Roboter-Scanner
Network Access Control
Netzzugangskontrollemw-headline" id="Aufgaben">Aufgaben[Bearbeiten> | | | | Quellcode editieren]>
Netzzugangskontrolle (NAC) ist eine Methode, die den Schutz vor Computerviren, Wurm und unberechtigtem Zugriff aus dem Netz ermöglicht. NAC überprüft während der Authentisierung die Einhaltung der Richtlinien auf den Endgeräten. Die Netzzugangskontrolle entspricht im Wesentlichen zwei Anforderungen: Auf der einen Seite eine komplette Auflistung, welche Teilnehmer sich im (Firmen-)Netzwerk aufhalten und wo sie verbunden sind.
Der Typ der verwendeten Ausgabegeräte wie Clients, Druckern, Produktionssystemen, Bankautomaten, medizinischen Geräten, Tabletts, Smart-Phones, Kühlschränken, Kaffeeautomaten usw. darf keine Bedeutung haben. Dieser Überblick hindert Fremd- oder Fremdsysteme daran, sich über das WLAN oder eine freie Netzwerksteckdose Zugang zum (firmeninternen) Netz zu verschaffen. Das bedeutet, dass nur Ihre eigenen und zugelassenen Anlagen im Netz eingesetzt werden können.
Dabei wird geprüft, ob die bereits im Netz befindlichen Geräte den Sicherheitsbestimmungen oder den Sicherheitsvorschriften des Betriebes genügen. Dabei handelt es sich in der Regel um die vorhandenen Installationen und den Zustand eines Virenschutzprogramms oder einer Desktop-Firewall. Es wird angestrebt, nur solche Geräte im eigenen Netz zu bedienen, die alle diese Voraussetzungen und damit die Sicherheitsleitlinie erfüllen.
Zudem gibt es keine eindeutige Begriffsbestimmung des Begriffs "Netzzugangskontrolle", so dass auch die damit zusammenhängenden Dienste sehr unterschiedlich sind. Andere Fachbegriffe, die zu Verwirrung geführt haben, da sie sich im Wesentlichen auf dasselbe Themengebiet beziehen, sind "Network Emission Protocol" (NAP), "Network Emission Control" (NAC). Diese Technik durchsucht das Netz nach IP-Adressen, indem sie die Adressbereiche pingt oder die ARP Caches des Routers liest.
Die so erkannten Zielgeräte werden dann in der Regel durch weitere Überprüfungen präziser gekennzeichnet, um zu prüfen, ob es sich um anerkannte und freigegebene Zielgeräte handeln. Wenn externe Teilnehmer gefunden werden, werden sie durch unterschiedliche Techniken in der Verständigung beeinträchtigt oder z.B. auf ein Gastportal umgelenkt. Appliances wurden von unterschiedlichen Anbietern für die Verkehrsanalyse entwickelt, die den Netzverkehr inline prüfen und somit auch jedes im Netz kommunizierende Endgerät kennen.
So können z. B. unerwünschte Pakete von Datenpaketen fallen gelassen werden, so dass die Angreifer nicht mehr ungestört im Netz miteinander reden können. Das Problem ist, dass diese Anwendungen im gesamten Netz verstreut sein müssen, um alle Teilbereiche abzudecken. Dies macht diese Vorhaben in der Praxis meist sehr aufwändig, kompliziert und vor allem sehr kostspielig, da je nach Unternehmensgröße eine ganze Reihe von Geräten angeschafft werden muss.
Natürlich muss die Prüfung in Realzeit erfolgen, sonst entsteht ein Engpass, der die Verständigung im Netz verlangsamt und damit die Arbeit unterbricht. An einen Switcher angeschlossene Devices können in der Regel untereinander ohne Verkehr durch ein NAC-Gerät hindurchgehen. Das bedeutet, dass wenigstens die unmittelbaren Nachbarstaaten angegriffen und ausgenutzt werden können, um von diesen Einrichtungen aus in das weitere Netz einzudringen.
Allerdings ist auch hier in der Regel nicht die volle Deckung aller Netzteilnehmer garantiert - insbesondere bei älteren Endgeräten und Switchen wird diese Funktionalität oft nicht unterstützt. Falls ein Endgerät an einen Schalter oder Access Point angeschlossen ist, muss es sich mit einer passenden ID (z.B. Benutzername & Kennwort oder ein Zertifikat) ausweisen.
Ein RADIUS-Server überprüft im Gegenzug die Plakette auf ihre Richtigkeit, die neben einem "Accept" oder "Deny" auch verschiedene andere Regelsätze, wie z.B. zugewiesene VLAN' oder ACL's, übertragen kann. Üblicherweise wird das SNMP-Protokoll eingesetzt, das die Kommunikation mit beinahe allen Switchen ermöglicht, da beinahe jeder Anbieter von Business-Switches dieses Protokol beherrscht.
Ein beliebiges an einen Switchport angeschlossenes und kommunizierendes Endgerät wird detektiert. Wird ein neuer Apparat angeschaltet, benachrichtigt entweder der Schalter das NAC System über eine Falle oder das NAC System fordert den Schalter regelmässig nach den momentan angeschalteten Apparaten auf. Sie werden durch ihre MAC-Adresse identifiziert, weshalb dieser Weg oft auch als "MAC-basierte NAC" bezeichnet wird.
Über die Verwaltung einer White List können Sie festlegen, welche Endgeräte im Firmennetzwerk erlaubt sind und welche nicht. Unter Verwendung des selben Kommunikationsweges wie die Detektion kann ein Switcher einen Auftrag vom NAC-System empfangen und einen Netzwerkport neu konfigurieren. Virtuelle Netze ermöglichen eine bequeme Segmentierung des Netzes ohne Rücksicht auf die physikalische Beschaffenheit.
Weil die Konfigurierung der VPNs auch an den Switchen erfolgt, ist es eine offensichtliche Ergänzung der Network Access Control, Netzwerk-Ports nicht nur zu blockieren, sondern auch umzuleiten. Externe Anlagen müssen nicht mehr komplett vom Netz abgekoppelt werden, sondern können in einen eigenen Gastbereich geschaltet werden, in dem z.B. nur noch das Netz zur Verfügung steht.
Zusätzlich zum Aspekt der Sicherheit kann auf diese Art und Weise auch eine komfortable Verwaltung der virtuellen LANs aufgebaut werden, indem das zum Endgerät gehörige virtuelle LAN für jeden Port automatisiert wird. Im Gegenzug werden die Anwender innerhalb des Netzwerks von anderen Systemen wie dem Autorisierungssystem im AD oder anderen Verzeichnissen gesteuert. Trotzdem sind aktive Verzeichnis- oder LDAP-Dienste eine populäre Identifikationsquelle, die auch für die Netzwerkzugriffskontrolle genutzt werden kann.
Es gibt folgende Einschränkungen: Die bloße Anzeige der Devices aus dem AD ist verhältnismäßig leicht und meist auch zur vereinfachten Wartung nützlich. Jeder kann auf diese Weise beliebig viele Endgeräte mitbringen und im Netz bedienen - eine echte Netzzugangskontrolle ist nicht mehr möglich, da ungeschützte Endgeräte zu jeder Zeit voll zugreifen können.
Die Zusammenstellung von Anwendern und Endgeräten aus dem AD zur Bestimmung der jeweiligen Zugangsrechte ist in der Praxis nicht ganz leicht und schafft einen hohen Grad an Kompliziertheit. Über die vergebenen Rechte der Anwender kontrolliert das AD selbst, welcher Angestellte auf welche Rechner und Services im Betrieb hat. Allerdings tritt diese Problematik meist nur in sehr großen und weit verzweigten Netzen auf.
In den meisten Faellen ist daher die Zulassung der Endgeraete ausreichend oder die Einschraenkung der Vorschriften auf ganz besondere Faelle. Es gibt neben Verzeichnissen für aktive Verzeichnisse und LDAP Verzeichnisse weitere Quellen, wie z.B. unterschiedliche Datenbestände, z.B. von Helpdesk-Systemen oder CMDB' s oder Mobile Device Management Produkten. Grundsätzlich kann jedes beliebige Adressbuch mit Geräte-Identitäten nützlich sein, um die Einrichtung und Wartung der Netzwerkzugangskontrolle zu vereinfachen.
Weil der Netzwerkzugang durch Network Access Control vor dem Zutritt von "Nicht-Enterprise-Geräten" gesichert ist, werden handelsübliche NAC-Lösungen in der Regel zusammen mit einem Gastportal bietet. Dies ermöglicht externen Geräten und Benutzern den temporären Zutritt zu bestimmten Resourcen - die zugehörige Identity wird im Netz vorübergehend toleriert.
Angetrieben durch das Motto "Bring-Your-Own-Device" werden Gastportale teilweise ausgebaut, um den Mitarbeitenden die Gelegenheit zu bieten, ihre eigenen Endgeräte zu erfassen und im Firmennetzwerk zu bedienen. Im Zusammenhang mit der Netzzugangskontrolle bezeichnet Compliance in der Regel die IT-Compliance, bei der auch hier das oder die Ziele bzw. Erfordernisse differenziert werden müssen.
Dabei ist es besonders spannend, ob die Geräte den Sicherheitsvorschriften genügen und diesbezüglich "konform" sind. Das Scannen der Geräte erfolgt hauptsächlich über WMI, SNMP oder NMAP. Am sichersten ist die Überprüfung vor der Aufnahme in das Netz, die in der Regel nur schwierig durchsetzbar ist.
Neben den beiden genannten Ausführungen besteht bei einigen Netzwerkzugangskontrolllösungen auch die Chance, den Konformitätsstatus der Geräte von Fremdprodukten zu ermitteln und zu bearbeiten. Ein Microsoft WSUS-Server kann beispielsweise als Informationsquelle für den Patch-Status fungieren, Antivirenlösungen können das NAC-System über die infizierten Geräte unterrichten oder SIEM-Lösungen können das NAC-System dazu veranlassen, die betroffenen Geräte im Falle einer Bedrohung zu trennen.
Die Netzzugangskontrolle ist daher von zentraler Wichtigkeit in der Sicherheitsstrategie, da die Reaktionsmöglichkeiten hoch wirksam sind und durch die direkte Kopplung von Sicherungssystemen äußerst rasch realisiert werden können.
Fernsehempfangsstörungen Telekom
Kostenloser Download von Mcafee Livesafe
Schutz vor Android-Viren
Leitweglenkung Firewall
Bestes Antivirenprogramm 2015
Kaspersky Internet Security Handbuch 2017
Bootbarer Virenscanner Usb
Sicherheit von Avira total
Intelligenter Scan von Avast
Installieren Sie Avira kostenlos
Attacke auf PC
Deinstallation von Avira Xp
Zone Alarm Download
Dsl-Router von Telekom
Abonnementpreis Mcafee
Ein Trojaner entfernt Windows 10
Der Unterschied zwischen Firewall und Virenschutz
Virenschutzprogramm Vollversion kostenlos
Rettungsvirenscanner
Die Avira Rescue Usb
Die Avira Pro für Windows 10
Awast Online-shop
Kostenlose Avira-Downloads
Bsi Botnet Prüfung
Kostenlose Avira-Entfernung ohne Rückstände
Network Security Wow
Telekom Netzwerkausfall
Die Mcafee Lizenz
Entfernen von Adware
So deaktivieren Sie die Firewall
Das Antivirus-Programm
Der Kaspersky Rettungs-Stick
Usb-Stick für Virenscan
Antivirensoftware für Vista 64 Bit
Aktivierungscode für Avast Internet Security
Kostenloses Avira Antivirus Windows Xp 32 Bit
Bootsnetz
Kostenloser Avira Ccleaner
Sicherheit der Daten im Netzwerk
Unterbrechung Handy Telekom
Was ist das, Mcafee?
Malware entfernen
Blacklist der Firewall
Die beste kostenlose Antivirensoftware
Rettungs-CD-Virus-Scanner
Virenschutz Boot Usb
Herunterladen von Avira Professional Windows 10
Sicherheitskonzept Avast_internet_security_setup 2016
Avira Anti-Virus kostenlos herunterladen
Überprüfen, ob der Computer infiziert ist