Richtlinie zur Netzwerkzugriffskontrolle

Richtlinie zur Netzwerkzugriffskontrolle: Handhabung der Zugangskontrolle für Smartphones

NAC kann für Laptops und Desktops hilfreich sein, ist aber bei mobilen Geräten eingeschränkt. In diesem Tipp erfahren Sie, wie Sie NAC für die Zugangskontrolle von Smartphones erweitern können.

zugriff auf handy im netzwerk

Vom iPhone über Droid bis hin zu BlackBerry und Nexus One – es scheint, dass jede Woche ein neues mobiles Gerät geboren wird und die Mitarbeiter versuchen, es etwa 15 Minuten nach dem Start in drahtlose Unternehmensnetzwerke zu integrieren! Es ist schon wichtig, dass man einen zugriff auf handy im netzwerk hat, um beispielsweise bestimmte Daten anzufirdern. Wie geht ein Unternehmen mit dem Risiko mobiler Geräte um und kontrolliert deren Einführung in Unternehmensnetzwerke? In diesem Tipp untersuchen wir die Rolle, die Network Access Control (NAC)-Systeme im mobilen Umfeld spielen.

Network Access Control (NAC) Richtlinie für mobile Geräte

Wenn Sie NAC bereits in Ihrer Umgebung verwenden, sind Sie wahrscheinlich mit dem Verfahren zur Authentifizierung eines Laptops oder Desktop-Computers vertraut:

1. Der Benutzer versucht, ein neues Gerät mit dem Netzwerk zu verbinden.

2. Der NAC-Server erkennt das neue Gerät und stellt fest, dass es nicht bereits authentifiziert ist.

3. Der Benutzer wird aufgefordert, einen NAC-Client auf dem Endpunkt zu installieren.

4. Der NAC-Client stellt dem NAC-Server die Anmeldeinformationen des Benutzers zur Authentifizierung zur Verfügung.

5. Der NAC-Client führt eine Bewertung des Sicherheitsstatus des Clients durch und stellt diese dem NAC-Server zur Verfügung.

6. Der NAC-Server verwendet die Anmeldeinformationen und Bewertungsergebnisse, um festzustellen, welchen Netzwerkzugriff das Gerät gegebenenfalls erhalten soll.

Leider bricht dieser Prozess bei Schritt drei zusammen, wenn Smartphones, Tablets oder ähnliche „dumme“ Geräte versuchen, sich dem Netzwerk anzuschließen, da es nicht möglich ist, einen NAC-Client auf solchen Gadgets zu installieren. In diesem Fall greifen NAC-Systeme in der Regel auf zwei mögliche Ansätze zurück:

● Im Ansatz des „Captive Portal“ fängt das NAC-Gerät die Anfragen des Benutzers nach Webseiten ab und leitet ihn auf eine webbasierte Authentifizierungsseite um. Sobald sich der Benutzer authentifiziert hat, erhält die Vorrichtung Zugriff auf das Netzwerk, so dass autorisierte Benutzer jeder mobilen Vorrichtung des Netzwerks beitreten können.

● Der alternative Ansatz besteht darin, die MAC-Adressen von zugelassenen drahtlosen Geräten auf die Whitelist zu setzen. Dies ist mit viel mehr Verwaltungsaufwand verbunden, so dass Ihr IT-Personal bei jedem Einsatz eines neuen Geräts die MAC-Adresse jedes Geräts zum NAC-System hinzufügen muss. Diese Whitelist-Option gibt dem Unternehmen jedoch ein höheres Maß an Kontrolle über den Netzwerkzugriff.

Der Nachteil dieser beiden Ansätze ist, dass das NAC-System nicht in der Lage ist, den Sicherheitsstatus des Geräts zu überprüfen, was die Funktionalität, die NAC traditionell in der Laptop/Desktop-Umgebung bietet, stark reduziert.

Das Beste aus der mobilen NAC machen

Wie kann ein Unternehmen also seine bestehende NAC-Infrastruktur nutzen, um die Sicherheit mobiler Geräte zu erhöhen? Ich schlage einen dreigliedrigen Ansatz vor, der von der Unterscheidung zwischen unternehmenseigenen Geräten und persönlichen Geräten abhängt. Ihre Laufleistung kann je nach den Sicherheitsbedürfnissen des Unternehmens variieren, aber dieses Framework bietet einen Ausgangspunkt, den Sie verwenden können, um eine geeignete Richtlinie für die Zugriffskontrolle auf mobile Netzwerke und die damit verbundenen Kontrollen für Ihre Geschäftsumgebung zu erstellen.

● Beschränken Sie den vollständigen drahtlosen Netzwerkzugriff auf firmeneigene Smartphones. Sie werden einfach nie in der Lage sein, das Vertrauen in persönliche Geräte zu gewinnen, die Sie in den Geräten haben, die sich im Besitz und in der Verwaltung Ihrer IT-Mitarbeiter befinden. Aus diesem Grund plädiere ich dafür, den uneingeschränkten Netzzugang auf die Geräte zu beschränken, die dem Unternehmen gehören und von ihm verwaltet werden. Der einfachste Weg, diese Anforderung durchzusetzen – die in Ihrer NAC-Richtlinie dargelegt werden sollte – ist mit dem oben beschriebenen MAC-Whitelisting-Ansatz.