Die Wache über Ihr Netzwerk – Mit Network Access Control Transparenz und Kontrolle über Ihr Netzwerk herstellen

Unternehmensnetzwerke enthalten heutzutage eine Vielzahl von Geräten und Endpunkten – von PCs, Tablets und Smartphones bis hin zu Industriesteuerungen, virtualisierten Servern, Wireless Access Points und cloudbasierten Anwendungen. Auch in Zukunft werden die Herausforderungen in Bezug auf Geräte immer größer mit BYOD, IoT- und hybriden IT-Umgebungen. Umso wichtiger ist es für Unternehmen eine Übersicht darüber zu haben, welche autorisierten und nicht autorisierten Geräte mit dem Netzwerk verbunden sind – und den Zugriff dieser Geräte zu kontrollieren. Durch eine Network Access Control (NAC) Lösung kann Transparenz und Kontrolle im Netzwerk hergestellt werden.

Was ist Network Access Control?

Mit einer Netzwerk-Zugangskontrolllösung kann die steigende Anzahl und Art von Geräten im Netzwerk verwaltet werden. Unbefugte Zugriffe im Netzwerk lassen sich so einfach feststellen. Durch die Information über Patch-Stände von Betriebssystemen oder Signaturen von Virenscannern wird außerdem die Transparenz erhöht. Nicht regelkonforme Systeme können automatisiert in ein Quarantänenetzwerk verschoben werden, bis die erforderlichen Maßnahmen ergriffen wurden. Alternativ kann das System den Administrator nur darüber informieren, dass ein Gerät nicht „compliant“ ist.

Warum ist Netzwerkzugriffskontrolle für meine Produktion relevant?

In Produktionsumgebungen wächst insbesondere die Anzahl an IIoT-Geräten und damit die Gefahr vor unbefugten Zugriffen. Aber auch der Service-Techniker, der sich vor Ort an einer Anlage mit seinem Laptop einsteckt oder weitere Geräte wie Router oder Switches können Gefahren darstellen. Eine NAC Lösung bietet volle Transparenz über das Netzwerk. Es entsteht eine vollständige Asset-Liste mit Geräten im Produktionsnetzwerk, die oftmals nicht vorliegt aber sehr wichtig ist. Deshalb ist eine NAC Lösung für die Produktion sehr wertvoll, denn sie sorgt für die Sicherheit und Verfügbarkeit Ihrer Produktion.

Warum eine intelligente NAC Lösung notwendig ist:

2020 wurden 26 Milliarden verbundene und vernetzte Geräte genutzt.
75 Prozent der mobilen Anwendungen werden durch bekannte Sicherheitstests durchfallen.
2014 gingen bereits 98,7 Prozent aller verzeichneter Gefährdungen auf das Konto externer Hacker.
Es kann nur das gesichert werden, was auch sichtbar und bekannt ist.

„IT- Manager und Sicherheitsverantwortliche müssen die Geräte und Systeme in ihrem Netzwerk erkennen, sobald diese auf das Netz zugreifen. Sonst sind sie nicht in der Lage entsprechende Sicherheitsstandards umzusetzen.“ (ForeScout Technologies, Inc)

Wie funktioniert Network Access Control?

Eine NAC Lösung lokalisiert und identifiziert alle Geräte im Netzwerk und reglementiert mithilfe von festgelegten Sicherheitsrichtlinien, was mit neuen Geräten passieren soll.

Dafür gibt es zwei Möglichkeiten der Vorgehensweise.

1.) Pre-Connect

Beim „Pre-Connect“ werden Entscheidungen über den Zugang getroffen, bevor einem Gerät Zugriff auf das Netzwerk gewährt wird. Bei diesem Ansatz hat die Sicherheit Vorrang vor der Benutzerfreundlichkeit, da die NAC-Lösung die Authentifizierung, Inspektion oder anderweitige Bestätigung der Systemsicherheit vornehmen muss, während der Benutzer wartet. Erst wenn die Identität eines Geräts nachgewiesen wurde, werden Netzwerkadressen freigeschaltet und Kommunikationsverbindungen den Nutzern zugeordnet. Dabei werden die vorher festgelegten Richtlinien für die Zugriffsrechte von Nutzergruppen berücksichtigt.

2.) Post-Connect

Bei der moderneren Variante, die wir auch empfehlen, werden erstmal alle Geräte ins Netzwerk gelassen und werden dann sofort überprüft. Wenn sie die Anforderungen nicht erfüllen, wird ihnen der Zugang ganz oder teilweise entzogen. Bei diesem Ansatz werden die Benutzerfreundlichkeit und Verfügbarkeit gegenüber der Sicherheit bevorzugt. Der Vorteil hierbei ist, dass man den Zugang zum Netzwerk nicht komplett abschottet und somit nicht abhängig vom Betrieb der NAC-Lösung ist.

Die NAC-Lösung führt für jedes Gerät eine Compliance-Prüfung durch. Dabei können folgende Punkte geprüft werden:

Ist ein aktueller Virenschutz vorhanden?
Ist die Desktop Firewall installiert und aktiv?
Sind die neuesten Betriebssystem-Versionen installiert?
Wurde das Betriebssystem modifiziert?
Haben die installierten Anwendungen die neuesten Updates und Patches?
Befindet sich unerwünschte Software auf den Endgeräten?

Sollte ein Gerät dieser Compliance-Prüfung nicht standhalten, leitet das NAC-System Maßnahmen ein, wie z.B. das Erzeugen einer Information an ein SOC (Security Operation Center) oder das Verschieben in Quarantäne.

Damit NAC richtig funktioniert, bedarf es einer vollständigen Übersicht über alle Geräte im Netzwerk. Denn nur so kann das System verhindern, dass fremde, unerwünschte oder nicht identifizierbare Geräte das Netzwerk nutzen.

Welche Vorteile entstehen durch NAC?

Die Vorteile von NAC Systemen können wie folgt zusammengefasst werden:

Sehen
- Geräteerkennung, sobald sich diese mit dem Netzwerk verbinden. Das führt zu einer hohen Transparenz.
- Klassifizierung von Geräten, Benutzern, Anwendungen und Betriebssystemen und Erstellung von Profilen
- Kontinuierliche Überwachung verwalteter Geräte, privater Geräte und anderer Endpunkte
Kontrollieren
- Der Netzwerkzugang kann basierend auf Gerätestatus und Sicherheitsrichtlinien zugelassen, verweigert oder eingeschränkt werden
- Die Bewertung und Korrektur von schädlichen oder risikoreichen Endpunkten führt zu einer Verringerung der Bedrohung durch Richtlinienverletzungen und Malware-Angriffe
- Durch das kontinuierliche Monitoring der Geräte und die Kontrolle in Übereinstimmung mit den Sicherheitsrichtlinien können Branchenstandards eingehalten werden und gesetzliche Vorgaben nachgewiesen werden
Automatisieren
- Automatisierte Reaktion auf neue Geräte im Netzwerk. Dadurch ist kein manuelles Eingreifen mehr nötig. Beispiele:
  
  Ein neuer Drucker wird immer direkt in das Drucker-VLAN verschoben
  
  Ein Notebook wird immer in das korrekte VLAN verschoben, egal wo es angeschlossen wird. Dies kann man sogar Nutzer- bzw. Abteilungsbasiert einrichten, sodass es egal ist, wer sich am Notebook anmeldet.
- Automatische Erfassung der Update- und Patch-Stände (vor allem Windows-Updates)

Herausforderungen beim Einsatz von NAC

Definition von Sicherheitsrichtlinien in Abwägung zwischen Sicherheit und Benutzerfreundlichkeit im täglichen Betrieb
Festlegen von Regelungen, was mit Geräten passiert, die nicht „compliant“ sind.
Identifikation der Punkte, wo Informationen abgegriffen werden und Sicherstellung, dass die Anzahl der Punkte ausreichend ist. Denn das NAC lebt von Informationen. Je mehr es davon gibt, desto besser funktioniert es.

NAC in der Praxis:

In zahlreichen Projekten setzen wir NAC bereits bei unseren Kunden ein. Wir haben beispielsweise bereits mehrfach ein Gäste-Management mit NAC implementiert. Das heißt wir identifizieren gemeinsam mit dem Kunden die Anforderungen an das Gäste-Management. Dabei gilt es beispielsweise festzulegen:

Was ist ein Gast und woran erkennen wir ihn?
Soll die Gäste-Policy im kompletten LAN / WLAN gelten oder beispielsweise nur an einzelnen Switch-Ports/Access-Points?
Soll ein Gast direkt nach der Authentifizierung Zugriff erhalten oder soll dies ein IT-Administrator freigeben?
Welchen Zugriff soll der Gast nach erfolgreicher Authentifizierung erhalten?
Wie lange ist ein Gast-Zugriff gültig?

Nach der Identifizierung erfolgt die technische Umsetzung, welche mit einer Test-Phase startet. Nach Ende der erfolgreichen Test-Phase wird in den produktiven Betrieb übergegangen, sodass Gäste sich eigenständig am Netzwerk anmelden können, falls dies gewünscht ist.

Wie HWI IT Sie unterstützen kann

Durch unsere langjährige Erfahrung im Bereich Netzwerksicherheit mit unterschiedlichsten Herstellern und Kunden auch im produzierenden Gewerbe, können wir einen hohen Qualitätsstandard durch definierte Prozesse für Projekte aller Größen garantieren. Unser Expertenteam bündelt Know-how aus den Bereichen System, Netzwerk und Security und verfügt über umfangreiche Erfahrungen mit Lösungen zu Network Access Control.