Der Dortmunder NAC-Spezialist Comco hat zehn Grundsätze für die technische Ausrichtung von NAC-Konzepten veröffentlicht.
Pflicht zur zentralen Überwachung:
Schutzmaßnahmen sind nur zentral sinnvoll, deshalb müssen das Security-Konzept und die NAC-Lösung auf eine Überwachung der gesamten Infrastruktur ausgerichtet sein. Vorteilhaft ist, wenn sie durch eine einzige Komponente für das komplette Netz erfolgt. Sie muss nach definierten Regeln die gesamten sicherheitsrelevanten Ereignisse empfangen und adäquat reagieren können.
Hardware-Überprüfung statt Benutzer-Authentifizierung:
Eine Strategie der Hardware-Überwachung hat dabei gegenüber der Benutzer-Authentifizierung den Vorteil, dass der zentrale Anmeldeserver entfällt. Ist ein Gerät in der Adress-Datenbank nicht bekannt, sendet das System einen Alarm und isoliert das unbekannte Gerät mittels Portabschaltung vom Netzwerk.
Kontinuierliche Überprüfung:
Die Lösung muss so konzipiert sein, dass die Überprüfung nicht ausschließlich beim ersten Anschluss an das Netzwerk erfolgt, sondern mit jedem Abfragezyklus. Manipulationen im Netzwerk, wie sie bei Lösungen auf IEEE 802.1x-Basis trotz einer erfolgreichen Authentifizierung noch möglich sind, lassen sich auf diese Weise erkennen.
Herstellerabhängigkeit vermeiden:
Zu den wesentlichen Nachteilen der IEEE 802.1x-basierten Access-Control-Lösungen gehört, dass bei dieser Ausrichtung die Herstellerspezifikationen dieses Standards berücksichtigt werden müssen. Dadurch erschweren sich Veränderungen und Erweiterungen der Netzwerke und entstehen zwangsläufig auch höhere Kosten.
Eingriffe in die technische Infrastruktur vermeiden:
Viele verwendete Authentisierungsverfahren erfordern, dass die Endgeräte entweder seitens des Betriebssystems oder mit einer speziellen Software für den Betrieb konfiguriert werden. Dadurch können sich Probleme bei älteren Geräten, Druckern oder Handscannern ergeben, weil sie sich nicht mehr umrüsten lassen. Als Folge entstehen verhältnismäßig hohe Implementierungskosten und vermeidbare Neuinvestitionen.
Page: 1 2
Ausmaß der Gefahren ist umfassender als bisher wahrgenommen und ein handeln dringend erforderlich, warnt Andy…
Merck bringt eine Digital-Trust-Plattform an den Markt. Deren Ziel: höhere Produktsicherheit und Schutz vor Produktfälschung.
Mit dem bevorstehenden Support-Ende für SAP IDM müssen viele Unternehmen ihre IAM-Strategie überdenken, erklärt Moritz…
KI-Trends 2025: Prädiktive KI rückt in den Fokus, autonome KI-Agenten noch nicht realisierbar.
Fraunhofer-Forschende simulieren die Wärmeströme des gesamten Netzes, prognostizieren Lastspitzen und helfen bei der Planung neuer…
Cloud-Trends 2025: Diversifizierung des Cloud-Marktes, Edge Cloud Transformation und Plattform-Compliance.
View Comments
NAC != Security
Interessant, dass einige dieser Tips im direkten Widerspruch zu dem steht, was Security Experten dazu meinen:
http://www.ernw.de/content/e7/e181/e901/download924/D1T1-MichaelThumannandDror-JohnRoecher-HackingCiscoNAC_ger.pdf
http://www.blackhat.com/presentations/bh-dc-07/Arkin/Presentation/bh-dc-07-Arkin-ppt-up.pdf
Danke für die Links
Hallo Michael,
herzlichen Dank für die beiden Links.
Schlimm genug, dass man sich durch die Thematik NAC, NAP, TNC, SDN ewig durchwühlen kann und jeder Hersteller irgenwo anders ansetzt. Aber wenn man dann neben der extremen Panikmache noch die PDFs durchliest, hat man eigentlich gar keinen Nerv mehr auf die Thematik.
Trotzdem halte ich bestimmte Feature für notwendig und ausbaubar.
Gruß
whatever