In Kürze: Wie hängen NAC und Netzwerksegmentierung zusammen?

Wer sich mit IT-Sicherheit beschäftigt, hat sicherlich schon einmal von den beiden Begriffen NAC (Network Access Control) und Netzwerksegmentierung gehört. Doch wie gehören diese beiden Lösungen zusammen?

Was ist Netzwerksegmentierung?

Unter Netzwerksegmentierung versteht man die Unterteilung und Abgrenzung verschiedener Bereiche innerhalb eines Unternehmensnetzwerks. In welche Bereiche unterteilt wird, ist nicht vorgeschrieben, wobei eine Unterteilung sinnvoller sein kann als eine andere. So ist es in einigen Fällen wohl effizienter nach Abteilungen zu unterteilen, als nach Standort. Denn warum sollte die Personalabteilung Zugriff auf eine Produktionsanlage haben?

Die Segmentierung des Netzwerkes schränkt die Verbreitung eines Angriffs von Innen, zum Beispiel durch einen APT ein. Dieser kann sich immer nur genau in dem Bereich verbreiten, in dem er sich befindet. Dies grenzt den Schaden durch Angriffe stark ein.

Die Netzwerksegmentierung bietet auch die Möglichkeit ältere Geräte, mit veralteter Software, die für den Betriebsablauf wichtig sind, zu behalten. Beispielsweise ein Rechner mit XP auf dem eine Software zur Steuerung einer Produktionsanlage einwandfrei läuft und dessen Abschaffung mit Kosten und Aufwänden einhergehen würde. Der Betrieb eines solchen Gerätes ist kein Problem, solange es vom restlichen Netzwerk abgeschirmt ist.

Was ist Network Access Control (NAC)?

Ein NAC hat die Aufgabe, die vorhandenen Geräte in einem Netzwerk zu identifizieren und ihnen verschiedene Berechtigungen bzw. Maßnahmen zuzuteilen. Grundlage zu Erfüllung dieser Aufgabe ist die Erstellung einer vollständigen Übersicht aller Geräte, die sich im Netzwerk befinden. Dazu gehören neben Handys und Laptops beispielsweise auch Drucker, Clients, Produktionsanlagen etc. Allein diese Übersicht kann schon verhindern, dass sich ein fremdes unbekanntes Endgerät unbemerkt Zugriff zur internen IT verschafft.

Aufbauend auf dieser Übersicht wird geprüft, ob die vorhandenen Geräte den Unternehmens- und Compliance-Richtlinien entsprechen. Ist dies nicht der Fall, so können festgelegte Maßnahmen ergriffen werden. Beispielsweise kann ein einzelnes Endgerät in eine Quarantäne verschoben werden und solange Updates eingespielt werden, bis das Gerät wieder den Richtlinien entspricht. Außerdem können Endgeräten über ein NAC verschiedene Berechtigungen zugeordnet werden.

Wie spielen die beiden zusammen?

Bei der Segmentierung des Netzwerks wird für jeden Bereich ein eigenes virtuelles LAN  eingerichtet.

Die Zuordnung zu einem VLAN kann über ein NAC gesteuert werden. Ein NAC hat die Fähigkeit den Nutzer und sein Endgerät automatisch einem entsprechendem Netz mit den dazugehörigen Berechtigungen zuzuordnen. Der Nutzer kann beispielsweise von seinem Arbeitsplatz in einen anderen Raum wechseln und das drahtlose Netzwerk nutzen. Durch die verschiedenen Arten der Benutzerauthorisierung wird er trotzdem dem richtigen VLAN zugeordnet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *