Mit Network Access Control (NAC) kontinuierlich das Netzwerk prüfen

Network Access Control (NAC) lässt sich für konstantes Monitoring des Netzwerks einsetzen. Hierfür müssen aber einige Parameter definiert sein.

Nachdem ein Cyberkrimineller in ein Unternehmen eingebrochen ist, entdeckt man ihn häufig nicht sofort. Wer im Security-Bereich arbeitet, kennt das Sprichwort: „Vorbeugung ist ideal, Erkennung ist ein Muss“. Ich selbst sage das oft, da es in diesen Tagen immer relevanter wird. Eine Firma sollte so viele Angriffe wie möglich vorbeugen.

Sie kann aber nicht alle Angriffe abblocken – sollte die Prävention nicht funktionieren, muss man Angriffe so schnell wie möglich entdecken. Studien wie der Verizon Data Breach Investigations Report und Mandiant M Trends zeigen, dass die meisten Firmen wenig bis gar keine Erkennungs-Tools einsetzen. Diese Unternehmen können den Schaden nicht kontrollieren, der nach einem erfolgreichen Angriff eintritt.

Wir konzentrieren uns daher in diesem Artikel darauf, wie man Angriffe in angemessener Zeit erkennt und den potenziellen Schaden verringert. Wir werfen einen Blick auf existierende Technologien und sehen uns an, wie sich kontinuierliches Monitoring implementieren und die Benachrichtigungs- oder Antwort-Komponente automatisieren lässt.

Warum wird NAC nur selten eingesetzt?

Wenn man sich mit Security-Prävention beschäftigt, ist eine häufige Schnellschussreaktion, neue Produkte anzuschaffen. Das Problem ist, dass die meisten Unternehmen Angriffe nicht aus mangelnder Security-Lösungen verpassen. 

Das Problem sind eher unausgebildete Security-Mitarbeiter. Nehmen wir an, dass das Bugdet keine Rolle spielt. Hat eine Firma nicht ausreichend Mitarbeiter, um die momentanen Produkte angemessen zu administrieren, wie soll das mit dem Einkauf neuer Produkte besser werden? Man verschlimmert damit das Problem nur, da sich die sowieso schon knappen Ressourcen nun noch mehr verteilen.

Es ist immer ein Vorteil, zuerst die vorhandenen Funktionalitäten einzusetzen. Ein gutes Beispiel ist Network Access Control (NAC). Die meisten Firmen haben darauf Zugriff, nutzen es allerdings nicht. 

Setzen Firmen NAC ein, dann schöpfen sie häufig nicht das volle Potenzial aus. Sie implementieren NAC lediglich am ursprünglichen Verbindungsknoten. 

Möchte sich ein System mit dem Netzwerk verbinden, evaluiert dies NAC und weist ihm dann ein entsprechendes Virtual LAN (VLAN) zu. Danach werden aber keine weiteren Überprüfungen gemacht.

Dieser nicht seltene Fall hat aber Nachteile. Nur weil ein System um neun Uhr Morgens sicher ist, muss das um 13 Uhr nicht auch der Fall sein. Sollte das System während des Tages kompromittiert werden, bleibt die Erkennung aus. 

Die meisten NAC-Konfigurationen sind zudem nicht so ausgelegt, dass Sie nach Hinweisen fortschrittlicher Angriffe suchen. Es ist natürlich gut, dass NAC die Patch-Niveaus untersucht und sicherstellt, dass die Security-Produkte auf dem Endgerät laufen. 

Viele fortschrittliche Angriffe umgehen diese aber und ändern keine relevanten Parameter. Deswegen sucht NAC nicht in den richtigen Bereichen. Zudem sind die meisten Netzwerke nicht ausreichend segmentiert, um eine angemessene Schadensbegrenzung betreiben zu können.

NAC-basiertes Monitoring durchführen

Um diese Probleme zu lösen, sehen wir uns einige Konzepte an und zeigen, wie sich diese kombinieren lassen, um ein kontinuierliches Monitoring-System zu ermöglichen. Zunächst einmal muss NAC permanent den Traffic, und nicht spezielle Hosts, überwachen, um einen Einbruch erkennen zu können. 

Die meisten NAC-Implementierungen werden mit Host-basierten Parameter realisiert. Hier verliert man schnell den Überblick und das Monitoring ist schwer. Damit Sie auch mit fortschrittlichen Mitteln überwachen können, müssen Sie außerdem Host-basierte Agents installieren. Das treibt möglicherweise nicht nur die Kosten hoch, sondern ist auch komplexer. Setzen Sie auf Netzwerk-basierte Parameter, ist eine Implementierung einfacher und skalierbar.

Das zweite Konzept ist, die Netzwerk-Parameter zu identifizieren, die auf einen Angriff des Systems hinweisen. Bei der Beurteilung vieler Angriffe, ist der C2- oder Command-and-Control-Kanal einer der besten Indikatoren für einen Einbruch. Ein C2 wird immer drei Parameter beim ausgehenden Traffic ändern:

  1. Länge der Verbindungen;
  2. Anzahl der Verbindungen;
  3. Menge der Daten.

Zunächst erstellen Sie ein Profil für normale Aktivitäten. Ändert sich etwas in diesen Parametern, könnte das auf ein kompromittiertes System hinweisen.

Beim letzten Schritt geht es darum, ein angemessenes, segmentiertes Netzwerk zu erschaffen. Damit betreiben Sie Schadensbegrenzung. Es gibt mehrere Möglichkeiten, das zu realisieren. Nachfolgend finden Sie ein Segmentierungs-Modell, das ich erfolgreich in vielen Unternehmen anwende:

Level 5: kompletter interner und externer Zugriff

Level 4: kompletter interner und externer Zugriff ist eingeschränkt

Level 3: interne und externe Zugriffe sind eingeschränkt

Level 2: begrenzte interne Zugriffe und extern komplett blockiert

Level 1: kein Zugriff

Nun muss man alle Teile kombinieren und das Beispielmodell funktioniert: NAC wird kontinuierlich die drei oben genannten Parameter auf den ausgehenden Traffic monitoren. Fällt der Traffic in allen drei Bereichen um zehn Prozent aus dem Rahmen, stuft NAC das System auf ein niedrigeres Level ab. 

Sollte sich das System schlecht verhalten, wird dieses Zugriffslevel reduziert und der Cyberkriminelle kann weniger Schaden anrichten. Sollte sich ein System gut verhalten, steigt das Zugriffslevel.

Bedenken Sie, dass diese Methode des NAC-basierten, kontinuierlichen Monitorings den Schaden lediglich begrenzt. Es säubert ein infiziertes System nicht. Fällt ein System unter Level drei, wird automatisch der Alarm ausgelöst. Hier liegt ein Indiz vor, dass das System möglicherweise kompromittiert wurde. Systemadministratoren können angemessen auf den Vorfall reagieren.

Als Faustregel für Security gilt: vor dem Kauf eines neuen Systems sollte man immer erst die existierenden überprüfen. Wie in diesem Beitrag beschrieben, kann NAC als kontinuierliches Monitoring-System für ein Netzwerk dienen. Damit lässt sich der Schaden begrenzen, den ein Cyberkrimineller anrichten kann.

Über den Autor:
Eric Cole, Ph.D., ist ein anerkannter Security-Experte mit mehr als 20 Jahren praktischer Erfahrung. Dr. Cole ist Gründer und Geschäftsführer von Secure Anchor Consulting. Dort bietet er Beratungs-Services im Bereich Cybersecurity und Gutachten an. Außerdem ist er in der Erforschung und der Entwicklung von modernen Security-Systemen tätig. Dr. Cole war der einzige Neuzugang in der InfoSec European Hall of Fame im Jahre 2014. Er arbeitet aktiv mit dem SANS Technology Institute (STI) zusammen und ist ein SANS Senior Fellow.

Folgen Sie SearchNetworking.de auch auf Facebook, Twitter und Google+!

Erfahren Sie mehr über Netzwerksoftware

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close