Unsicher bleibt draussen

Unternehmensnetzwerke sind bekanntlich vielerlei Risiken ausgesetzt – und werden entsprechend geschützt. Allzu oft beschränkt sich der Schutz allerdings auf Bedrohungen von aussen, aus dem Internet. Mindestens ebenso gefährlich sind aber «innere» Bedrohungen, solche, die aus dem Intranet stammen. Zu denken ist hier beispielsweise an Notebooks von Kunden, Service-Technikern oder sogar Mitarbeitern, die typischerweise ausserhalb des eigenen Netzes genutzt, gelegentlich aber in dieses eingebunden werden. Wird ein solches Notebook ausserhalb des eigenen geschützten Netzes mit Malware kompromittiert, kann sich diese später ungehindert im eigenen Netz ausbreiten – die üblichen Schutzmassnahmen, von der Firewall bis zur Intrusion Prevention, greifen in diesem Fall nicht, da der Übergriff ja aus dem vermeintlich sicheren Intranet erfolgt.


Dem Problem versuchen zahlreiche Hersteller mit unterschiedlichen Ansätzen (und verschiedenen Namen dafür) Herr zu werden. Allen voran ist hier Microsoft zu nennen (Network Access Protection, das mit Windows Server 2008 «Longhorn» eingeführt wird), daneben Cisco (Network Admission Control), Checkpoint, Enterasys, HP, Juniper, McAfee, Sophos und rund 35 weitere Hersteller. Microsoft und Cisco haben sich darüber hinaus in einer Allianz zusammengeschlossen, um ihre Ansätze abzustimmen, und daneben gibt es die «Trusted Connect»-Arbeitsgruppe (TNC), in der mittlerweile über 160 Hersteller und Anbieter zusammengeschlossen sind und die an unabhängigen, offenen Standards arbeitet. Konkrete Ergebnisse gibt es aus der TNC bisher allerdings nicht.

Das Problem an der Vielzahl an Lösungen ist nicht unbedingt, dass der potentielle Kunde nun die Qual der Wahl hat, sondern dass die Ansätze untereinander nicht interoperabel sind. Gleichzeitig werden mit Cisco-Netzwerk-Hardware und Microsoft-Betriebssystemen die Konzepte der beiden Anbieter quasi automatisch ins Unternehmensnetz implementiert, was die Situation nicht gerade vereinfacht. Ein Unternehmen steht damit vor der schwierigen Aufgabe, ungeachtet der systemimmanenten Probleme, auf die noch zu kommen sein wird, eine brauchbare Lösung zu finden.





Intranet mit limitiertem Zugriff

Einfaches Grundprinzip

Die Idee hinter Network Access Control ist denkbar simpel: Demzufolge wird jedes Endgerät (insbesondere natürlich die mobilen Geräte) im Netz einem kurzen Test unterzogen. Zu prüfen ist beispielsweise, ob etwa Betriebssystem und Anwendungssoftware auf dem jeweils aktuellsten Stand sind, ob sämtliche Patches installiert wurden, ob ein Virenscanner und andere Sicherheitsmassnahmen mitsamt aktuellen Signatur-Datenbanken implementiert sind und so weiter. Dieser Health-Check wird sowohl beim ersten Log-in durchgeführt als auch immer wieder im laufenden Betrieb, da sich der Status des Geräts beispielsweise beim Surfen im Web oder nach einem Download innert kürzester Zeit wesentlich ändern kann.
Laut Microsoft (deren Lösung hier als Beispiel fungiert; andere Ansätze funktionieren ähnlich) werden dabei die folgenden drei Aspekte adressiert:



- Gültigkeit von Netzwerkrichtlinien: Bei der Verbindungsaufnahme eines Notebooks mit dem Netz wird geprüft, ob sein gegenwärtiger Sicherheitsstatus die vom Administrator definierten Zugangsrichtlinien erfüllt. Geht es dabei bloss um die Überwachung, wird eine allfällige Richtlinienverletzung zwar protokolliert, der unsichere Rechner erhält aber dennoch Zugriff aufs Netz. Das System lässt sich aber auch so konfigurieren, dass ein Rechner bei einer Regelverletzung strikt isoliert wird und keinerlei Zugang erhält (Quarantäne).

- Erfüllung von Netzwerkrichtlinien: Der Administrator kann vorsehen, dass der gewünschte Sicherheitsstatus erzwungen wird. Unsichere Computer, die die geforderten Richtlinien nicht erfüllen, können während ihrer Isolierung im Quarantäne-Netzwerk eine Aktualisierung ihrer Sicherheitskonfiguration durchführen, um daraufhin Zugang zum Netzwerk zu erlangen. Dabei lassen sich mittels Ausnahmen unerwünschte Geräte definitiv ausschliessen.



- Netzwerkisolation: Erfüllen Rechner bei der Verbindungsaufnahme mit dem Unternehmensnetzwerk die geforderten Netzwerk­richtlinien nicht und werden deshalb als unsicher eingestuft, kann die Lösung diese Rechner automatisch isolieren. Dabei gibt es unterschiedliche Szenarien, die von der Überstellung in ein separates Quarantäne-Netzwerk über Zugriffsbeschränkungen lediglich auf eine einzelne Ressource bis hin zur Verweigerung jeglichen Zugriffs auf interne Ressourcen reichen. Ausserdem lässt sich ein Quarantäne-Netzwerk für Gast-PCs nutzen, die zwar keinerlei Berechtigungen für das Firmennetz besitzen, aber zumindest auf das Internet zugreifen dürfen.



All diese Massnahmen basieren technisch sowohl auf Server- als auch auf Client-Komponenten; damit kann laut Microsoft der Zugang zum Unternehmensnetzwerk sowohl für verwaltete und unverwaltete Rechner – Firmen-PCs und -Notebooks ebenso wie private Mitarbeiter- und Gast-Rechner – als auch beim Remote-Access problemlos und präzise gesteuert werden.
Andere Hersteller arbeiten mit einem «Client-losen» Ansatz. Dabei handelt es sich allerdings um einen Etikettenschwindel, denn selbst wenn eine Lösung ohne einen «richtigen Client» auskommt, muss doch wenigstens ein kleines Stück Software auf den fremden Rechner gebracht werden.
Nicht zuletzt gibt es von einigen Herstellern auch NAC-Appliances. Diese versprechen eine schnelle und saubere Lösung ohne aufwendige Installation und Konfiguration, können dieses Versprechen in der Praxis aber auch nur bedingt einlösen.

Ungelöste Probleme

Ganz so problemlos, wie die meisten Hersteller propagieren, gehen die Steuerung, die Quarantäne und das erzwungene Update der Gast-Rechner in der Praxis nämlich doch nicht vor sich.
Im Vordergrund steht hier das Problem, wie man einen unbekannten Rechner überhaupt umfassend auf seine Richtlinien-Konformität prüfen kann, bevor man ihn ins Netz lässt – um diese Aufgabe zu bewerkstelligen, muss man ihn bereits wenigstens ein Stück weit ins Netz hereinlassen. Basiert die Prüfungslösung dabei auf einem Client/Server-Konzept, folgt sogleich das nächste Problem, das auch organisatorischer und rechtlicher Natur ist: Fehlt nämlich auf dem fraglichen Rechner der Client, muss er für die Prüfung installiert werden.


Natürlich kann man ihn automatisch installieren und dabei das Einverständnis des Besitzers voraussetzen – schliesslich will er ja ins Netz. Ob mit dieser Tatsache auch das Einverständnis automatisch verbunden ist, dass auf seinem Rechner Software ungefragt installiert wird, scheint zumindest fraglich. Noch komplexer wird die Sache, wenn Patches, Signatur-Updates und ähnliches während der Quarantäne automatisch installiert werden sollen. Holt man sich dagegen das explizite Einverständnis des Besitzers des unbekannten Rechners ein, wird die ganze Angelegenheit organisatorisch schnell recht aufwendig.

Ein anderes Problem ist die Tatsache, dass sich beispielsweise Ciscos NAC-Framework aushebeln lässt, wie an der Black-Hat-Konferenz in Amsterdam im März 2007 demonstriert wurde. Auf ähnliche Weise liesse sich auch Microsofts NAP umgehen, erklärten die Referenten – mit dem entscheidenden Unterschied, dass dieses tief ins Windows-Betriebssystem und das Active Directory integriert sei und deshalb einem potentiellen Angreifer grössere Hürden entgegensetze, die überwunden werden müssten.

Grosses Potential

Dieser und anderer Probleme ungeachtet wird Network Access Control ein grosses Potential bescheinigt. So sieht etwa Gartner die Technologie am Anfang des «Gartner Hype Cycle». Die Marktforscher von Infonetics errechneten in einer Studie von Anfang 2006 ein weltweites Umsatzwachstum von NAC-Technologien von 323 Millionen Dollar in 2005 auf rund 3,9 Milliarden Dollar im Jahr 2008, was einer Steigerung um über 1100 Prozent entspräche und laut Infonetics vor allem über Infrastrukturkomponenten wie Switches erzielt würde.

Experten wie Markus Nispel, Director Solution Architecture bei Enterasys Networks, gehen davon aus, dass mit einer Mainstream-Implementierung in den nächsten zwei bis fünf Jahren zu rechnen ist. Allerdings sind zahlreiche Unternehmen bereits heute dabei, sich mit der Technologie auseinanderzusetzen; nicht selten werden auch bereits Teile eines NAC-Frameworks eingesetzt. Im Vordergrund stehen auch hier Microsoft mit der Network Access Protection und Cisco mit der Network Admission Control. Allerdings ist der Markt laut Nispel noch sehr volatil, was es für Unternehmen schwierig mache, auf das richtige Pferd zu setzen. Generell, so Nispel, muss ein Unternehmen deshalb darauf achten, dass der Hersteller über eine flexible Architektur mit flexiblen Schnittstellen verfüge. Nur so könne man sich den Marktgegebenheiten flexibel anpassen. Ausserdem sei die Entscheidung, NAC einzuführen, letztlich nicht nur eine technologische, sondern insbesondere auch eine organisatorische.

Der «NAC»-Prozess

Der Network-Access-Control-Prozess lässt sich auf verschiedene Arten darstellen. Gartner hat die folgende, in der Praxis bewährte Einteilung entwickelt:



· Policy: Die Erstellung einer Policy ist notwendig, um die Konfigurationseinstellungen, die Zugriffsrechte und die Authentisierung sowie die Korrektur- und Quarantäne-Einstellungen zu regeln.



· Baseline: Erkennt den Security-Status bei respektive vor Anschluss an die Netzwerkinfrastruktur.



· Access Control: Die Zuweisung von Zugriffsrechten aus dem Vergleich von Policy und Baseline.



· Mitigation: Bei einer Diskrepanz und limitierten Zugriffsrechten (Quarantäne) sollte hier eine vollautomatische Beseitigung der Probleme via Softwareverteilung, Patchmanagement und Konfigurationsmanagement erfolgen.



· Monitor: Es muss laufend überprüft werden, ob sich der Anfangsstatus nicht verändert hat.



· Contain: Falls dies doch geschieht, muss reaktiv eine erneute Quarantäne erfolgen können.



· Maintain: Es muss eine laufende Anpassung und Optimierung erfolgen.



Im Rahmen dieses Frameworks müssen die Workflows und die Organisation eines Unternehmens angepasst respektive optimiert werden.