Impressum
Aktuelles
Unternehmensprofil
Sicherheitsloesungen
Dienstleistungen
Trainings
Presse
Startseite
Uebersicht
Pressemeldungen
Veröffentlichungen
Berichterstattung
Aktuelle Marktnachrichten
Was ist was?

Appliances sind gute Quarantäne-Alternative

Bei der Netzkontrolle bleiben Fragen offen

München (ab) – Microsoft und Ciscos ehrgeizige Quarantänepläne (Network Access Protection/NAP, Network Admission Control/NAC) geraten in die Kritik.

„Zunehmende Nutzung von Notebooks sowie Partneranbindung machen die Kontrolle jedes Endgeräts vor dem Netzzugriff heute zu einem Muss“, plädiert Trend Micros Produktmanager Udo Schneider für das Konzept der Network-Access-Control (NAC). Dazu könne man entsprechende Funktionen direkt in die Geräte und Netzkomponenten integrieren, wie es Cisco (NAC), Microsoft (NAP) und die Trusted Computing Group (TNC) planen.

Für dieses Konzept spreche, dass die Endgerätekontrolle damit sehr frühzeitig stattfindet. Allerdings kann der nötige Aufwand dafür riesig sein, etwa sollten alle Switches und Endgeräte auf dem neuesten Stand sein. Weiterer Nachteil, so Schneider: „Bei Microsoft muss man auf Vista/Longhorn warten und der viel versprechende, weil herstellerübergreifende Standard der TCG liegt noch weiter in der Ferne“, so Schneider.

Daher wollten viele Kunden im ersten Schritt über eine dedizierte NAC-Appliance in das Thema einsteigen. Denn ein solches Spezialgerät sei schon ab 6000 Euro zu haben. Zudem könnten diese noch Mehrwert wie etwa Wurmstopp bieten.

Für den Appliance-Ansatz plädiert auch Cirosec-Geschäftsführer Stefan Strobel. Generell rät er aber zu einem vorsichtigen Einstieg: „Man kann bei NAC heute noch viel falsch machen.“ Auch sei das Henne-Ei-Problem noch nicht grundlegend geklärt, da Switches über den Security-Standard 802.1x zwar Gerät und Benutzer authentifizieren können, aber um die anderen NAC-Fragen (Ist das Gerät auf dem aktuellen Patch-Stand? Ist es virenfrei?) zu klären, muss man mit dem Endgerät kommunizieren können und es dazu erstmal am Switch zulassen – was man aber eigentlich nur gesunden Geräten gestatten will. „Um das Dilemma zu lösen, kommen die Hersteller auf allerlei komische Ideen und haben oft Lösung von hinten durch die Brust ins Auge gefunden“, kommentiert Strobel die komplexen Ansätze der diversen Anbieter .

Und auch beim Thema Durchsetzung der Richtlinien (Policy Enforcement) gingen die Hersteller noch sehr verschiedene Wege: Die einen beeinflussen die Switches via SNMP, die anderen nutzen SSH und wieder andere steuern über die IP-Adress-Zuweisung DHCP, ob Geräte ins Netz dürfen oder in Quarantäne kommen.

Neben technischen Hürden sieht Strobel noch offene organisatorische Fragen: So müsste mit Partnern oder Beratungshäusern im Vorfeld geklärt werden, welche Eingriffsrechte man als Unternehmen auf firmenfremde Notebooks habe.

Computer Zeitung 31/2006 & netigator.de 15.08.06

pdf-Datei

zurück
Bild Berichterstattung