Die Katastrophe ist vielleicht nur einen Klick entfernt

blackbox

Die Katastrophe ist vielleicht nur einen Klick entfernt

Netzwerk Zugangskontrolle und Sicherheits-Management

F: Brauchen wir ein NAC, wenn wir bereits eine

Firewall haben?

A: Für vollständige Sicherheit wird beides benötigt, weil die Geräte

auf unterschiedliche Weise schützen.

Eine Firewall wird an der Grenze des Netzwerkes eingesetzt, um

aus dem Internet ankommende Daten zu prüfen. Datenverkehr ins

Netzwerk wird abgelehnt oder zugelassen basierend auf einem

Regelwerk. Firewalls überwachen den Datenverkehr und schützen

nur vor Gefahren, die von ausserhalb des Netzwerkes kommen.

Netzwerk-Zugangskontrolle (NAC) andererseits, überprüft die Vertrauenswürdigkeit

der mit dem Netzwerk verbundenen Computer

und mobilen Geräte. Entspricht ein Gerät oder Computer nicht den

Vorgaben verhindert oder isoliert das NAC dessen Netzwerkzugriff.

NAC Anwendungen schützen das Netzwerk, indem sie die Hardware

innerhalb des Netzwerkes überwachen.

F: Wie behandelt Veri-NAC Gast-Computer?

A: Unbekannte Anwender und Geräte — beispielsweise Gäste —

können entweder die Erlaubnis für einen Netzwerkzugriff erhalten,

werden aber als nicht vertrauenswürdig markiert oder ihr Zugriff

wird blockiert. Wenn Gäste Ihr eignes Laptop oder Smartphone für

den Internetzugriff benötigen, kann Veri-NAC diesen einen Zugang

ausschliesslich zum Internet gewähren ohne Zugriff auf das Intranet

Ihres Unternehmens.

F: Wird einem nicht kompatiblen Computer nur der

Netzwerkzugriff verwährt?

A: Sie können festlegen, auf welche Weise Veri-NAC auf nicht kompatible

Computer in der jeweiligen Situation reagiert. Wenn Veri-

NAC, zum Beispiel, ein Gerät mit einer unbekannten MAC-Adresse

findet, kann Veri-NAC das Gerät aussperren oder den Zugriff auf ein

Gastnetzwerk beschränken. Wenn Veri-NAC einen Computer mit

einer Sicherheitslücke wie einer veralteten Software entdeckt, kann

es den Computer sperren oder die gefährdeten Ports isolieren und

nur einen teilweisen Netzwerkzugriff erlauben, wobei gleichzeitig

eine Meldung an den Administrator mit dem notwendigen Software

Update erfolgt.

F: Viele NAC-Systeme arbeiten mit Agenten. Kann

Veri-NAC auch ohne Agenten effektiv arbeiten?

A: Ja! Agenten waren urspünglich dazu gedacht, die Zuverlässigkeit

von Netzwerkgeräten zu verifizieren. Alle Agenten können aber

mittlerweile leicht gehackt werden, so dass sie selbst eine Sicherheitslücke

darstellen. Agenten laufen zudem nur auf PCs und nur

selten auf VoIP-Telefonen, Netzwerkdruckern, Smartphones oder

PDAs, Barcodelesern, IP-Türschlössern und Access Points, was

dazu führt, dass viele Netzwerkgeräte nicht durch das NAC-System

geschützt sind. Gerade aus diesen Gründen wurde Veri-NAC ohne

Agenten konzipiert.

F: Gibt es einen Weg, zentral mehrere Veri-NAC

Systeme in einem grossen Enterprise Netzwerk

zu überwachen?

A: Ja. Die Veri-NAC Serien 5400, 5600 und 5800 bieten ein

Kommandozentrum, mit denen Sie von einer Zentrale aus alle Geräte

global einschliesslich aller entfernten Niederlassungen kontrollieren

können. Mehrere Veri-NAC Anwendungen können sich dieselbe

vertrauenswürdige MAC-Adressenliste und das definierte Regelwerk

teilen. Sie können auch jeder Veri-NAC Anwendung dasselbe Passwort

zuteilen.

F: Beeinflusst Veri-NAC die Netzwerkleistung?

A: Nein. Veri-NAC ist kein Inline-Gerät und beinflusst daher die

Netzwerkleistung nicht negativ. Unter normalen Bedingungen

benötigt Veri-NAC nur circa 7 Kbps Bandbreite, um nicht vertraute

Anwender zu blocken, und zwischen 40 und 120 Kbps für die Überprüfung

von Sicherheitslücken. Diese Werte sind i.d.R. zu gering für

eine spürbare Einbusse der Netzwerkleistung.

F: Benötigt Veri-NAC spezielle Switches?

A: Nein. Veri-NAC arbeitet mit allen Ethernet Switches, einschliesslich

sehr alten und preiswerten Standard Switches. Sie können

beruhigt auf eine Aufrüstung Ihrer Infrastruktur mit 802.1x Switches

verzichten.

F: Warum 802.1q VLAN tagging?

A: Diese Funktion vergrössert die Effizienz des Veri-NAC Systems.

Mit der Funktion kann ein grosses und komplexes Netzwerk mit

vielen VLANs ohne zusätzliche Veri-NAC Anwendung geschützt

werden. Ein einziger physikalischer Ethernet-Port Ihrer Veri-NAC

Anwendung kann so bis zu 10 VLANs überwachen und auf Sicherheitslücken

prüfen. Markieren Sie dazu einfach alle VLANs und

verbinden Sie den ersten Netzwerkport Ihrer Veri-NAC Anwendung

mit dem Port Ihres Smart Switches, an dem die “Tagged” VLANs

abgebildet sind.

6 | Tel 0811/5541-0 | www.black-box.de

Weitere Magazine dieses Users
Ähnliche Magazine