Englisch

Next Generation Network Access Technology by NCP

Network Access Control für Remote Access: Best Practise

Network Access Control, auch Network Admission Control genannt, (NAC) ist mittlerweile ein geläufiger Begriff in der IT Security Welt. Teleworker nutzen potenziell gefährdete Endgeräte für den Netzzugang. Eine Firewall alleine bietet heute keinen ausreichenden Schutz mehr. Die Zugangskontrolle ist zu einem zentralen Thema für den sicheren Betrieb von Unternehmensnetzwerken geworden. Auf dem Markt, findet man die unterschiedlichsten Lösungen. Viele sind nicht umfassend, andere komplex und nur schwer zu administrieren.

Bei NCP ist Network Access Control Bestandteil der „Next Generation Network Access Technology“, der ganzheitlichen Remote Access- Lösung. Die zentrale Administration der Zugriffskontroll-Mechanismen erfolgt über das NCP Secure Enterprise Management, das auch in bereits vorhandene VPN-Infrastrukturen integriert werden kann, z.B. in Cisco‘s NAC-Lösung.

NAC wehrt Gefahren ab
Die größten Gefahren gehen von mobilen Rechnern aus, die sowohl im Firmen-LAN als auch an nicht vertrauenswürdigen Internetzugangspunkten eingesetzt werden. Die NCP-Lösung erzwingt eine Zustandsprüfung am Client. Ein solcher Check besteht üblicherweise aus der Abfrage bestimmter Informationen der Client-Plattform. Sinn und Zweck von NAC ist, dass nur die Geräte Zutritt zum Unternehmens-Netz erhalten, die nach vorheriger Prüfung als ungefährlich eingestuft werden.

Die NCP Network Access Control Lösung regelt in einem mehrstufigen Verfahren automatisch den Zugang zum Firmennetz:

  • Identifizierung der Geräte
  • Prüfung auf Konformität mit der Security Policy des Unternehmens
  • In Abhängigkeit des Ergebnisses der Prüfung erhält das Endgerät lediglich Zugriff auf eine Quarantäne-Zone
  • Nach Wiederherstellung der Konformität Zugriff auf Applikationen bzw. das Unternehmensnetz

Die Software operiert in Echtzeit und erkennt sofort alle Clients die zugreifen wollen. Ohne Echtzeitkontrolle besteht für Angreifer eine große Auswahl an Möglichkeiten, das Netzwerk zu attackieren und Schadcode einzuschleusen. Deshalb schließt die NCP-Lösung unbekannte oder bei einer Prüfung aufgefallene Geräte aus und führt sie in die Quarantänezone. Diese bildet einen wichtigen Puffer vor dem eigentlichen Netzwerk und basiert auf Filterregeln am VPN Gateway bzw. im NCP Secure Enterprise Management.

Da die NCP-Lösung sowohl IPsec als auch SSL VPN-Verbindungen ermöglicht, greifen je nach Zugriffsart unterschiedliche Sicherheitsmechanismen. Im IPsec-VPN-Umfeld bestehen nach der Policy-Überprüfung folgende Optionen:

  • "Normaler Zugriff" nach erfolgreicher Prüfung
  • Trennung der Verbindung
  • Zugriff nur auf Quarantänezone
  • Starten externer Anwendungen am remote PC

In einem SSLVPN werden Zugriffsberechtigungen auf bestimmte Applikationen entsprechend vorher festgelegter, granularer Sicherheitsstufen erteilt. Nach Beendigung einer SSL Session werden alle Daten auf dem Endgerät automatisch gelöscht. Die Einhaltung der Sicherheitsrichtlinien ist bei beiden Zugriffsarten zwingend und vom externen Anwender nicht umgeh- bzw. manipulierbar.

Innerhalb der Quarantäne werden vom Administrator vorgegebene Sicherheits-Checks vorgenommen. Hierbei analysiert NAC von NCP beispielsweise, ob aktuelle Service Packs, Patches oder eine aktuelle Antivirussoftware installiert sind oder überprüft Dienste- und Datei-Informationen und Registry-Werte. Zugriff auf Applikationen bzw. das Unternehmensnetz werden erst dann gewährt, wenn ein Check vollständig erfolgreich ausfällt. NCP NAC agiert dabei vollkommen transparent. Nur im Falle eines Verstoßes gegen die bestehende Unternehmens-Policy schließt es den Benutzer aus dem Netzwerk aus. Konforme User werden ohne eine gesonderte Anmeldeprozedur durch den NAC-Prozess geleitet.

NCP Secure Enterprise Management für die zentrale Überwachung
Essentiell für Unternehmen ist eine zentral verwaltbare Security-Lösung. Jeder Administrator kennt die Vorteile einer zentralen Überwachung aller Netzwerk-Komponenten in einem VPN an einem einzigen Monitor. Alle gewünschten Informationen stehen in Echtzeit zur Verfügung und werden übersichtlich grafisch dargestellt.

Die NCP Enterprise Solution und Network Access Control (NAC) stellt u.a. folgende Funktionalitäten zur Verfügung:

Identifizierung
Eindeutige Identifizierung und Lokalisierung von Remote-Access Clients am Netz.

Authentifizierung
Eindeutige Authentifizierung der Identität des Nutzers und / oder Gerätes beispielsweise mit Hilfe des Active Directory und von RADIUS Servern (EAP).

Endpoint Security Enforcement
Diese Funktion überprüft, ob die Remote-Access Clients die Sicherheits-Policy des Unternehmens erfüllen, also ob das Betriebssystem zulässig ist, geforderte Patches aufgespielt und jüngste Antiviren-Engines installiert sind, beziehungsweise ob die aktuelle Signatur vorhanden ist.

Remediation
Die Funktion befördert ein Element, das den Sicherheitsregeln nicht entspricht, in die Quarantäne-Zone. Befindet es sich dort, sind eine Reihe von Aktionen erlaubt, so dass die Benutzer eingeschränkt arbeiten können oder durch Bereitstellung entsprechender Hinweise die Konformität durch den Benutzer leicht herstellbar ist.

Abweichungen von den Sollvorgaben werden protokolliert und können unterschiedliche Meldungen bzw. Aktionen auslösen, wie beispielsweise:

  •  Anzeige einer Meldung am Client
  • Ausgabe einer Meldung im Log des Clients
  • Senden einer Meldung zum Management Server
  • Senden einer Meldung zu einem Syslog Server
  • Freischalten von Firewall-Regeln
  • Trennung der VPN-Verbindung

Kontinuierliche Überprüfung
Die Überprüfung erfolgt nicht ausschließlich beim ersten Zugriff eines Endgerätes auf das Netzwerk, sondern bei jedem Verbindungsaufbau. Darüber hinaus in Wiederholungsschritten, die innerhalb der Richtlinien festgelegt sind.

Kostengünstige Implementierung und Administration
Als Bestandteil der ganzheitlichen NCP-Lösung ist eine schnelle und kostengünstige Implementierung garantiert, ebenso resultieren daraus niedrige Betriebskosten.

Compliance-Anforderungen
Die NAC-Lösung erfasst alle sicherheitsrelevanten Informationen transparent und stellt diese für die weitere Auswertung zur Verfügung.

Flexible Skalierbarkeit
Da es sich um eine reine Software-Lösung handelt, können alle Komponenten einfach und preiswert per Update erweitert werden.

Hinweis
Das Einhalten von Sicherheitsrichtlinien ist nicht nur von Unternehmen getrieben. Sie wird durch verschärfte Gesetze zur Pflicht. Unternehmen müssen nachweisen können, dass sie alles in ihrer Macht stehende tun, um einen wirksamen Schutz ihrer Daten zu gewährleisten. NAC kommt dabei eine gewichtige Rolle zu. Die Richtlinien werden über das NCP Secure Enterprise Management erstellt und global, gruppenbezogen oder individuell den Clients zugeordnet. Innerhalb dieser Policies ist definiert, ob ein Gerät den bestehenden Anforderungen entspricht und ihm der Zugang zum Netz gewährt wird oder nicht. Somit wahrt das System die vom Unternehmen aufgestellten Policies und leistet einen wichtigen Beitrag zur Compliance.

Folgende Fragen sollten Sie vor einer Implementierung der Lösung klären:

  • Wer darf sich im Netz anmelden?
  • Wie darf jemand mit dem Netz kommunizieren?
  • Was soll im Netz erreichbar sein?
  • Können Ressourcen eventuell gruppiert werden?
  • Wurden alle benötigten Ressourcen für die jeweiligen Gruppen identifiziert?
  • Welcher Funktionsumfang ist in welchem Bereich erwünscht?
  • Welche lokalen Beschränkungen gibt es? (physisch / logisch)
  • Sollen auch zeitliche Beschränkungen bestehen? Wenn ja, welche?
  • Können bestehende Daten zur Authentifizierung / Autorisierung genutzt werden?