Network Access Control für Remote Access: Best Practice Technical Paper



Ähnliche Dokumente
ANYWHERE Zugriff von externen Arbeitsplätzen

Endpoint Web Control Übersichtsanleitung. Sophos Web Appliance Sophos Enterprise Console Sophos Endpoint Security and Control

Windows Server 2008 für die RADIUS-Authentisierung einrichten

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Anleitung zur Nutzung des SharePort Utility

How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx

OP-LOG

How-to: Webserver NAT. Securepoint Security System Version 2007nx

{ Wirkungsvoller Netzwerkschutz mit Windows Server 2008 }

Powermanager Server- Client- Installation

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Installation der SAS Foundation Software auf Windows

Endpoint Web Control Übersichtsanleitung

Installation des Authorware Webplayers für den Internet Explorer unter Windows Vista

Avira Server Security Produktupdates. Best Practice

Verwendung des Terminalservers der MUG

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30

Anleitung zum Extranet-Portal des BBZ Solothurn-Grenchen

2. Installation unter Windows 8.1 mit Internetexplorer 11.0

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Endpoint Web Control Übersichtsanleitung

Windows Server 2008 (R2): Anwendungsplattform

Zugriff auf OWA Auf OWA kann über folgende URLs zugegriffen werden:

Lizenzierung von System Center 2012

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT

Anleitung Captain Logfex 2013

Einrichtung einer VPN-Verbindung (PPTP) unter Windows XP

5. Testen ob TLS 1.0 auf Ihrem System im Internet-Explorer fehlerfrei funktioniert

NetMan Desktop Manager Vorbereitung und Konfiguration des Terminalservers

Herzlich Willkommen bei der nfon GmbH

Formular»Fragenkatalog BIM-Server«

Adressen der BA Leipzig

Konfiguration IKMZ / Universitätsrechenzentrum des Cisco VPN-Clients v3.6 Netze und Datenkommunikation

Lizenzen auschecken. Was ist zu tun?

AIRWATCH. Mobile Device MGMT

Virtual Private Network

Installationsanleitung für CashPro im Mehrbenutzerzugriff/Netzwerkbetrieb

SharePoint Demonstration

iphone 4 - Einrichtung des VPN Clients (Cisco VPN Client) / Verbinden des iphones mit einem Exchange

Handbuch. timecard Connector Version: REINER SCT Kartengeräte GmbH & Co. KG Goethestr Furtwangen

Virtual Private Network

Der beste Plan für Office 365 Archivierung.

Virtual Desktop Infrasstructure - VDI

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30

zur WinIBW Version 2.3

Netzwerkinstallation WaWi-Profi3

Anwenderleitfaden Citrix. Stand Februar 2008

Projektmanagement in Outlook integriert InLoox 5.x Installationshilfe für Windows Terminalserver

Step by Step Remotedesktopfreigabe unter Windows Server von Christian Bartl

DocuWare unter Windows 7

Einrichten einer VPN-Verbindung zum Netzwerk des BBZ Solothurn-Grenchen

Nutzung von GiS BasePac 8 im Netzwerk

Collax PPTP-VPN. Howto

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

Einführung Inhaltsverzeichnis

1. Laden Sie sich zunächst das aktuelle Installationspaket auf herunter:

BitDefender Client Security Kurzanleitung

Benutzerhandbuch für Debian Server mit SAMBA. Rolf Stettler Daniel Tejido Manuel Lässer

Windows 8 Lizenzierung in Szenarien

NEVARIS Umstellen der Lizenz bei Allplan BCM Serviceplus Kunden von der NEVARIS SP Edition auf NEVARIS Standard/Professional

Stammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing

estos UCServer Multiline TAPI Driver

Novell Client. Anleitung. zur Verfügung gestellt durch: ZID Dezentrale Systeme. Februar ZID Dezentrale Systeme

Step by Step VPN unter Windows Server von Christian Bartl

Windows Small Business Server (SBS) 2008

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

Clientkonfiguration für Hosted Exchange 2010

Aktualisierung der Lizenzierungsrichtlinien für Adobe Produkte

Anbindung von iphone und ipad

Installation. Danach wählen Sie das Installationsverzeichnis für den VPN-Client aus. Stand: Erstellt: M. Döring Seite 1

PCC Outlook Integration Installationsleitfaden

Thema: Microsoft Project online Welche Version benötigen Sie?

Avira Support Collector. Kurzanleitung

Anleitung zur Einrichtung einer ODBC Verbindung zu den Übungsdatenbanken

Advoware mit VPN Zugriff lokaler Server / PC auf externe Datenbank

bizsoft Rechner (Server) Wechsel

Microsoft Word Installation für ARNOtop Was ist zu beachten

Lizenzierung von SharePoint Server 2013

Installationsanleitung OpenVPN

Anleitung mtan (SMS-Authentisierung) mit Cisco IPSec VPN

Bei der Installation folgen Sie den Anweisungen des Installations- Assistenten.

Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)

Anleitung mtan (SMS-Authentisierung) mit SSLVPN.TG.CH

Übung - Konfigurieren einer Windows-XP-Firewall

Lizenzierung von Windows Server 2012

Hinweise zum Update des KPP Auswahltools (Netzwerkinstallation) auf Version 7.2

Sie müssen sich für diesen Fall mit IHREM Rechner (also zeitgut jk o.ä.) verbinden, nicht mit dem Terminalserver.

Verwendung des IDS Backup Systems unter Windows 2000

How-to: VPN mit L2TP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

Service & Support. Warum erscheinen andere WinCC- Stationen nicht unter der Netzwerkumgebung am Windows 7 oder Windows Server 2008 PC?

Voraussetzungen für die Nutzung der Format Rechenzentrumslösung (Hosting)

IT Systeme / Netzwerke (SAN, LAN, VoIP, Video) ZyXEL Internet Security Appliance ZyWall 2WG

MSDE 2000 mit Service Pack 3a

LOG-FT BAG Filetransfer zum Austausch mit dem Bundesamt für Güterverkehr (BAG) Kurzanleitung

Einrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000

Transkript:

Network Access Control für Remote Access: Best Practice Technical Paper Stand Mai 2010 Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden und stellen keine Verpflichtung seitens der NCP engineering GmbH dar. Änderungen zum Zwecke des technischen Fortschritts bleiben der NCP engineering GmbH vorbehalten. Warenzeichen Alle genannten Produkte sind eingetragene Warenzeichen der jeweiligen Urheber. 2010 NCP engineering. Alle Rechte vorbehalten

Network Access Control - manche nennen es auch Network Admission Control - oder einfach und kurz NAC ist mittlerweile ein geläufiger Begriff in der IT Security Welt. Remote-Benutzer, Partner, Consultants oder gar Hacker nutzen potenziell gefährlichen Endgeräte für den Netzzugang. Eine Firewall allein kann solche Netzwerke heute nicht mehr schützen. Die Zugangskontrolle ist zu einem zentralen Thema für den sicheren Betrieb von Unternehmensnetzwerken geworden. Verschiedenste Lösungen sind auf dem Markt, doch viele sind komplex und schwer zu administrieren. Bei NCP ist Network Access Control Bestandteil der ganzheitlichen Secure Enterprise Lösung und speziell für Remote Access Anforderungen entwickelt. Über das NCP Secure Enterprise Management ist die Zugriffskontrolle zentral administrierbar und in alle vorhandenen IT Infrastrukturen direkt einsetzbar. Auch die Integration in Cisco s NAC-Lösung ist erfolgt, die Zusammenarbeit mit der Microsofts NAP-Lösung wird gerade realisiert. NAC wehrt Gefahren ab Die größten Gefahren gehen von mobilen Rechnern aus, die sowohl im Firmen-LAN als auch an nicht vertrauenswürdigen Internetzugangspunkten eingesetzt werden. Die Arcitektur von NCP erzwingt eine Zustandsprüfung am Client. Ein solcher Check besteht üblicherweise aus der Abfrage bestimmter Informationen der Client-Plattform. Sinn und Zweck von NAC ist, dass nur die Geräte Zutritt zum Unternehmens-Netz erhalten, die nach vorheriger Prüfung als ungefährlich eingestuft werden. Das Einhalten von Sicherheitsrichtlinien wird durch verschärfte Gesetze zur Pflicht. Unternehmen müssen nachweisen können, dass sie alles in ihrer Macht stehende tun, um einen wirksamen Schutz ihrer Daten zu gewährleisten. NAC kommt dabei eine gewichtige Rolle zu. Die Richtlinien werden über das NCP Secure Enterprise Management erstellt und global, gruppenbezogen oder individuell den Clients zugeordnet. Innerhalb dieser Policies ist definiert, ob ein Gerät den bestehenden Anforderungen entspricht und ihm der Zugang zum Netz gewährt wird oder nicht. Somit wahrt das System die vom Unternehmen aufgestellten Policies und leistet einen wichtigen Beitrag zur Compliance. Die NCP Network Access Control Lösung regelt in einem mehrstufigen Verfahren automatisch den Zugang zum Netz: Identifizierung der Geräte Prüfung auf Konformität mit der Security Policy des Unternehmens In Abhängigkeit des Ergebnisses der Prüfung erhält das Endgerät lediglich Zugriff auf eine Quarantäne-Zone Nach Wiederherstellung der Konformität Zugriff auf Applikationen bzw. das Unternehmensnetz Die Software operiert in Echtzeit und erkennt sofort sämtliche Clients die zugreifen wollen. Ohne Echtzeitkontrolle haben Angreifer eine große Auswahl an Möglichkeiten, ein Netzwerk zu attackieren und Schadcode einzuschleusen. Deshalb schließt die Lösung unbekannte oder bei einer Prüfung aufgefallene Geräte aus und führt sie in die Quarantänezone. Diese bildet einen wichtigen Puffer vor dem eigentlichen Netzwerk und basiert auf Filterregeln am VPN Gateway bzw. im NCP Secure Enterprise Management. Da die NCP Lösung sowohl IPse als auch SSL VPN Verbindungen ermöglich, greifen je nach Zugriffsart unterschiedliche Sicherheitsmechanismen. Im IPsec-VPN-Umfeld stehen nach Abarbeiten der Policy folgende Optionen zur Verfügung: Normaler Zugriff nach erfolgreicher Prüfung Trennung der Verbindung Zugriff nur auf Quarantänezone Starten externer Anwendungen am remote PC Seite 1

Greifen Anwender über SSL-VPN zu, werden Zugriffsberechtigungen auf bestimmte Applikationen entsprechend vorher festgelegter granularer Sicherheitsstufen erteilt. Nach Beendigung einer SSL VPN Session werden alle Daten auf dem Endgerät automatisch gelöscht. Die Einhaltung der Sicherheitsrichtlinien ist bei beiden Zugriffsarten zwingend und vom externen Anwender nicht umgeh- bzw. manipulierbar. Innerhalb der Quarantäne werden vom Administrator vorgegebene Sicherheits-Checks vorgenommen. Hierbei analysiert NAC von NCP beispielsweise, ob aktuelle Service Packs, Patches oder eine aktuelle Antivirussoftware installiert sind oder überprüft Dienste- und Datei-Informationen und Registry-Werte. Zugriff auf Applikationen bzw. das Unternehmensnetz werden erst dann gewährt, wenn ein Check vollständig erfolgreich ausfällt. NCP NAC agiert dabei vollkommen transparent. Nur im Falle eines Verstoßes gegen die bestehende Unternehmens-Policy schließt es den Benutzer aus dem Netzwerk aus. Konforme User werden ohne eine gesonderte Anmeldeprozedur durch den NAC-Prozess geleitet. NCP Secure Enterprise Management zur zentralen Überwachung Essentiell für Unternehmen ist ein zentral verwaltbares Security-Konzept inkl. NAC. Jeder administrator kennt die Vorteile, wenn die Überwachung durch eine einzige Komponente für das komplette Netz erfolgt. Genau dies gewährleistet der ganzheitliche Ansatz der Remote Access Lösung von NCP. Seite 2

Die NCP Enterprise Solution und Network Access Control (NAC) stellt u.a. folgende Funktionalitäten zur Verfügung: Identifizierung Eindeutige Identifizierung und Lokalisierung von Remote-Access Clients am Netz. Authentifizierung Eindeutige Authentifizierung der Identität des Nutzers und / oder Gerätes beispielsweise mit Hilfe des Active Directory und von RADIUS Servern (EAP). Endpoint Security Enforcement Diese Funktion überprüft, ob die Remote-Access Clients zur Sicherheits-Policy des Unternehmens passen, also ob das Betriebssystem zulässig ist, geforderte Patches aufgespielt und jüngste Antiviren- Engines installiert sind, beziehungsweise ob die aktuelle Signatur vorhanden ist. Remediation Die Funktion befördert ein Element, das den Sicherheitsregeln nicht entspricht, in die Quarantäne- Zone. Befindet es sich dort, sind eine Reihe von Aktionen erlaubt, so dass die Benutzer eingeschränkt arbeiten können oder durch Bereitstellung entsprechender Hinweise die Konformität durch den Benutzer leicht herstellbar ist. Abweichungen von den Sollvorgaben werden protokolliert und können unterschiedliche Meldungen bzw. Aktionen auslösen, wie beispielsweise: Anzeige einer Meldung am Client Ausgabe einer Meldung im Log des Clients Senden einer Meldung zum Management Server Senden einer Meldung zu einem Syslog Server Freischalten von Firewall-Regeln Trennung der VPN-Verbindung Kontinuierliche Überprüfung Die Überprüfung erfolgt nicht ausschließlich beim ersten Anschluss an das Netzwerk. Bei jedem Verbindungsaufbau erfolgt eine Prüfung und darüber hinaus in Wiederholungsschritten, die innerhalb der Richtlinien festgelegt sind. Kostengünstige Implementierung und Administration Als Bestandteil der ganzheitlichen NCP-Lösung ist eine schnelle und kostengünstige Implementierung garantiert, ebenso resultieren daraus niedrige Betriebskosten. Compliance-Anforderungen Die NAC-Lösung erfasst alle sicherheitsrelevanten Informationen transparent und stellt diese zur Verfügung. Flexible Skalierbarkeit Alle NCP Software-Komponenten basieren auf Lizenzen und sind somit einfach und schnell erweiterbar. Aktuell steht die Lösung für Windows 32/64 Bit Betriebssysteme zur Verfügung. Die Verfügbarkeit für mobile Geräte befindet sich bereits in der Entwicklung. Seite 3

Folgende Fragen sollten Sie vor einer Implementierung einer Network Access Control (NAC) Lösung klären: Wer darf sich im Netz anmelden? Wie darf jemand mit dem Netz kommunizieren? Was soll im Netz erreichbar sein? Können Ressourcen eventuell gruppiert werden? Wurden alle benötigten Ressourcen für die jeweiligen Gruppen identifiziert? Welcher Funktionsumfang ist in welchem Bereich erwünscht? Welche lokalen Beschränkungen gibt es? (physisch / logisch) Sollen auch zeitliche Beschränkungen bestehen? Wenn ja, welche? Können bestehende Daten zur Authentifizierung / Autorisierung genutzt werden? Seite 4

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback