NAC mit Ciscos Identity Services Engine

Der zunehmende Einzug von IoT-Komponenten bringt neue Gefährdungen mit sich. So bieten viele dieser Elemente nicht die in Enterprise-Netzwerken gewohnten Authentifizierungsmethoden. Mangelhafte Optionen zur Härtung, etwa beim Deaktivieren von Diensten, sowie fehlende oder verzögerte Updateprozesse tun ihr Übriges. Gleichzeitig erhöht sich durch die höhere Anzahl an Endgeräten zwangsläufig die Anzahl an Zugangspunkten im Netzwerk, wie Access-Switches und WLAN-Access-Points. Auch der Bereich der VPN-Gateways spielt insbesondere während der Pandemielage aufgrund verstärkter Nutzung von Home Offices eine große Rolle für Systemadministratoren.

Interne Schranke

Aus diesen Gründen ist es sinnvoll, neben einer klassischen "Erlaubt/Nicht erlaubt"-Richtlinie einen stärkeren Fokus auf die Segmentierung und "Least Privileges" bereits beim Eintritt in das Netzwerk festzulegen. Zudem ist es wichtig, getreu dem Motto "Du kannst nichts beschützen, was du nicht sehen kannst", die Sichtbarkeit im Netz zu erhöhen und somit potenzielle Bedrohungen frühzeitig zu erkennen, zu melden und zu behandeln.

Trotz der Cloudifizierung und den Ansätzen zu Zero Trust hat die Absicherung von internen Netzen und Ressourcen in vielen Organisationen noch immer eine hohe Bedeutung, da gerade dort die Kronjuwelen zu finden sind, für die keine Auslagerung zu externen Cloudprovidern stattfinden soll. Um Zugriffe komplett zu unterbinden oder laterale Bewegungen im Netz nach einer potenziellen Infektion eines Hosts einzuschränken, bedarf es interner Sicherheitsmechanismen, die vom Client über die Switches und Router sowie die Netzzugriffskontrolle bis hin zur Firewall konsistent stattfinden müssen. Zentrales Bindeglied bildet hier das Werkzeug zur Netzzugriffskontrolle (Network Access Control, NAC). Ein solches kann die Identity Services Engine (ISE) [1] von Cisco

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.