Um einen erfolgreichen Angriff durchzuführen, benötigt ein Cyber-Krimineller nur eins – Zugriff. NAC-Appliances sorgen dafür, dass der Aggressor diesen nicht bekommt.

Die drei für diese Ausgabe der Network Computing getesteten In-Band-NAC-Produkte von Consentry, Nevis und Vernier starten die Zugriffssteuerung, sobald ein Computer beginnt, mit dem Netzwerk zu kommunizieren. Unterstellt wird, dass alle Hosts Zugriff auf einige Dienste benötigen, beispielsweise DHCP für die IP-Konfiguration, DNS zur Namensauflösung und, in einer Windows-Installation, Zugriff auf einen Domänencontroller. Zugriffs-Controls für weitere Dienste wenden die Systeme auf Grundlage von Bedingungen an, beispielsweise Benutzername, Gruppenzugehörigkeit oder Host-Zustand. Zugriffs-Controls ähneln konventionellen Firewall-Regeln, wo Quell- und Ziel-IP-Adressen, Dienste und Aktionen definiert sind. Ändert sich der Status eines Benutzers oder Computers, ergreift das System Maßnahmen.

Alle Geräte ließen sich sehr einfach installieren – lediglich die Netzwerkkabel waren anzuschließen. Danach offenbarten sich allerdings einige Unterschiede.

ConSentry Networks LANShield Controller CS2400 und InSight

Der CS2400-Lanshield-Controller ist ein passives In-Line-NAC-Gerät, das den Zugriff basierend auf einer Auswahl benutzerdefinierter Kriterien steuert. Als Port-Firewall arbeitet der Controller gut, und mit seiner kräftigen Definitions-Engine hat er das Potenzial für ein leistungsfähiges Access-Control-System. Das Gerät entdeckt aber keine Logoffs – und deshalb ist Consentrys Aussage, dass Lanshield NAC auf Grundlage von ACL-Entscheidungen je Benutzer durchführt, nicht ganz zutreffend.

Das getestete CS2400-Modell besitzt zehn gepaarte GBIC-Ports, die 10, 100 und 1000 GBit/s über Kupfer sowie Single- und Multimode-Glasfaser unterstützen. Ein Out-of-Band-Gigabit-Ethernet-Port steht fürs Management zur Verfügung. Die Appliances lassen sich in einer Aktiv/Aktiv-Konfiguration einrichten und nutzen dann gemeinsame Benutzer-Authentifikationsinformationen. Im Fall eines Hardwarefehlers leiten die Geräte den Verkehr weiter oder blockieren ihn – das ist eine Sache der Geräteeinstellung. Für das Management des Controllers wurde im Test ConSentrys Insight-Command-Center genutzt.

Gepaarte Ports leiten Bridge-Verkehr durch den CS2400; jeder Port ist entweder als host- oder netzwerkorientiert definiert. Diese Unterscheidung ist wichtig, denn der Lanshield-Controller sucht auf den Host-Ports nach Authentifikationsverkehr. Eine Umkehrung der Ports führt zu Access-Control-Problemen. Es ist nicht nötig, Switches und Router neu zu konfigurieren, wie es Out-of-Band-NAC-Produkte ja verlangen. Der Controller entdeckte die existierenden 802.1Q-Trunks.

Rollen und Lücken

Consentrys Rollendefinition ist sehr flexibel. Viele Kriterien, darunter der Authentifikationstyp, Radius-Attribute, Netzwerkinformationen und Uhrzeit, lassen sich kombinieren, um Benutzern Rollen zuzuordnen. Dafür reicht es, Active-Directory-Gruppenzugehörigkeiten mit den Rollen in Insight zu verknüpfen. Der Administrator kann dabei aber auch Netzwerkadressen oder Host-Bedingungen berücksichtigen. Rollen sind zugewiesene Access-Control-Richtlinien, die entscheiden, was ein Benutzer oder Host im Netzwerk tun darf. Die Flexibilität steckt in der Rollenhierarchie des Produkts, worin jede Child-Rolle Controls von ihrem Parent erbt. Regeln verarbeitet das Gerät von der niedrigsten Child-Regel bis hinauf zur All-Users-Rolle. Access-Control-Rollen sind im Wesentlichen Firewall-Regeln, die Netzwerkverkehr erlauben oder ablehnen.

Im Test wurde die Rolle »Unauthenticated« erzeugt, die ausschließlich Zugriff auf die für die Anmeldung in der Active-Directory-Domäne erforderlichen Dienste gewährte. In einer »Authenticated«-Rolle wurden ACLs für authentifizierte Benutzer erzeugt, beispielsweise Zugriff auf DNS und das Internet. Für die »Guest«-Rolle brauchten keine zusätzlichen Zugriffsregeln definiert werden, denn sie war ein Child der »Authenticated«-Rolle. Eine »Sales«-Rolle, die von einer Active-Directory-Sales-Gruppe abgeleitet wurde, erhielt Zugriff auf eine zusätzliche Gruppe von Servern.

Kommt ein Host zum ersten Mal ins Netzwerk, fällt er in die »Unauthenticated«-Rolle. Sobald sich ein Benutzer authentifiziert, entweder durch Kerberos oder durch das Portal, erhält er eine neue Rolle, und die ACLs werden auf den Host angewandt. Authentifiziert sich eine neuer Benutzer vom selben Host aus über das Netzwerk, entdeckt das System die neue Authentifikation und weist die neue Rolle entsprechend zu.

Spezifische Rollen lassen sich auch unter Verwendung mehrerer komplexerer Kriterien, beispielsweise IP-Adressen oder VLAN-Zuordnungen, zuweisen. Hier glänzt Consentry. So ist beispielsweise eine Richtlinie machbar, die einem HR-Benutzer, der sich von einer Arbeitsstation im HR-Netzwerk aus anmeldet, Zugriff auf das ERP-System gewährt. Meldet sich dieser Benutzer aber von einem Host aus an, der sich nicht im HR-VLAN befindet, erhält er keinen Zugriff.

Leider gibt es ein Riesenloch in Consentrys Zugriffssteuerung auf Benutzerbasis: Der Lanshield-Controller entdeckt keine Logoffs. Ein arglistiger Benutzer könnte auf diesem Weg höhere Netzwerkprivilegien erlangen. Ein Beispiel: Ein Anwender in der Domänenadministrator-Rolle meldet sich über ein Active-Directory-Konto bei einer Arbeitsstation an. Er erhält den dieser Rolle entsprechenden Zugriff. Nun meldet sich der Domänenadministrator vom Computer ab und ein anderer Benutzer meldet sich anschließend auf demselben Computer mit einem lokalen Benutzerkonto an. Dieser User erhält plötzlich den Zugriff, der der Domänenadministrator-Rolle zugeordnet war.

Ein böswilliger Benutzer könnte auch einfach das Netzwerkkabel ziehen, sich mit den Anmeldeinformationen im Cache anmelden und denselben Zugriff erlangen.

1. Test NAC-Systeme: Mitten im Verkehr
2. Test NAC-Systeme: Mitten im Verkehr (Fortsetzung)
3. Die Wurstfabrik
4. Logging und Troubleshooting
5. Test NAC-Systeme: Mitten im Verkehr (Fortsetzung)