft-Veranstaltung, bei der man das neue Network Access Protection präsentierte, das im Windows Server 2008 zum Einsatz kommen soll. Ich war nicht sehr beeindruckt und habe mich gefragt, ob die Microsoft-Kunden so etwas tatsächlich wollen oder ob es sich nur um eine weitere Lösung handelt, die noch nach einem Problem sucht.

Was Microsoft als NAP bezeichnet, nennen andere Network Access Control (NAC). Wie auch immer der Name ist, die Ziele sind die selben, nämlich erst einmal den Zustand eines Clients zu überprüfen, bevor er ins Netzwerk darf. Die, die nicht mal über eine Grundsicherung verfügen ? in Form von installierten Patches, einer Firewall, Virenschutz und so weiter ? kommen in Quarantäne oder müssen die erforderlichen Updates erhalten, bevor der Zugriff gewährt wird.

NAC ist zwar ein gutes Konzept, aber nicht einfach einzuführen, da größere Änderungen an der Netzwerkinfrastruktur notwendig sind, die nicht nur teuer sind, sondern auch den Betrieb stören. Im Falle von NAP müssen Server für die Überprüfung und Auslieferung von Updates installiert werden ? jeweils mit Windows Server 2008 ? sowie ein Software-Agent auf allen Client-PCs, der zwar Bestandteil von Vista ist, aber nicht von XP. Damit bietet NAP aber nur ein grundlegendes Security-Framework, die wirklich ausgefeilten Sicherheitsfunktionen sollen Drittanbieter als Plugins liefern.

Diese Plugins von Drittanbietern werden wirklich entscheidend sein, diesen Eindruck habe ich auf der Microsoft-Veranstaltung bekommen. Uns wurde zum Beispiel gezeigt, wie NAP konfiguriert wird, um die Windows Firewall zu kontrollieren, bevor die Clients ins LAN dürfen ? die NAP-Software aktiviert die Firewall automatisch, falls sie ausgeschaltet wurde. Was man aber nicht machen konnte, war die Software dazu zu bringen, einen tieferen Check vorzunehmen, wie die Firewall konfiguriert ist. So bleibt die Möglichkeit, dass die User Regeln konfiguriert haben, um bestimmten Traffic durchzulassen.

Sicher werden Sicherheitsfirmen bei NAP mitmachen, doch das wird Zeit brauchen. Außerdem haben die meisten von ihnen eigene NAP/NAC-Produkte, die sie verkaufen wollen, was ihre Bereitschaft, Microsoft zu unterstützen, einschränken könnte.

Ein letzter Gedanke. In den vergangenen Jahren haben sich die Unternehmen bereits daran gewöhnt, präventive Maßnahmen zu ergreifen, um sicherzustellen, dass alle Clients korrekt konfiguriert sind. Und damit haben sie meist auch Tools und kennen die Arbeitsabläufe, um zu überprüfen, ob die Antivirensoftware installiert und auf dem neuesten Stand ist, ob Firewalls richtig konfiguriert sind und dergleichen. Ein weiterer Schutz (mit mehr Komplexität) könnte da als überflüssig angesehen werden. Okay, er hilft beim Automatisieren der Prozesse, aber das hat seinen Preis, und ich frage mich, ob NAC sich tatsächlich auf dem Markt wird durchsetzen können.