Verbessertes Zugangskontrollsystem für Netzwerke von Cisco
Das erweiterte Network-Admission-Control-Framework soll Unternehmen helfen, sich effektiver gegen Spyware, Viren und Würmer zu schützen.
Der Hersteller von Netzwerk-Komponenten Cisco hat sein Network Admission Control-Programm (NAC) zur Zugriffssteuerung von Netzwerk-Endgeräten ausgebaut und verbessert. Das aus der "Cisco Clean Access"-Familie (CCA) hervorgegangene Framework erstreckt sich neben den Switches der Catalyst-Serie nun unter anderem auch auf die Wireless-LAN-Lösungen der Aironet-Reihe. Das Cisco-eigene Betriebssystem IOS unterstützt NAC seit Version 12.3(8)T von Haus aus. Der "Cisco Trust Agent" (CTA) zur Überprüfung der Endgeräte liegt mittlerweile in Version 2.0 vor und unterstützt Microsoft Windows und Red Hat Enterprise Linux 3.0.
Die derzeitige Implementation sieht vor, an das Netzwerk angeschlossene Endgeräte in verwaltet (managed), nicht verwaltet (unmanaged) und Gastgeräte (guest) einzuteilen. Für die volle Netzwerk-Konnektivität ist der Status "managed" notwendig. Dazu muss auf dem Endgerät ein CTA installiert sein, der überprüft, ob beispielweise aktuelle Sicherheitspatches und Virenscanner eingespielt wurden. Erst dann meldet der CTA das Gerät an den NAC-Richtlinienserver als "managed", worauf hin dieser das betroffene Endgerät freigeben kann. Darüber hinaus ist es möglich, Endgeräte ohne CTA von außen durch einen Scan-Vorgang auf bekannte Sicherheitsprobleme zu überprüfen. Verdächtigen Geräten kann so ebenfalls der Netzwerkzugriff verweigert werden.
Solche Methoden der Zugriffskontrolle auf Netzwerke sind beispielsweise für Firmen und Universitäten attraktiv. Zwar sind die meisten Netze durch Firewalls und Paketfilter vor Zugriff von außen geschützt. Doch durch schlecht gewartete Notebooks und Privatrechner können Schadprogramme wie Viren und Spyware ins interne Netz eingeschleppt werden, wo sie sich unter Umständen ungehindert ausbreiten und hohen finanziellen Schaden anrichten.
Auch Microsoft arbeitet an einer ähnlichen Zugriffskontrolle für Netzwerke und nennt diese Network Access Protection (NAP). Vor ziemlich genau einem Jahr wurde die Zusammenarbeit der beiden Hersteller auf diesem Gebiet bekannt gegeben. Microsoft hat zwar die Veröffentlichung von NAP für den Start von Vista festgelegt, findet jedoch in den jüngsten Ankündigungen von Cisco zu NAC noch keine Erwähnung. (cr)
