Warum brauche ich einen Zugangsschutz zum internen Netzwerk? Wo liegen die häufigsten Gefahren?
Zugangsschutz oder genauer gesprochen Zugangskontrolle ermöglicht einem Unternehmen, die Kontrolle über alle an das Netzwerk angeschlossenen Endgeräte zu erhalten. Diese ausnahmslose Kontrolle ermöglicht es, Gefahrenquellen zu erkennen und so das Netzwerk gegen mutwillige oder unbeabsichtigte Angriffe aus öffentlichen Zonen wie Sitzungszimmer oder Schulungsräumen zu schützen.
Die Gefahren von unkontrolliertem Zugang sind hauptsächlich auf zwei Ebenen zu orten: Besitzer von Fremdgeräten können einem Unternehmen mit Datenspionage oder der Zerstörung von Daten erheblichen Schaden zufügen. Weiter können Endgeräte, die nicht den firmeninternen Sicherheitsrichtlinien entsprechen, auf das Netzwerk zugreifen und so Malware im Unternehmen verbreiten. Diese beiden Gefahren können mit einer NAC-Lösung (Network Access Control) unter Kontrolle gebracht werden.
Wie können die Risiken gesenkt / die Gefahren unterbunden werden?
Da nur noch Endgeräte auf das Netzwerk zugreifen können, die auf die Sicherheitspolicy geprüft sind und damit als zugangsberechtigt erkannt werden, wird das Risiko für Datenspionage und Einbringen von Malware stark eingedämmt.
Was ist das USP Network Authentication System (NAS) und wie funktioniert es?
NAS von United Security Providers ist ein zentrales System zur Sicherung des drahtgebundenen und drahtlosen Netzwerk-Zugangs. NAS erkennt Endgeräte, welche sich an zentralen Netzwerk-Komponenten (Switches) anschliessen und überprüft diese mittels ihrer Ethernet-Adresse (MAC-Adresse). Diese Adresse wird gegen eine zentrale Inventardatenbank verifiziert.
Kann die Lösung verdächtige Endgeräte in einen Quarantänebereich verschieben, ohne dabei die Infektion anderer Geräte zu verursachen?
Mit Basic VLAN Assignment können Endgeräte in einen Bereich verschoben werden, innerhalb dessen ein Endgerät keinen Schaden anrichten kann.
Stellt die Lösung sicher, dass Endbenutzer verstehen, warum sie keinen Netzwerkzugang erhalten und was sie tun können, um wieder ans Netz zu kommen?
Nein, dies ist Sache der Kommunikation an die berechtigten Endbenutzer und Information über den Helpdeskprozess.
Schützt die Lösung alle Hauptkomponenten des Netzwerks, also LAN, Wireless und VPN-Zugangspunkte sowie den internen Netzwerkbereich?
Das USP Network Authentication System™ schützt alles ausser dem VPN-Zugang.
Wie wird meine Inventardatenbank angebunden?
NAS stellt eine standardisierte Import-Schnittstelle zur Verfügung, welche auf der Übertragung von Flat-Files von den Quellsystemen zum NAS-Server basiert. Die Daten können zu einem beliebigen Zeitpunkt übertragen werden, sie werden anschliessend zeitnah von NAS geladen.
Ist NAS eine zentrale Lösung?
NAS ist ein Out-of-Band-Produkt und somit eine zentrale Lösung.
Hat NAS einen Einfluss auf meine Architektur?
Nein. Es werden lediglich einige Konfigurationen auf den Netzwerk-Switches für NAS notwendig. Es müssen die Destinations für die Traps bei MAC-Authentisierung und Lese/Schreibrechte für NAS auf den Switches eingerichtet werden.
Kann die Lösung auch in einer heterogenen Netzwerkumgebung eingesetzt werden?
Ja.
Kann ich alle meine Standorte in diese Lösung miteinbeziehen? Voraussetzungen?
Ja. Es muss sich dabei um eine IP-Verbindung, welche SNMP-Traffic zulässt, handeln.
Wo liegt der konkrete Nutzen für mich mit der Einführung einer NAC (Network Access Control)-Lösung?
- Zugriffskontrolle für alle Endgeräte
- Aktives Verhindern von unerlaubten Zugriffen auf das Firmennetzwerk
- Near-to-realtime Sicht auf alle am Netzwerk angeschlossenen Endgeräte
- Reporting aller NAC-relevanten Informationen
- Unterstützung bei der Inventardatenbereinigung
- Sensibilisierung der Mitarbeitenden
Wogegen schützt mich NAS?
Gegen unerlaubten Zugriff auf das Firmennetzwerk.
Welche Voraussetzungen sind notwendig, um ein USP Network Authentication System™ einzuführen?
IP-Datennetzwerk und managed Switches im Einsatz.
Ist es möglich, eine Testinstallation zu erhalten, um die Lösung zu prüfen?
Ja, dies ist gegen eine Kostenpauschale im Rahmen des Testinstallationsaufwands möglich. Ein sogenannter POC (Proof of Concept) hilft dem Kunden, seine an eine NAC-Lösung definierten Anforderungen zu prüfen und sich von den Vorteilen von NAS in seiner Live-Umgebung zu überzeugen.
Kann ich NAS auch in meiner Produktionsumgebung testen?
Im reinen Scan-Modus (Device Discovery Mechanismus) kann ein Test in einer Produktiv-Umgebung bedenkenlos ausgeführt werden.
Wie schnell kann ein USP Network Authentication System™ installiert und eingeführt werden?
Bei der USP Network Authentication System™ Appliance geht man von einem Projekt mit wenigen Tagen Aufwand aus. In der Regel sind Integration und Schulung in ein bis zwei Wochen abgeschlossen. Es hängt dabei von der Grösse des Netzwerkes und der Komplexität der anzubindenden Umsysteme ab.
Erlaubt eine NAS-Installation, auch zukünftige Bedürfnisse ohne grossen Auf-wand zu integrieren?
Neue NAS-Versionen können einfach über einen Update-Mechanismus eingebracht werden. Das USP Network Authentication System™ arbeitet mit offenen Standards. Speziell im Bereich Endpoint Compliance wird mit dem offenen Protokoll IF-TNCCS-SOH ermöglicht, dass Update Server verschiedener Anbieter für Mitigation verwendet werden können. Für die Endgeräte-Authentisierung mittels Zertifikat wird mit dem IEEE 802.1x Protokoll ebenfalls ein Standard-Protokoll verwendet, welches die wichtigsten Switch-Anbieter unterstützen.
Bin ich mit NAS auch für zukünftige Bedrohungen gerüstet?
NAS verfügt über eine Roadmap, welche neue Leistungsmerkmale vorsieht, um auch zukünftigen Bedrohungen gerecht zu werden.
Welche Schnittstellen bietet NAS?
Bereits vorhandene Netzwerkmanagement- und Inventarsysteme (NMS) können mit geringem Aufwand angebunden werden. Auf diese Weise müssen beispielsweise die zu überwachenden Switches und Router nicht in einem zusätzlichen System gepflegt werden, wenn die Daten bereits in einem NMS geführt werden.
Welche Umsysteme kann ich einbinden?
Netzwerkmanagement- und Inventarsysteme.
Verfügt NAS über eine Reportingmöglichkeit? Welche Informationen können bei Bedarf auf Knopfdruck erstellt werden?
NAS verfügt über ein integriertes Reporting, mit welchem folgende Reports erstellt werden können:
- Inventarberichte
- Betriebsberichte
- Securityberichte
Wie ist die Vorgehensweise von United Security Providers bei der Einführung eines NAC-Projekts?
- Integration und Anbindung Umsysteme
- Netzwerkscan
- Inbetriebnahme Pilot
- Kundenschulung
- Support, wenn gewünscht
Gibt es Situationen, wo es keinen Sinn macht, eine NAC-Lösung einzuführen?
Bei ganz kleinen Netzwerkumgebungen könnte eine NAC-Lösung einen Overkill darstellen und zu grosse Investitionen verursachen. Generell ist aber das Einführen einer NAC-Lösung für die Kontrolle des Netzwerkzugriffs empfehlenswert.
Ist NAS mit dem Standard IEEEE 802.1x kompatibel?
Ja.
Ist eine Weiterentwicklung für das Produkt USP Network Authentication System™ geplant und wo wird das Produkt entwickelt?
Die NAS-Roadmap sieht als nächste Version die Einführung der Endpoint Compliance vor, welche ermöglicht, den Client auf OS Patch-Level, Aktualität des Virenschutzes und den Status der personal Firewall zu überprüfen. Die Entwicklung für USP Network Authentication System™ findet ausschliesslich durch Entwickler von United Security Providers in den beiden Niederlassungen in der Schweiz statt.
Wie wird ein NAS-System bewirtschaftet/unterhalten? Wie gross ist der Betriebsaufwand für meinen Betrieb?
NAS verfügt über verschiedene Rollen, unter denen es bewirtschaftet werden kann. Der Aufwand als Admin oder als Helpdesk-Mitarbeiter hält sich in Grenzen, so dass man den Aufwand ohne weiteres bestehenden Ressourcen übertragen kann. Die Höhe des Aufwands wird hauptsächlich durch die Grösse des zu überwachenden Netzwerkes bestimmt.
Was unterscheidet NAS von anderen NAC-Produkten?
NAS deckt alle gängigen Switches der wichtigsten Hersteller auf dem Markt ab. Mit einem übersichtlich gestalteten Web-GUI ist NAS einfach und benutzerfreundlich zu bedienen. Mit der 802.1x und MAC-Adressen Authentisierung verfügt NAS von United Security Providers über die Möglichkeit, das ganze Netzwerk mit Access Control zu überwachen.
Decke ich mit NAS 100% von meinem Netzwerk ab?
Ja. Mit 802.1x und MAC-Adressen Authentisierung kann für das gesamte Netzwerk Access Control gemacht werden.
Wie viele Kunden vertrauen heute schon auf NAS?
Es setzen drei Grosskunden und einige kleinere Unternehmen das USP Network Authentication System erfolgreich ein. NAS deckt heute etwa 100'000 Endgeräte ab. Gerne stellt United Security Providers Referenzen zur Verfügung oder organisiert auf Wunsch einen Kontakt bei einem Referenzkunden.
Warum macht es Sinn, NAS so schnell als möglich einzuführen?
Es ist zu jedem Zeitpunkt sinnvoll, eine Network Access Control Lösung einzuführen. Je früher man damit beginnt, desto eher hat man Übersicht über die Gerätevielfalt im Firmennetzwerk und erhöht damit das Sicherheitsniveau. Es ist von Vorteil, wenn man den Teil des Access Control in einer früheren Phase schon bewerkstelligt hat, bevor man sich dem Teil der Endpoint Compliance annimmt.
Haben Sie weitere Fragen zum Thema Zugangsschutz zum Internen Netzwerk?
Kontaktieren Sie uns über die E-Mail-Adresse solutionsales(at)united-security-providers.ch
https://www.united-security-providers.ch/de/it-sicherheitsloesungen/sicherheit-im-internen-netz/faq-nac
United Security Providers AG | Bahnhofstrasse 4 | Postfach | CH-3073 Gümligen
United Security Providers AG | Förrlibuckstrasse 220 | CH-8005 Zürich
www.united-security-providers.ch | info@united-security-providers.ch