Network Access Protection (NAP)
Kein Zutritt für unsichere Computer
Sasser & Co. zeigen deutlich: Zur Verseuchung des Unternehmens-LANs sind weder Datenträger oder E-Mail-Anhänge erforderlich. Vielmehr bieten sich zunehmend andere Wege für Viren, Würmer und andere Schädlinge, um Firmennetze zu infizieren. Bestes Beispiel sind Notebooks, die von Mitarbeitern auch außerhalb des Unternehmens genutzt werden und währenddessen einem Malware-Angriff zum Opfer fallen: Nimmt der Anwender sein Notebook in der Firma wieder in Betrieb, kann sich die Malware dann im Unternehmens-LAN ungehindert auf die Suche nach neuen Opfern begeben. Zentrale Schutzinstanzen für das Firmennetz, die Administratoren zum Schutz vor Angriffen aus dem Internet eingerichtet haben, kommen hierbei erst gar nicht mehr zum Zuge – schließlich erfolgt der Angriff aus dem vermeintlichen sicheren Intranet, sozusagen von innen heraus.
Heimische PCs, mit denen Mitarbeiter über ein virtuelles privates Netzwerk (VPN) auf das Unternehmens-LAN zugreifen, und Notebooks von Besuchern, die per WLAN-Connectivity über das Firmennetz Zugang zum Internet erhalten, stellen ebenfalls ein Sicherheitsrisiko dar. Denn bis dato regiert das Prinzip Hoffnung, wenn solche Computer auf das Unternehmens-LAN zugreifen oder darüber ins Internet gelangen sollen. Möglicherweise verfügen diese PCs über Personal-Firewall und Antivirus-Programm, und eventuell sind sogar die aktuellsten Patches und Virensignatiren eingespielt. Was aber, wenn nicht?
Zugang zum Unternehmens-LAN: Der Sicherheitsstatus entscheidet
Mit „Network Access Protection“ (NAP) von Microsoft lassen sich diese potenziellen Sicherheitsrisiken für Unternehmens-LANs künftig ausschließen. NAP ist eine der innovativen Microsoft-Technologien, die in Windows Server 2003 Release 2 (R2) enthalten sind, das in der zweiten Hälfte des Jahres 2005 auf den Markt kommt.
Die NAP-Technologie adressiert die folgenden drei Aspekte:
| • | Gültigkeitsprüfung von Netzwerkrichtlinien Bei der Verbindungsaufnahme eines Computers mit dem Netzwerk wird als Erstes geprüft, ob sein gegenwärtiger Sicherheitsstatus die vom Administrator definierten Zugangsrichtlinien erfüllt. Findet lediglich eine NAP-Überwachung statt, wird eine Verletzung dieser Richtlinien zwar notiert, dem unsicheren Computern aber dennoch der Zugang zum Netzwerk gewährt. Ist NAP hingegen für die strikte Isolation konfiguriert, erhalten unsichere Computer, die die vorgegebenen Richtlinien nicht erfüllen oder nicht NAP-konform sind, erst gar keinen Zugang zum Netzwerk. Zur bequemen, zuverlässigen Definition sowohl der Zugangsrichtlinien als auch von Ausnahmeregelungen stehen grafische Tools zur Verfügung. |
| • | Erfüllung von Netzwerkrichtlinien NAP sieht Administrations-Tools vor, mit denen sich der gewünschte Sicherheitsstatus schnell und einfach herstellen lässt. Unsichere Computer, die die geforderten Richtlinien nicht erfüllen, können dadurch während ihrer Isolierung im Quarantäne-Netzwerk eine Aktualisierung ihrer Sicherheitskonfiguration durchführen, um schließlich den Zugang zum Netzwerk zu erlangen. Auch hierbei ist es möglich, Ausnahmen zu definieren, was Unternehmen eine hohe Flexibilität für die Festlegung erwünschter und unerwünschter PCs bietet. |
| • | Netzwerkisolation Erfüllen PCs bei der Verbindungsaufnahme mit dem Unternehmens-LAN die geforderten Netzwerkrichtlinien nicht und werden daher als unsicher eingestuft, kann NAP diese Computer automatisch isolieren. Vorgesehen sind mehrere Szenarien, die von der Überstellung in ein separates Quarantäne-Netzwerk über Zugriffsbeschränkungen lediglich auf eine einzelne Ressource bis hin zur Verweigerung jeglichen Zugriffs auf interne Ressourcen reichen. Ebenso lässt sich ein Quarantäne-Netzwerk für Gast-PCs verwenden, die zwar keinerlei Berechtigungen für das Firmennetz besitzen, zumindest aber auf das Internet zugreifen dürfen. |
Technisch gesehen umfasst NAP Server- und Client-Komponenten, mit denen Administratoren den Zugang zum Unternehmens-LAN sowohl für verwaltete und unverwaltete Computer – etwa Firmen-PCs und -Notebooks sowie private Mitarbeiter- und Besucher-PCs – als auch beim Remote-Access präzise steuern können. Somit unterscheidet sich NAP deutlich von der „Network Access Quarantine Control“-Funktion, die sich mit Tools aus dem Windows Server 2003 Resource-Kit realisieren lässt. Dabei findet rein auf Client-Seite eine Überprüfung statt, für die Administratoren zuvor eigene Skripte erstellen müssen. Stattdessen erweitert NAP die Quarantäne-Option von Microsoft ISA Server 2004. Die Aufgabe dieser Funktion besteht darin, VPN-Clients einer umfassenden Prüfung zu unterziehen. Remote-Computer, die bestimmte Sicherheitskriterien nicht erfüllen, lassen sich dabei automatisch in Quarantäne stellen und vom Unternehmen-LAN isolieren.
Breite Unterstützung für das erweiterbare, offene NAP-Konzept
Network Access Protection ist eine logische Fortentwicklung dieses Quarantäne-Ansatzes, geht jedoch noch wesentlich weiter. Die NAP-Technologie bezieht nicht nur wie bisher lokale und VPN-Clients mit ein, sondern gestattet Administratoren die flexible Vorgabe, was unsichere Computer im Quarantäne-Netzwerk erwartet. Darüber hinaus beinhaltet NAP eine komplette Programmierschnittstelle, über die sich Produkte von Hard- und Software-Herstellern nahtlos integrieren lassen. Genauso sind Entwickler mit dieser Programmierschnittstelle dazu in der Lage, die NAP-Plattform den Wünschen der Administratoren entsprechend um spezifische Funktionen zu erweitern. So können Unternehmen NAP-Lösungen implementieren, die ihre Sicherheitsanforderungen für den Zugang von Computern zum Firmennetz maßgeschneidert erfüllen.
Schon bei der Vorstellung des erweiterbaren NAP-Konzepts von Microsoft haben mehr als 25 Hersteller großes Interesse an diesem offenen Sicherheitsverfahren bekundet, das auf bewährten Standards basiert. BindView, Citrix, Computer Associates, Enterasys , Extreme Networks, Foundry, Hewlett-Packard, Juniper Networks, LANDesk Software, McAfee, Symantec und Trend Micro sind nur einige Beispiele.
Weitere Informationen zur Network Access Protection finden Sie auf der Website von Microsoft unter www.microsoft.com/nap.
Nachtrag: NAP kommt – mit Longhorn-Server
