Network Access Control für Remote Access: Best Practice Technical Paper Stand Mai 2010 Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden und stellen keine Verpflichtung seitens der NCP engineering GmbH dar. Änderungen zum Zwecke des technischen Fortschritts bleiben der NCP engineering GmbH vorbehalten. Warenzeichen Alle genannten Produkte sind eingetragene Warenzeichen der jeweiligen Urheber. 2010 NCP engineering. Alle Rechte vorbehalten
Network Access Control - manche nennen es auch Network Admission Control - oder einfach und kurz NAC ist mittlerweile ein geläufiger Begriff in der IT Security Welt. Remote-Benutzer, Partner, Consultants oder gar Hacker nutzen potenziell gefährlichen Endgeräte für den Netzzugang. Eine Firewall allein kann solche Netzwerke heute nicht mehr schützen. Die Zugangskontrolle ist zu einem zentralen Thema für den sicheren Betrieb von Unternehmensnetzwerken geworden. Verschiedenste Lösungen sind auf dem Markt, doch viele sind komplex und schwer zu administrieren. Bei NCP ist Network Access Control Bestandteil der ganzheitlichen Secure Enterprise Lösung und speziell für Remote Access Anforderungen entwickelt. Über das NCP Secure Enterprise Management ist die Zugriffskontrolle zentral administrierbar und in alle vorhandenen IT Infrastrukturen direkt einsetzbar. Auch die Integration in Cisco s NAC-Lösung ist erfolgt, die Zusammenarbeit mit der Microsofts NAP-Lösung wird gerade realisiert. NAC wehrt Gefahren ab Die größten Gefahren gehen von mobilen Rechnern aus, die sowohl im Firmen-LAN als auch an nicht vertrauenswürdigen Internetzugangspunkten eingesetzt werden. Die Arcitektur von NCP erzwingt eine Zustandsprüfung am Client. Ein solcher Check besteht üblicherweise aus der Abfrage bestimmter Informationen der Client-Plattform. Sinn und Zweck von NAC ist, dass nur die Geräte Zutritt zum Unternehmens-Netz erhalten, die nach vorheriger Prüfung als ungefährlich eingestuft werden. Das Einhalten von Sicherheitsrichtlinien wird durch verschärfte Gesetze zur Pflicht. Unternehmen müssen nachweisen können, dass sie alles in ihrer Macht stehende tun, um einen wirksamen Schutz ihrer Daten zu gewährleisten. NAC kommt dabei eine gewichtige Rolle zu. Die Richtlinien werden über das NCP Secure Enterprise Management erstellt und global, gruppenbezogen oder individuell den Clients zugeordnet. Innerhalb dieser Policies ist definiert, ob ein Gerät den bestehenden Anforderungen entspricht und ihm der Zugang zum Netz gewährt wird oder nicht. Somit wahrt das System die vom Unternehmen aufgestellten Policies und leistet einen wichtigen Beitrag zur Compliance. Die NCP Network Access Control Lösung regelt in einem mehrstufigen Verfahren automatisch den Zugang zum Netz: Identifizierung der Geräte Prüfung auf Konformität mit der Security Policy des Unternehmens In Abhängigkeit des Ergebnisses der Prüfung erhält das Endgerät lediglich Zugriff auf eine Quarantäne-Zone Nach Wiederherstellung der Konformität Zugriff auf Applikationen bzw. das Unternehmensnetz Die Software operiert in Echtzeit und erkennt sofort sämtliche Clients die zugreifen wollen. Ohne Echtzeitkontrolle haben Angreifer eine große Auswahl an Möglichkeiten, ein Netzwerk zu attackieren und Schadcode einzuschleusen. Deshalb schließt die Lösung unbekannte oder bei einer Prüfung aufgefallene Geräte aus und führt sie in die Quarantänezone. Diese bildet einen wichtigen Puffer vor dem eigentlichen Netzwerk und basiert auf Filterregeln am VPN Gateway bzw. im NCP Secure Enterprise Management. Da die NCP Lösung sowohl IPse als auch SSL VPN Verbindungen ermöglich, greifen je nach Zugriffsart unterschiedliche Sicherheitsmechanismen. Im IPsec-VPN-Umfeld stehen nach Abarbeiten der Policy folgende Optionen zur Verfügung: Normaler Zugriff nach erfolgreicher Prüfung Trennung der Verbindung Zugriff nur auf Quarantänezone Starten externer Anwendungen am remote PC Seite 1
Greifen Anwender über SSL-VPN zu, werden Zugriffsberechtigungen auf bestimmte Applikationen entsprechend vorher festgelegter granularer Sicherheitsstufen erteilt. Nach Beendigung einer SSL VPN Session werden alle Daten auf dem Endgerät automatisch gelöscht. Die Einhaltung der Sicherheitsrichtlinien ist bei beiden Zugriffsarten zwingend und vom externen Anwender nicht umgeh- bzw. manipulierbar. Innerhalb der Quarantäne werden vom Administrator vorgegebene Sicherheits-Checks vorgenommen. Hierbei analysiert NAC von NCP beispielsweise, ob aktuelle Service Packs, Patches oder eine aktuelle Antivirussoftware installiert sind oder überprüft Dienste- und Datei-Informationen und Registry-Werte. Zugriff auf Applikationen bzw. das Unternehmensnetz werden erst dann gewährt, wenn ein Check vollständig erfolgreich ausfällt. NCP NAC agiert dabei vollkommen transparent. Nur im Falle eines Verstoßes gegen die bestehende Unternehmens-Policy schließt es den Benutzer aus dem Netzwerk aus. Konforme User werden ohne eine gesonderte Anmeldeprozedur durch den NAC-Prozess geleitet. NCP Secure Enterprise Management zur zentralen Überwachung Essentiell für Unternehmen ist ein zentral verwaltbares Security-Konzept inkl. NAC. Jeder administrator kennt die Vorteile, wenn die Überwachung durch eine einzige Komponente für das komplette Netz erfolgt. Genau dies gewährleistet der ganzheitliche Ansatz der Remote Access Lösung von NCP. Seite 2
Die NCP Enterprise Solution und Network Access Control (NAC) stellt u.a. folgende Funktionalitäten zur Verfügung: Identifizierung Eindeutige Identifizierung und Lokalisierung von Remote-Access Clients am Netz. Authentifizierung Eindeutige Authentifizierung der Identität des Nutzers und / oder Gerätes beispielsweise mit Hilfe des Active Directory und von RADIUS Servern (EAP). Endpoint Security Enforcement Diese Funktion überprüft, ob die Remote-Access Clients zur Sicherheits-Policy des Unternehmens passen, also ob das Betriebssystem zulässig ist, geforderte Patches aufgespielt und jüngste Antiviren- Engines installiert sind, beziehungsweise ob die aktuelle Signatur vorhanden ist. Remediation Die Funktion befördert ein Element, das den Sicherheitsregeln nicht entspricht, in die Quarantäne- Zone. Befindet es sich dort, sind eine Reihe von Aktionen erlaubt, so dass die Benutzer eingeschränkt arbeiten können oder durch Bereitstellung entsprechender Hinweise die Konformität durch den Benutzer leicht herstellbar ist. Abweichungen von den Sollvorgaben werden protokolliert und können unterschiedliche Meldungen bzw. Aktionen auslösen, wie beispielsweise: Anzeige einer Meldung am Client Ausgabe einer Meldung im Log des Clients Senden einer Meldung zum Management Server Senden einer Meldung zu einem Syslog Server Freischalten von Firewall-Regeln Trennung der VPN-Verbindung Kontinuierliche Überprüfung Die Überprüfung erfolgt nicht ausschließlich beim ersten Anschluss an das Netzwerk. Bei jedem Verbindungsaufbau erfolgt eine Prüfung und darüber hinaus in Wiederholungsschritten, die innerhalb der Richtlinien festgelegt sind. Kostengünstige Implementierung und Administration Als Bestandteil der ganzheitlichen NCP-Lösung ist eine schnelle und kostengünstige Implementierung garantiert, ebenso resultieren daraus niedrige Betriebskosten. Compliance-Anforderungen Die NAC-Lösung erfasst alle sicherheitsrelevanten Informationen transparent und stellt diese zur Verfügung. Flexible Skalierbarkeit Alle NCP Software-Komponenten basieren auf Lizenzen und sind somit einfach und schnell erweiterbar. Aktuell steht die Lösung für Windows 32/64 Bit Betriebssysteme zur Verfügung. Die Verfügbarkeit für mobile Geräte befindet sich bereits in der Entwicklung. Seite 3
Folgende Fragen sollten Sie vor einer Implementierung einer Network Access Control (NAC) Lösung klären: Wer darf sich im Netz anmelden? Wie darf jemand mit dem Netz kommunizieren? Was soll im Netz erreichbar sein? Können Ressourcen eventuell gruppiert werden? Wurden alle benötigten Ressourcen für die jeweiligen Gruppen identifiziert? Welcher Funktionsumfang ist in welchem Bereich erwünscht? Welche lokalen Beschränkungen gibt es? (physisch / logisch) Sollen auch zeitliche Beschränkungen bestehen? Wenn ja, welche? Können bestehende Daten zur Authentifizierung / Autorisierung genutzt werden? Seite 4