Gastbeitrag von Doron Shikmoni, Chief Strategy Officer und Mitbegründer von ForeScout: Hierbei geht es um die Frage, ob zur Einführung einer Network-Access-Control (NAC) -Lösung eine 802.1X-Architektur zwingend notwendig ist.
BYOD ist keineswegs ein alter Hut – die Zahl persönlicher Geräte mit drahtlosem oder mobilem Zugang im Unternehmensnetzwerk steigt nach wie vor stetig. Dies stellt eine Herausforderung für die Netzwerksystemintegrität dar. Genauer gesagt bedarf es einem höheren Maß an Sichtbarkeit und Kontrolle im Netzwerk.
Netzwerkzugangskontrolle – Network Access Control (NAC) – kann hierbei das Mittel der Wahl sein, allerdings hält sich hartnäckig das Gerücht, dass zur Einführung einer NAC-Lösung eine 802.1X-Architektur erforderlich sei. Der Frage, ob dies denn so stimmt wollen wir heute auf den Grund gehen.
Kunden, Interessenten und sogar einige Analysten vertreten häufig die Meinung, dass zur Einführung einer NAC eine 802.1X-basierte Architektur vorhanden sein muss. Der Grund ist folgender: Ein Nutzer, der sich mit seinem Gerät physisch mit dem Netzwerk verbinden will, wird aufgefordert Credentials vorzulegen.
Anschließend prüft das NAC-System mit Hilfe von 802.1X, ob diese Credentials gültig sind. Zusätzlich können noch ein paar weitere Zustandsprüfungen durchgeführt werden. Besteht der Nutzer die Tests, wird ihm der Zugang zum Netzwerk erlaubt.
Typischerweise führt der Switch mit dem sich der Nutzer verbindet auch den 802.1X-Vorgang durch. Dieser Switch wird – wer hätte das gedacht – interessanterweise genau von denjenigen Wettbewerbern hergestellt, die behaupten, solch ein 802.1X-Switch sei absolut notwendig um die NAC-Lösung wirklich zum Laufen zu bringen.
Cisco hat den den Begriff NAC als eine Abkürzung für Network Admission Control geprägt. Diese Version der Abkürzung spiegelt wider, was Cisco tut: der Einlass in das Netzwerk wird kontrolliert. Allerdings wird lediglich der Einlass selbst kontrolliert – ist man erst einmal drin im Netzwerk, greift die Kontrolle nicht mehr.
Heute hat sich NAC als Markt zu dem entwickelt, was ForeScout unter der Abkürzung versteht, nämlich Network Access Control, im Sinne von Zugangs- und Zugriffskontrolle. Diese Kontrolle greift rund um die Uhr, sieben Tage die Woche, ununterbrochen, drahtgebunden und drahtlos, an einem fixen Standort oder mobil. Die NAC-Plattform kontrolliert auch nach dem Gewähren des Zugangs stetig, ob unzulässiges Geräteverhalten oder Non-Compliance jeglicher Art vorliegt.
ForeScout bietet seinen Kunden Unterstützung von 802.1X-Switches an, sofern dies vom Kunden gewünscht wird. Da eine vollständige und konstante Anwendung von 802.1X für Unternehmen oft sehr schwierig ist, wurde die Lösung von ForeScout so entwickelt, dass sie sowohl mit als auch ohne 802.1X-Infrastruktur funktioniert. Für die Einführung einer NAC-Lösung sollte man als Kunde nicht in die Lage versetzt werden, an Geräte eines bestimmten Anbieters zu stark gebunden zu sein, damit die Lösung funktioniert.
Auch aufwendige Infrastruktur-Verbesserungen sollten nicht zwingend nötig sein. Die Plattform von ForeScout wurde so gestaltet, dass ungeachtet der Ausrüstung (Switches, Router usw.) Sichtbarkeit und Kontrolle darüber geliefert werden kann, wer sich wann, mit welchem Gerät verbindet und in welchem Zustand sich das jeweilige Gerät befindet.