Kein Zutritt für Unbefugte
Security-Management – Sicherheitsverletzungen stellen Unternehmen vor immense Probleme. Effiziente Zugangskontrollen und die kontrollierte Einhaltung der Sicherheitsrichtlinien versprechen Abhilfe.
Kompromitierte Systeme haben 83 Prozent aller Unternehmen (39 Prozent im Vorjahr), 40 Prozent hatten sogar finanzielle Einbußen zu beklagen, zu diesem Umfrageergebnis kommt jedenfalls Deloite & Touche LLP in »Global SecuritySurvey 2005«. Häufig ist implizites Vertrauen die Hauptursache für Sicherheitsvorfälle auch innerhalb eines Unternehmensnetzwerkes.
Um in diesen Umgebungen für explizites Vertrauen zu sorgen hat Cisco die Network-Admission- Control-Initiative (NAC) ins Leben gerufen und macht sie gemeinsam mit Industriepartnern als Lösung zur unternehmensweiten Durchsetzung von Sicherheitsrichtlinien verfügbar. NAC lässt nur noch richtlinienkonforme Endgeräte in das Netzwerk hinein. Alle anderen werden abgewiesen oder in Quarantäne gestellt.
Die letzte Viren- und Wurmwelle hat wieder signifikante Schäden an IT-Infrastrukturen verursacht und damit Produktivitätsausfälle nach sich gezogen.Unternehmen entstehen teilweise deutlich mehr Kosten durch die Beseitigung von Schäden als sie eigentlich für ITSicherheit aufwenden. Außerdem wächst die Notwendigkeit, regulatorische Vorgaben wie Sarbanes- Oxley oder Basel-II einzuhalten.Um diese zu erfüllen, sind zwei Maßnahmen sinnvoll: ein durchgängiges Identitätsmanagement und ein Security-Compliance-Management.
Mit Hilfe des Identitätsmanagements stellt ein Unternehmen sicher, dass nur befugte Benutzer sich mit dem Unternehmensnetzwerk verbinden können. Darüber hinaus legt es Zugriffsrechte für die befugten Teilnehmer gemäß ihren Aufgaben fest und kontrolliert diese.Mit Hilfe des Security-Compliance-Management überwacht ein Unternehmen die Einhaltung von Sicherheitsrichtlinien durch Endgeräte, die sich mit dem Netzwerk verbinden. Dies reduziert das Risiko, durch infizierte oder nicht Richtlinien-konforme Endgeräte einen Schaden zu erleiden, da solche Geräte identifiziert und isoliert werden.
Durch die zusätzliche Einrichtung eines Remidiationprozesses können die identifizierten Risikogeräte automatisch, schnell und kostengünstig wieder in einen Sicherheitsrichtlinienkonformen Zustand gebracht werden.
Authentisierungsbasis für NAC ist die Standardfamilie IEEE 802.1X. Das Authentifizierungsprozedere am Netzwerkrand läuft für physikalische Ports im LAN und für logische Ports im 802.11-WLAN nach dem gleichen Schema ab: Der Supplicant (im Deutschen etwa: Bittsteller) übermittelt die Authentifizierungsinformationen an den Authentication-Server, der die Identität des Teilnehmers zweifelsfrei feststellen kann.
Agenten sorgen für Sicherheit
Um den Sicherheitszustand eines Endgerätes über die Netzwerkebene abfragen zu können,wird ein vertrauenswürdiger Agent – beispielsweise Ciscos »Trust Agent«, kurz CTA – auf dem Endgerät benötig.
Um das Konzept so flexibel wie möglich zu halten, ist der eigentliche CTA ein sehr kleines, robustes und nicht tief in das Endgerätebetriebssystem eingreifendes Stück Software, das frei erhältlich ist.Was unter dem Sicherheitszustand eines Endgerätes zu verstehen ist und welche Informationen der CTA liefern muss, damit dieser von einem unternehmensweiten Richtlinienmanagement bewertet werden kann, hängt ganz von der im Unternehmen verwendeten Sicherheitsrichtlinie ab.Beispielsweise kann es in einem Unternehmen ausreichend sein, wenn die Personal- Firewall auf dem Endgerät installiert und aktiviert ist und das Antivirenprogramm den aktuellsten Signaturfile geladen hat. Für die Überprüfung dieses Zustandes braucht ein Sicherheitsadministrator deshalb folgende Informationen über das Endgerät: Ist die Personal-Firewall installiert? Ist sie aktiv? Wurde sie in den letzten Stunden deaktiviert? Ist der Antivirusscanner installiert? Ist er aktiv? Welche Versionsnummer hat die AV-Signaturdatei? Der CTA liefert nur sehr rudimentäre Informationen über das verwendete Betriebssystem.
Die eigentliche Informationssammlung leisten sogenannte Posture-Plug-Ins, die herstellerspezifisch sind und auf die jeweilige Software abgestimmt sind. Diese Plug-Ins werden von den meisten Herstellern mittlerweile gemeinsam mit ihrer Softwareanwendung ausgeliefert, so dass NAC direkt auf diese Informationen zugreifen kann.
Die eigentliche Durchsetzung der Sicherheitsrichtlinie erfolgt auf dem ersten Netzwerkgerät (NAD), an das sich der PC mit dem CTA für einen Verbindungsaufbau wendet. Das NAD blockt jeglichen Verkehr von diesem Endgerät und antwortet hierauf mit einem EAP-Request (»Extensible Authentication Protocol«) auf der Netzwerkschicht, die vom Endgerät für den Verbindungsaufbau genutzt wird. Im LAN oder WLAN findet dies auf Layer-2 mit Hilfe von »EAP over LAN« (EAPoL) oder »EAP over WAN« (EAPoW) statt, also sehr früh im Aufbau der Verbindung.Besteht bereits eine IP-Verbindung, weil sich das Endgerät beispielsweise per VPN anbindet, findet NAC auf Layer-3 per EAPoUDP statt.Der CTA beantwortet den EAP-Request und meldet sich beim NAD zurück. Dieser leitet das Paket an den zentralen Richtlinienserver weiter, der eine sichere Protected-EAP-Verbindung (PEAP) zum CTA aufbaut. Über die gesicherte Verbindung kann der Richtlinienserver alle sicherheitsrelevanten Informationen über das Endgerät abfragen und die Entscheidung treffen, ob das Endgerät der aktuellen Sicherheitsrichtlinie entspricht. Das Ergebnis teilt der Richtlinienserver dem CTA und gegebenenfalls über ein Mitteilungsfenster direkt dem Anwender mit. Die PEAP-Verbindung wird terminiert und das NAD ebenfalls über das Ergebnis in Form eines Token und einer Zugangs-Policy informiert.
Die Sicherheitsüberprüfung durch den Richtlinienserver kann vier mögliche Zustände als Ergebnis haben, die den erlaubten Netzzugriff beschreiben: Acces, Deny, Restricted und Quarantine.
N eben »Alles OK = Vollzugriff« und »Objekt ist nicht vertrauenswürdig, weil beispielsweise kein CTA installiert oder wichtige Anforderungen der Sicherheitsrichtlinie nicht erfüllt = Kein Zugriff« ist der Quarantäne-Fall der Schlüssel für eine umfassende Remediation-Lösung.
Wurden Abweichungen zur Sicherheitsrichtlinie festgestellt, bekommt der CTA den Token Quarantine und der Endanwender kann mit Hilfe eines Pop-up-Fensters über diesen Zustand informiert werden.Dem NAD wird vom Richtlinienserver ebenfalls der Token und eine entsprechende Accessliste mitgeteilt, die das NAD umsetzt.In diesem Fall wird das Endgerät in ein Quarantäne-Netzwerk umgeleitet – ein VLAN oder auch nur eine einzelne Route/ACL zu einem Remediationserver.J etzt kann eine xeterne Sicherheitsüberprüfung oder nur ein Soft- SICHERHEIT PRISMA ware-Update durchgeführt werden,um das Endgerät wieder Sicherheitsrichtlinien-konform zu machen.I st dieser Prozess abgeschlossen, kann das Endgerät erneut einen Zugangsversuch machen, um diesmal den Token Access oder Restricted zu bekommen.
Network-Admission-Control ist in erster Linie kein zusätzliches Netzwerkfeature, sondern vielmehr eine Agenten-basierte Methode, um in bestehenden Infrastrukturen ein unternehmensweites Identity- und Compliance-Management einfach einführen und effizient betreiben zu können.IBM hat beispielsweise gemeinsam mit Cisco eine solche Lösung auf Basis des »Tivoli Security Compliance Manager« und des »Tivoli Provisioning Manager« entwickelt.Die Lösung überprüft jede Workstation auf die Einhaltung der vorgegebenen Sicherheitsrichtlinie, wenn diese versucht auf das Netzwerk zuzugreifen.N ichtkonforme Endgeräte werden durch einen automatisierten Remediationprozess mit Hilfe des Provisioning-Managers auf den aktuellen Stand gebracht, so dass die Supportkosten niedrig und der Sicherheitslevel hoch gehalten werden.
Fazit
Die enormen Schäden, mit denen Virus- und Wurmattacken regelmäßig Schlagzeilen machen, zeigen, dass herkömmliche Schutzmaßnahmen allein nicht mehr greifen.Sc hon gar nicht angesichts fortschreitender firmenübergreifender E-Business-Verflechtung.Unternehmen benötigen effiziente Verfahren, mit denen sie Produktivitätsverlusten, Serviceeinschränkungen und Imageschäden durch Hackerangriffe präventiv begegnen können.NAC liefert die Basis für ein umfassendes Identity- und Compliance-Management, mit dem der Zugriff nicht-konformer Systeme verhindert und ein kosteneffizientes weil weitgehend automatisiertes Verfahren bereitgestellt wird, um Richtlinienkonformität unternehmensweit durchzusetzen.
Klaus Lenssen,
Business Development Manager Security
und Government Affairs, Cisco Systems
