heise+ | Intranetkontrolle ausgelagert: Network Access Control aus der Cloud

Die meisten Unternehmen und Behörden schützen die äußere Grenze ihres Netzwerks (Perimeter) inzwischen weitgehend gut. Doch vielen fehlt immer noch eine Netzwerkzugangskontrolle (Network Access Control, NAC) für ihr Intranet. Dadurch haben Angreifer freien Zugriff auf das interne Netzwerk, sobald sie physischen Zugang erlangen. Der Betrieb eines NAC-Produkts ist jedoch komplex. Deshalb bieten Hersteller wie Juniper, Aruba, Arista, Portknox und SecureW2 mittlerweile NAC als Dienst aus der Public Cloud an, was die Hürden verringern soll. Der Artikel erklärt die Architektur und beschreibt den Nutzen, aber auch die Schwierigkeiten und Risiken von NAC as a Service.

Standardisierte Netzwerkzugangskontrolle gemäß IEEE 802.1X existiert seit über 20 Jahren. Dennoch zögern viele Unternehmen und Behörden, solche Systeme einzuführen, weil das Installieren und Verwalten komplex ist und auch die Clientsysteme anzupassen sind. Zudem bieten viele IoT-Komponenten nicht einmal einen Supplicant (Client-Agent) für klassisches 802.1X zur Authentifizierung. Außerdem sind selbst die Varianten vor IEEE 802.1X-2010 vielfach angreifbar.

Erst der Standard IEEE 802.1X-2010 in Kombination mit IEEE 802.1ae-2006 alias MACsec verschlüsselt die Verbindungen zeitgemäß. Entsprechende Implementierungen existieren für Windows, macOS und Linux. Für Standardgeräte wie Drucker/Multifunktionsgeräte oder IP-Telefone sucht man sie jedoch vergeblich.

Das war die Leseprobe unseres heise-Plus-Artikels "Intranetkontrolle ausgelagert: Network Access Control aus der Cloud". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.