All About Security
  • Aktuelle Sicherheitsartikeln als RSS Feed
  • All About Security auf Twitter
  • All About Security auf Xing
  • All About Security auf Google+
  • Unter4Ohren IT-Security Podcast auf YouTube

NAC - Network Access Control

Blogpost von ForeScout

Blogpost von ForeScout

Brian Meyer, Informationssicherheitsbeauftragter der Meritrust Credit Union über seine kürzlich erfolgte Implementierung einer NAC-Anwendung + Welchen Rat kann er anderen geben, die eine NAC-Anwendung implementieren möchten?

Hier sind seine wichtigsten Empfehlungen:

1. Lassen Sie die IT-Teams eine Schwachstellenanalyse ihres aktuellen Systems und ihrer geplanten Roadmap durchführen. Die SANS Critical Controls bieten eine sehr effektive (und visuelle) Darstellung der kritischen IT-Kontrollen, über die Ihre Organisation verfügen sollte, und der Wirkung, die sie auf Ihre Risikobegrenzung  hat. Falls Sie über eine NAC-Lösung nachdenken, möchten Sie sicherstellen, dass sich alle vorhandenen Sicherheitssysteme nahtlos integrieren lassen. Möchten Sie zum Beispiel einen Agenten an jedem Endpoint oder ist die agentenlose Kontrolle eine Ihrer Anforderungen? Brauchen Sie beispielsweise eine Anbieter-übergreifende Switch-Integration?

2. Verlangen Sie einen Proof of Concept (POC). Beziehen Sie den Anbieter mit ein und lassen Sie ihn genau aufzeigen, wie die NAC in Ihrer Umgebung funktionieren wird. Lassen Sie sie insbesondere jeden angenommenen NAC-Nutzen in Ihrer Umgebung nachweisen! Lassen Sie sie sich zum Beispiel ihre Erkennungs- und Inspektionsfunktionen demonstrieren und wie sie den Bestand der Geräte und Anwendungen in Ihrem Netzwerk anzeigen. Außerdem werden die Ergebnisse der Demo auch die Aufgabe erleichtern, Ihrem Management den NAC-Kauf zu ‚verkaufen‘. Ein „Augenöffner“ ist, die NAC selbst zu verwenden, um dem Management zu verdeutlichen, welche Wirkung sie auf die Sicherheit hat, wie zum Beispiel „ Wir sehen nun diese X-Geräte im Netzwerk und wissen, wir haben dieses Asset Y hier. Ohne das NAC-Gerät wären X und Y für uns unsichtbar und unbekannt.

3. Kaufen Sie ein paar Stunden professioneller Dienstleistungen von Ihrem Anbieter. Lassen Sie sich von Ihrem Anbieter helfen, Ihre Basisstrategie und die anfänglichen Konfigurationsspezifikationen zu entwickeln. Der erste Setup kann eine Menge zirkulärer Logik mit sich bringen, die zu Problemen führen kann, wenn Sie keine hieb- und stichfesten Richtlinien haben. Ein starkes Grundfundament und grundlegende Strategien sind entscheidend beim weiteren Aufbau zusätzlicher Strategien und Fine-Tuning-Reports. Ein paar Stunden professioneller Dienste im frühen Stadium können Ihnen viel Zeit ersparen und helfen, unnötige Frustration zu vermeiden. Erstellen Sie eine Liste der wichtigsten Ziele, wie „Keine fehlerhaften Endpunkte.” Arbeiten Sie dann mit den professionellen Diensten rückwärts, um das Rahmenwerk zu schaffen, und nutzen Sie dies als Grundlage für alle anderen Strategien.

4. Wenn Sie dann für die Umsetzung bereit sind, ziehen Sie eine stufenweise Einführung in Erwägung. Beginnen Sie mit einzelnen Segmenten und sorgen Sie dafür, dass die NAC die Geräte in diesen Segmenten ordnungsgemäß klassifiziert. Die NAC könnte beispielsweise denken, ein Gerät sei ein Drucker, weil es mit einem Linux OS mit einem speziellen Code läuft und einen bestimmten Port geöffnet hat, was es wie ein Drucker aussehen lässt, obwohl es sich eigentlich um einen bestimmten Scanner-Typ handelt. Sie können eine Menge lernen, indem Sie Ihre Anwendung im Listen-Modus starten. Nach der Installation des ForeScoutCounterACT schalteten wir die NAC, als sie mit der Geräteidentifizierung begann, in Listen-Modus. Wir konnten so bestätigen, dass sie die Netzwerkerkennung korrekt durchführt, und konnte auch die von der NAC vorgeschlagenen  „Sanierungsmaßnahmen“ validieren, ohne dass die NAC diese Maßnahmen tatsächlich erzwingt. Dieser wesentliche Schritt verhindert Start-up-Probleme. Sollte Ihre NAC zum Beispiel versehentlich einen Router an einem entfernten Standort erkennen und offline schalten, müsste eine Person zu diesem Standort fahren, um den Port freizuschalten.

5. Und was am wichtigsten ist: nutzen Sie die NAC als eine Ressource. Sie ist nicht nur ein Tool für Strategien und Kontrolle. Sie kann Ihnen einen Echtzeit-Überblick über all Ihre Netzwerk-Assets geben und als zentrale Ablage für all Ihre Infrastruktur-Informationen dienen. Sorgen Sie dafür, dass sie in irgendeine andere GRC-Technologie integriert wird, über die Sie verfügen, wie z.B. Anti-Virus, SIEM und CMDB. Sie können die NAC Informationen über alle Netzwerk-verbundenen Geräte an diese anderen Management-Systeme liefern lassen, so dass Sie alle Sicherheitsdienste integrieren und für Echtzeit-Sicherheit in Ihrem gesamten Unternehmen sorgen können. Nutzen Sie die NAC für Kontrollstufen, und wenn Sie die SANS CSC betrachten, werden Sie feststellen, dass mit einer einzigen Investition in eine Technologie, die robust genug ist, um vielfältige Bedürfnisse zu erfüllen, gleich mehrere Kontrollstufen eingeführt werden können.

 

Diesen Artikel empfehlen

Autor: Kolaric

Neue ESG-Studie: NAC dringt auf den EVAS-Markt vor

Ursächlich für das Wachstum des EVAS-Marktes ist der durch BYOD und Mobility geförderte Übergang zu kontinuierlicher Überwachung und laufender Fehlerkorrektur. Als eine NAC übergeordnete Technologie bietet EVAS bessere Endpoint-Sichtbarkeit und automatisierte Kontrolle. Sie fungiert als Herzstück...

Schutz für den Tag nach Zero

Zero-Day Angriffsvektoren zielen auf Schwachstellen ab, die von Kriminellen ausgemacht wurden und deren Koordinaten im Hackermilieu verbreitet wurden noch bevor Sicherheitsexperten von ihnen erfahren. Deshalb sind Zero-Day-Attacken so gefährlich – die Schwachstellen sind weder durch...

NAC-Marktanalyse von Frost & Sullivan 2013

Laut dem „Global Analysis of the Network Access Control (NAC) Market”-Bericht von Frost & Sullivan aus dem Juni 2013 sind die Lösungen von Cisco, ForeScout und Juniper die drei meistverkauften NAC-Lösungen in Großunternehmen als auch in kleinen und mittleren Unternehmen (KMUs). Diese drei...

NAC-Lösung meets Citrix XenMobile MDM Edition

Dadurch erhalten die Kunden einen einheitlichen Überblick und umfassende Kontrolle über alle mobilen Geräte, Nutzer, Anwendungen, Daten und Netzwerkeigenschaften.„Die Akzeptanz unternehmenseigener und privater Mobilgeräte hat für die IT-Abteilungen erhebliche Konsequenzen. Die Mitarbeiter möchten...

Über Java, das DHS und Schwiegermütter

Das DHS hatte vor kurzem eine landesweite Warnung an alle US-Bürger ausgegeben und sie aufgefordert, Java zu deaktivieren, sofern es nicht unbedingt benötigt würde. Diese Warnung gilt insbesondere für alle Java-Versionen vor Version 7, Update 10, da diese die Remote-Ausführung von bösartigem Code...