Sicherheit auf hohem Niveau mit wenig Aufwand

Network Access Control, kurz NAC genannt, kontrolliert den sicheren Zugriff auf das Unternehmensnetzwerk und schützt vor unerwünschten Fremdgeräten. Eine NAC-Lösung ist leicht in fast jede bestehende Netzwerkumgebung zu integrieren und ermöglicht es, gezielte Sicherheitsrichtlinien zu definieren und umzusetzen. Mit einer NAC-Lösung steuern Sie Ihr Netzwerk von einer zentralen Stelle und sparen Kosten durch einen geringeren Administrationsaufwand. Ihr Netzwerk ist ab sofort gegen Fremdzugriffe geschützt.

Sie haben somit eine sichere und übersichtliche Netzwerkumgebung. Alle Geräte im Netzwerk können sehr einfach und ohne großen Aufwand registriert, überwacht und verwaltet werden. Unbekannte Systeme können ohne Ihre Genehmigung nicht mehr auf das Netzwerk zugreifen, der einmalige Aufwand zur Genehmigung ist nur einen Mausklick weit entfernt.

NAC sorgt für Transparenz und Ordnung

Um eine NAC-Lösung zu realisieren wird ein NAC-Gateway in das bestehende Netzwerk integriert. Dieses System erstellt dann eigenständig eine Inventur der Endgeräte die auf das Netzwerk zugreifen. Mittels dieser Inventur-Liste können sehr einfach Regeln für verschiedene Benutzergruppen definiert werden.

Sind die Regeln einmal festgelegt, wendet das System diese Regeln eigenständig an - unabhängig vom Standort an dem sich der Benutzer gerade befindet.
 
  • Alle Geräteinformationen stehen in Echtzeit zur Verfügung (automatische Inventur)
  • Der Personalaufwand für die Administration des Netzwerks wird reduziert
  • Über individuelle Richtlinien und Rollen lassen sich verschiedene Nutzergruppen einfach verwalten, z.B. Gäste, Mitarbeiter, Telefone oder auch medizinische Geräte
  • Die Netzwerksicherheit steigt, da kein Zugriff von Fremdgeräten mehr möglich ist
  • Störfaktoren bei der Bereitstellung von Diensten für Benutzer werden reduziert
  • Nicht registrierte Endgeräte können nicht mehr auf das Netzwerk zugreifen oder erhalten nur einen eingeschränkten Zugang
  • Eine Kopplung mit einem bestehenden Asset-Management ist einfach zu realisieren
  • Mit einer NAC-Lösung können Sie mit einfachen Mitteln „geschlossene Benutzergruppen“ definieren, um z.B. medizinische Geräte vom Rest des Netzwerkes abzuschotten. Sollte das Gerät einmal an einen anderen Standort umziehen, zieht die Benutzergruppe automatisch mit um. Somit kommen Sie mit wenig Aufwand ein großes Stück weiter, um Ihre Compliance- oder ISO 80001-Vorgaben zu erfüllen.
  • Auch Ihr Wirtschaftsprüfer ist einfach zufrieden zu stellen. Ein von Ihnen benannter verantwortlicher Mitarbeiter kann ihm, ohne die IT-Abteilung zu bemühen, Zugang zu den benötigten Daten gewähren.
  • Ihren Gästen können Sie, als besonderen Service z.B. bei einer Vorstandssitzung oder der Präsentation Ihrer Produkte oder Leistungen, direkt am Empfang ein Tagesticket für die Internetnutzung aushändigen.

Durch die Kooperation der Unternehmen Enterasys und Palo Alto ist weltweit erstmalig eine bidirektionale Kommunikation zwischen Firewall und Netzwerkmanagement/NAC möglich.

Die Besonderheit der bidirektionalen Kommunikation umfasst im wesentlichen zwei entscheidende Szenarien:

Szenario 1:

Ein Benutzer meldet sich vom Netzwerk ab: Das Enterasys NMS/NAC meldet den Vorgang an die Palo Alto Next Generation Firewall… die Firewall löscht diese Kommunikationsbeziehung sofort aus der Mapping-Tabelle.
 

Szenario 2:

Die Palo Alto Next Generation Firewall stellt einen Regelverstoß eines Benutzers fest, da dieser versucht mittels Webex geheime Daten an einen Konkurrenten zu übermitteln. Die Palo Alto Firewall meldet das dem Enterasys NMS/NAC… der Benutzer wird in ein Quarantäne-Netzwerk geleitet und hat keinen Zugriff mehr auf die relevanten Daten.

10 Planungstipps für eine NAC-Implementierung

Ziele definieren

Zur Frage, was mit der NAC-Lösung erreicht werden soll, gehören etwa der Schutz vor unsicheren Geräten mit nicht ausreichendem Virenschutz. Auch könnten ungesteuerte Gerätebewegungen verhindert werden oder Netzwerkrechte für Gäste und Netzwerkkomponenten wie Drucker, Notebooks und Telefone bereitgestellt werden.

Authentisierungsverfahren bestimmen

Ein sicherer Netzwerkzugang erfordert eine Geräte-Authentifizierung. Dies kann proprietär oder über 802.1X erfolgen und abhängig von Endgeräten und Sicherheitsanforderungen angeboten werden.

Nebeneffekte

NAC-Systeme bieten auch viele Möglichkeiten organisatorische Abläufe zu verbessern. So wird das Bestandsmanagement zur Lokalisierung der Geräte und zur Erkennung nicht genutzter Geräte aufgewertet. Darüber hinaus lassen sich mit bedarfsgerechtem Ein-und Ausschalten der PC-Arbeitsplätze erheblich Energiekosten reduzieren.

Ergänzende Analysen

Vorteilhaft sind Methoden und Techniken, die beim Netzwerkzugang spezielle Gerätetypen wie Drucker oder IP-Telefone automatisch erkennen.

Dienste-Zugriff beschränken

Mittels VLAN-Steuerung sollte das Netz logisch aufgeteilt werden, damit Benutzer nicht auf alle Dienste zugreifen können.

Nutzungszeit begrenzen

Die Zugänge für Unternehmensgäste sollten mit einer restriktiven zeitlichen Beschränkung versehen werden.

Angriffe verhindern

Die Überwachung des Netzwerkes sollte auch Man-in-the-middle-Angriffe erkennen und verhindern können.

Erweiterter Schutz

Für bestehende Sicherheits-Systeme spielt NAC immer eine zentrale Rolle, da es den Angreifer oder das bedrohende System unmittelbar vom Netzwerk trennen kann.

Richtlinien-Monitoring

Bei Einhaltung der Sicherheitsrichtlinien wie Virenschutz, Patch-Management oder Sicherheits-konfigurationen sollten mobile Clients unbedingt überwacht werden.

Reaktionen automatisieren

Klare Regeln sollten für den Umgang mit Fremdsystemen und unsicheren Systemen sowie für das Verhalten bei nicht gemeldeten Umzügen festgelegt und aktiviert werden.

 

Com-Sys bietet diese Lösung auch als Betreibermodel oder als Full Managed Service an. Gerne stellen wir Ihnen unsere Lösung anhand einer Live-Demo vor.