Welcher NAC-Ansatz?
Pre-Connect NAC vs. Post-Connect NAC
Jochen Füllgraf | Februar 9, 2024
Welcher NAC-Ansatz ist am besten für Ihr Unternehmen geeignet? Sowohl Pre-Connect NAC als Post-Connect NAC bringen Vor- und Nachteile mit sich. Lernen Sie mehr darüber, auf welche Aspekte Sie bei der Auswahl achten müssen und wie Sie beide NAC-Ansätze miteinander kombinieren können.
Wer ist macmon secure?
Der ZTNA-Anbieter aus Berlin ist seit 2003 und damit 20 Jahre lang am Markt. Mit dem Produkt macmon NAC bietet das Unternehmen eine herstellerunabhängige Network Access Control-Lösung an. Mit über 1.800 Installationen von macmon NAC sorgt macmon secure für mehr Netzwerksicherheit in einer Vielzahl europäischer Unternehmen verschiedener Branchen. Etwa ein Drittel der macmon-Kunden sind im industriellen Umfeld.
Warum macmon NAC?
macmon NAC kann unbekannte fremde Objekte (UFOs) im Netzwerk erkennen. Bei einem Proof of Concept (PoC) werden meist auch unbekannte Objekte entdeckt, die zum Unternehmensnetzwerk gehören, also nicht fremd sind. macmon NAC ist ein wertvolles Instrument, um eigene, verlorengeglaubte Netzwerk- und Endgeräte wiederzufinden und einen vollständigen Netzwerküberblick zu erhalten, in dem natürlich zusätzlich auch unternehmensfremde Endgeräte aufgezeigt werden. Die Network Access Control von macmon secure erlaubt Ihnen, UFOs zuzuordnen und zu identifizieren. Sie können damit außerdem die Dauer steuern, die notwendig ist, um ein verdächtiges Endgerät vom Netzwerk zu isolieren und Gegenmaßnahmen zu ergreifen.
Neben praktischen Funktionen, wie der Erleichterung des Umzugs-Managements, kann macmon NAC bei der Erfüllung von Regularien unterstützen, wie:
- BSI-Grundschutz-IT-Kompendium
- DIN EN 80001-1
- Datenschutzgrundverordnung (DSGVO)
- Payment Card Industry Compliance
- ISO IT Sicherheitsstandards gemäß IEC 27001/27002
- Audits wie z.B. TISAX
Pre-Connect NAC
Pre-Connect NAC basiert auf dem Protokoll RADIUS und kann über MAC-Adressen-Authentifizierung oder 802.1X abgebildet werden. Insbesondere mit dem 802.1X-Standard bietet dieser NAC-Ansatz ein hohes Sicherheitslevel.
Die Identität kann bei 802.1X durch Zertifikate oder Computer-/ User-Accounts in Kombination mit einem Passwort überprüft werden. Nachteil dieses NAC-Ansatzes ist der hohe Arbeitsaufwand, da alle Clients entsprechend konfiguriert werden müssen.
Verhalten der Lösung im Ausfall-Szenario:
Bei Ausfall bzw. Nicht-Erreichbarkeit des NAC-Servers ist eine Re-Authentifizierung aller Endgeräte und Nutzer, die normalerweise periodisch erfolgt, erfolglos und es kommt zum Ausschluss vom Netzwerk (Blocking).
Wird ein Fallback-VLAN auf den Switches konfiguriert, werden Nutzer und Endgeräte in ein Standard-VLAN verschoben. Auch dies kann nur einen Teil abdecken, da mit einem NAC-System häufig die Netzwerkdynamik erhöht wird, indem man an jedem Ort genau seine Zugriffe, zum Beispiel sein benötigtes VLAN, erhält.
Post-Connect NAC
Post-Connect NAC funktioniert Monitoring-basierend. Großer Vorteil dieses NAC-Ansatzes ist die schnelle und einfache Umsetzung. Post-Connect NAC kann schnell eingeführt werden, falls bspw. Druck durch bevorstehende Audits besteht. Es muss keine neue Hardware angeschafft werden, solange die Systeme managebar sind und der Aufwand für notwendige Konfiguration ist gering. Bei Post-Connect NAC kann mit SNMP, REST-API und anderen verwaltenden Protokollen gearbeitet werden.Ein schrittweiser Übergang zu einem RADIUS-basierenden Ansatz zur Erhöhung der Sicherheit, ist problemlos möglich. Port für Port kann umgezogen und Clients nach und nach konfiguriert werden, damit kein Zeitdruck aufkommt.
Verhalten der Lösung im Ausfall-Szenario:
Bei einem Ausfall bleibt der aktuelle Zustand des Netzwerkes bestehen.
Das heißt, z.B. es entstehen keine Unterbrechungen bei einer laufenden Produktion. Das System läuft weiter, auch wenn eine potenzielle Bedrohung vorhanden ist. Man verlöre temporär die Sicherheit, welche das NAC-System liefert, aber alle anderen Prozesse laufen wie gehabt weiter.
Welcher NAC-Ansatz ist der richtige für mein Netzwerk?
Eine Post-Connect-Lösung kann auch wie ein Pre-Connect NAC genutzt werden. Es gibt eine Funktion, die ungenutzte Ports in ein Isolations-VLAN verschiebt. Dieses Standard-VLAN kann als eine Art Schleuse genutzt werden, durch die alles im Netzwerk durchgehen muss. Hier wird dann erst (Pre-Connect) geprüft und dann der richtige Zugriff erteilt.
Um sich für einen Ansatz zu entscheiden, sollten Sie folgende Aspekte bedenken:
Fähigkeiten der Netzwerkkomponenten: Insbesondere in Fabriken oder Krankenhäusern operieren zum Teil sehr alte Infrastrukturgeräte, was ein RADIUS-basierendes NAC ausschließen könnte.
Dringlichkeit: Falls zeitnah ein Audit bestanden werden muss, ist ein Post-Connect-NAC schneller umsetzbar.
Aufwand: Die bestehenden personellen Ressourcen sollten bei der Auswahl des NAC-Ansatzes berücksichtigt werden.
Ausfallverhalten: Während eine Blockierung innerhalb einer reinen IT-Netzwerkstruktur gewünscht sein kann, ist dies in OT-Netzwerken oft undenkbar. macmon NAC kann aktiv sowie reaktiv agieren. Sie haben die Möglichkeit je Port ein anderes Ausfallverhalten festzulegen.
Es kann entsprechend sinnvoll sein, beide NAC-Ansätze im selben Netz zu betreiben.
Empfehlungen für Network Access Control
- Herstellerunabhängige NAC-Lösung
- Monitoring bis ins Data Center
- Periodische Checks zusätzlich zur Eintrittsprüfung
- Anbindung anderer Sicherheitslösungen
- Geeigneten NAC-Ansatz für Nutzungsort wählen
- Einfache Handhabung der NAC-Lösung