Zugriffskontrolle in Intrusion Prevention System integriert

Kombination aus Zugriffs- und Angriffskontrolle bietet Netzwerksicherheit ohne Upgrade der Netzwerkinfrastruktur

(07.03.07) - TippingPoint stellt eine Lösung zur Netzwerkzugangskontrolle vor. Die TippingPoint NAC-Lösung (Network Access Control) ermöglicht Unternehmen, Richtlinien für Geräte und Anwender durchzusetzen, damit sowohl Endpunkte als auch netzwerkinterne Systeme die Vorgaben erfüllen. Gegenüber herkömmlichen NAC-Konzepten, die sich lediglich auf die Prüfung vor und nach dem Netzwerkzugang beschränken, bietet die Lösung weitaus mehr Kontrolle: Geräte- und Anwenderrichtlinien können miteinander verknüpft werden. Das ermöglicht eine fein abgestimmte Verkehrskontrolle in einem Umfang, den nur ein Intrusion Prevention System (IPS) in Verbindung mit einem NAC-System bieten kann. Unternehmen erhalten eine wesentlich stärkere Kontrolle über Netzwerkzugriffe und die Nutzung des Netzwerks. Gleichzeitig reduzieren sich die Kosten für die Netzwerksicherheit und die Komplexität des Netzwerks nimmt ab.

"Umfassende Netzwerksicherheit erfordert sowohl Kontrolle über Zugriffe als auch über Angriffe", erklärt Jon Oltsik, Senior Analyst bei der Enterprise Strategy Group. "Die meisten NAC-Lösungen bieten eine Autorisierung und Authentifizierung. Ohne die zusätzlichen Funktionen einer ständigen Angriffskontrolle - wie sie die IPS-Lösung von TippingPoint bietet - mangelt es einer NAC-Lösung an der notwendigen Sichtbarkeit und Durchsetzung, um den Zugang zum Netzwerk zu schützen."

NAC-Einsteigerlösungen bieten eine Authentifizierung am Endpunkt und prüfen bis zu einem gewissen Grad auch den Netzwerkstatus beim Zugriff. Die nächste NAC-Klasse bietet außerdem regelmäßige Kontrollen, ob die Geräte die Richtlinien erfüllen sowie eine begrenzte Verkehrs-prüfung, die auf einfach zu manipulierenden Signaturen basiert. Diesen Lösungen mangelt es jedoch an dem "Inline IPS-Schutz". Auch gibt es keine ständige Sicherheitsaktualisierung, die Kunden aber für eine erstklassige Verkehrsprüfung und die Durchsetzung von Sicherheitsvorgaben benötigen. Angesichts ständig wechselnder Sicherheitsbedrohungen und Angriffe ist die Entscheidung für eine NAC-Lösung mit unzureichender Verkehrsklassifizierung und -durchsetzung an Endpunkten eine risikoreiche Investition, die Unternehmen in falscher Sicherheit wiegt.

In einer TippingPoint NAC-Umgebung sind die Zugangsrichtlinien an eine individuelle Kombination aus Gerät und Anwender gebunden. Das Ergebnis ist eine strenge Authentifizierung und Autorisierung mit Einhaltungsprüfung und Durchsetzung der Richtlinien. Geräte, die die Vorgaben nicht erfüllen, werden abhängig von der Richtlinienklasse zur Sanierung umgeleitet. Die Zugriffs-rechte für Anwender werden durch die Integration mit bestehenden Systemen für das Rechte-management kontrolliert, etwa mit Active Directory, LDAP oder RADIUS. Die TippingPoint NAC arbeitet dabei eng mit dem TippingPoint IPS zusammen, um schädlichen Verkehr von jedem Endpunkt zu blockieren. Verdächtiger Datenverkehr löst je nach Richtlinienvorgabe andere Maßnahmen aus, zum Beispiel Blockierung, Quarantäne, Alarme oder Rate Shaping. Netzwerkadministratoren erhalten eine bislang ungeahnte Kontrolle über den gesamten Netzwerk-perimeter mit integrierter, Richtlinien basierter Sicherheit und Kontrolle über Anwender, Geräte und den Verkehrsfluss. (TippingPoint: 3Com: ra)