bluebay2014 - Fotolia

Network-Access-Control-Tools: Diese Tipps sollten Sie vor dem Kauf beachten

Die Suche nach der perfekten NAC-Lösung kann langwierig sein. Diese Tipps helfen bei der Auswahl eines Network-Access-Control-Tools.

NAC-Tools (Network Access Control) gewinnen immer mehr an Bedeutung, da die Grenzen von Unternehmensnetzwerken immer schwieriger zu bestimmen sind und gleichzeitig immer mehr Endgeräte an Firmenressourcen angebunden werden müssen. Während der Endpoint-Schutz früher eher selten anzutreffen war, gehört er inzwischen zu den Kernbereichen der IT-Security, und NAC-Produkte spielen hierbei eine Schlüsselrolle. Aus Sicht eines Angreifers machen gut implementierte und verwaltete NAC-Produkte so den Unterschied zwischen einer vollständigen Kompromittierung des Netzwerks und einer fehlgeschlagenen Attacke aus.

Heutzutage wird Network Access Control oft als Sicherheitslösung für BYOD-Szenarien eingesetzt, dabei eignet es sich als Gatekeeper auch hervorragend für das Netzwerk-Management. NAC-Produkte haben sich wegbewegt von Systemen, die  rigoros alle Geräte bis auf die bekannten blockieren, hin zu durchlässigeren Barrieren, die sich mit Richtlinien sehr fein einstellen lassen. NAC-Tools unterstützen kabelgebundene und kabellose sowie auch Remote-Verbindungen und spielen so eine wichtige Rolle bei der Absicherung verschiedenster Verbindungstypen.

Sobald sich ein Unternehmen prinzipiell für eine NAC-Lösung entschieden hat, sollte man sich Gedanken über die unterschiedlichen Kaufkriterien machen. NAC-Anbieter bieten oft eine viel zu große Menge verwirrender Informationen, was die Unterscheidung der einzelnen Lösungen oft schwierig macht. Wer sich also auf die Suche nach dem geeigneten NAC-Produkt macht, und vor allem wer mit NAC-Anbietern spricht, der sollte die folgenden Fragen und Tipps berücksichtigen.

NAC-Produkte mit oder ohne Agent?

NAC-Produkte sollten natürlich alle Endgeräte unterstützen, die sich möglicherweise mit dem Firmennetzwerk verbinden, und zwar von PCs über Macs und Linux-Rechner bis hin zu Smartphones und Tablets. Ein NAC-Agent ist ein kleines Stück Software, das auf Endgeräten installiert wird und dem NAC-Tool detaillierte Informationen zum Beispiel zur Hardwarekonfiguration, installierter Software, laufenden Diensten, Antivirensoftware oder auch angebundenen Peripheriegeräten liefert. Manche Agents können sogar Tastatureingaben und den Browser-Verlauf auslesen, was aber natürlich zu Datenschutzbedenken führt. NAC-Agents scannen die Endgeräte entweder einmal oder periodisch immer wieder.

Falls ein NAC-Produkt auf Agents setzt, dann ist es wichtig, dass die Agents eine größtmögliche Palette an Endgeräten unterstützen und im Notfall auch agentenlos funktioniert. In vielen Fällen wird es nötig sein, Endgeräte ohne Agent anzubinden, vor allem viele BYOD-Geräte oder auch Drucker.  Ein agentenloses NAC-Produkt ermöglicht den Scan des Endgerätes vom Network Access Controller aus, um das Gerät dann entsprechend seiner Sicherheitsbewertung einzustufen. Durchgeführt wird dies beispielsweise durch Port-Scans und Erkennung der Betriebssystemversion.

Agentenloses NAC ist eine Schlüsselkomponente von BYOD-Umgebungen, und für viele Unternehmen sollte diese Funktion daher zu den unabdingbaren Voraussetzungen für ein NAC-Tool gehören. Natürlich wird das Sammeln von Informationen über Agent-Software mehr Informationen bieten, aber in Netzwerken, die von vielen unterschiedlichen Geräten genutzt werden, ist dies meist nicht möglich.

NAC-Integration mit bestehender Software und Authentifizierung

Eine der wichtigsten Überlegungen vor dem Kauf eines NAC-Produkts gilt der Integration in bestehende Software und Authentifizierungslösungen. Immerhin ist es von enormer Bedeutung sicherzustellen, dass die Form der Authentifizierung gewählt wird, die am besten zur bisherigen Firmen-IT passt. Gute NAC-Produkte sollten verschiedene Möglichkeiten unterstützen, beispielsweise 802.1x (durch die Nutzung eines RADIUS-Servers), Active Directory, LDAP oder Oracle. Ein NAC muss aber auch in das Netzwerk integriert werden, beispielsweise für den Umgang mit einem bestimmten VPN-Produkt (Virtual Private Network).

Wenn unterschiedliche Security-Produkte unterstützt werden sollen, die sich nicht ausreichend ineinander integrieren lassen, entsteht sehr schnell die Gefahr eines Management-Overheads. Eines der wichtigsten Unterscheidungsmerkmale zwischen NAC-Produkten betrifft daher nicht nur, welche anderen Sicherheitslösungen darin integriert werden können, sondern vor allem auch wie viele. Die folgenden Security-Produkte finden sich inzwischen nahezu in allen Unternehmen und sollten sich daher in NAC-Produkte integrieren lassen:

-          SIEM-Lösungen (Security Information and Event Management),

-          Schwachstellen-Evaluierung,

-          Advanced Threat Detection,

-          Mobile Device Management,

-          Next-Generation Firewalls.

Hilfe bei Compliance-Fragen durch das NAC

NAC kann zusätzlich auch bei Compliance-Vorgaben rund um PCI DSS, HIPAA, ISO 27002 oder NIST behilflich sein. Jedes dieser Regelwerke setzt bestimmte Kontrollen voraus, die beim Netzwerkzugang implementiert werden müssen, vor allem bei BYOD-Geräten.

Ein NAC-Produkt kann hier zur Compliance beitragen, indem die Netzwerkverbindungen überwacht und gegebenenfalls Security-Policies in Gang gesetzt werden. Diese Policies können so angepasst werden, dass sie den eben angesprochenen Vorgaben entsprechen. Wer also ein neues NAC-Produkt kauft, der sollte auch Compliance-Gesichtspunkte im Auge behalten und einen Anbieter auswählen, der bei diesem Prozess unterstützen kann – egal ob durch spezifisches Fachwissen oder vorgefertigte Policies, die für unterschiedliche Geschäftsbereiche angepasst werden können.

Die wahren Kosten eines NAC-Produktes

Bei der Kaufentscheidung sollten die wahren Kosten eines NAC-Produktes den größten Ausschlag geben. Die meisten NAC-Lösungen  werden pro Endgerät abgerechnet, das sich darüber mit dem Netzwerk verbindet. In einer großen Firmenumgebung können so enorm hohe Kosten entstehen. Allerdings gibt es oft auch versteckte Kosten, die man ebenfalls bedenken sollte:

-          Add-ons: Manchmal erhalten Unternehmen für den Grundpreis nicht alle Informationen und Kontrollmöglichkeiten, die sie eigentlich brauchen. Damit lauern versteckte Kosten bei NAC-Produkten also bei Basispaketen, die für Unternehmen kaum ausreichen. Die hierfür noch nötigen Add-ons können dann mit bis zu zehntausenden Euro zu Buche schlagen. Daher sollte man sich vorab gut informieren, welche Funktionen das Grundpaket bietet und welche Zusatzfunktionen man eventuell noch benötigt.

-          Anfangsinvestitionen: Bei manchen Produkten kann es auch zu hohen Anfangsinvestitionen für Installation oder Mitarbeitertraining kommen. Auch diese Kosten sollten schon bei der Planung mit einkalkuliert werden.

-          Support-Kosten: Auch das benötigte Support-Level spielt bei den Gesamtkosten eine große Rolle. NAC-Produkte können ein einmaliges oder ein regelmäßiges Training voraussetzen, genauso kann auch ein technischer Rund-um-die-Uhr-Support nötig sein.

-          Arbeitszeit: Die Arbeitszeit ist zwar nicht direkt mit den NAC-Kosten verbunden, aber gerade die Überwachung eines NAC-Produkts kann schnell teuer werden. Nicht nur für das Erlernen der Bedienung des NAC-Systems, auch für Management und Überwachung muss Arbeitszeit eingeplant werden. Selbst die besten NAC-Produkte benötigen trainierte IT-Mitarbeiter, die im Fall der Fälle eingreifen können.

Bestandteile des Produktsupports

Auch die Supportleistung des NAC-Anbieters spielt eine große Rolle, vor allem was den Erfolg beim Rollout als auch die Bewertung der Gesamtkosten betrifft. Hier kommt es vor allem darauf an,

-          was konkret in den Supportleistungen enthalten ist.

-          was der erweiterte Support kostet.

-          ob der Support rund um die Uhr erreichbar ist.

-          ob der Anbieter auch in der relevanten geografischen Region Personal vor Ort hat. Manche NAC-Anbieter sind beispielsweise hauptsächlich in den USA aktiv, Unternehmen in der EMEA-Region könnte in diesem Fall Probleme mit den Supportleistungen erhalten.

-          ob Vor-Ort-Training in den Supportkosten enthalten ist.

Kauftipps zu Network-Access-Control-Tools

Bei der Kaufentscheidung für ein bestimmtes NAC-Produkt ist es nicht nur wichtig, ob dieses auch alle Endgeräte in einem Unternehmensnetzwerk integrieren kann, sondern auch, wie aufwändig diese Integration vonstattengeht. Der Versuch, Geräte anzubinden, die nicht automatisch integriert werden konnten, kann sehr schnell zu hohen Kosten führen, auch wenn die Anfangskosten noch sehr moderat scheinen mögen.

Ein NAC-System sollte für ein Unternehmen arbeiten, nicht gegen dieses. Als NAC-Produkte früher nur 802.1x-Authentifizierung unterstützten und alle Endgeräte standardmäßig blockierten, wurde dies vor allem als Ärgernis wahrgenommen, das legitime Authentifikationsanfragen verhinderte. Moderne NAC-Lösungen dagegen bieten reibungslose Verbindungsoptionen für Angestellte und Fremdmitarbeiter gleichermaßen – und zwar jeweils genau für die Netzwerkbereiche, für die sie berechtigt sind.

Die Bewertung von NAC-Produkten sollte mit den hier aufgeführten Tipps und Empfehlungen umfassend durchgeführt werden, um genau den NAC-Typ und Anbieter zu finden, der für das jeweilige Unternehmen der richtige ist.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Netzwerksicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close