Open Source im professionellen Einsatz
Linux-Magazin 12/2008
© Bildpixel, Pixelio.de

© Bildpixel, Pixelio.de

Packetfence gewährt nur sicherheitsüberprüften Rechnern Zugang zum LAN

Schutzwall

Ein internes Netz ohne virenverseuchte oder einbruchsgefährdete Rechner ist die Idealvorstellung der Network Access Control (NAC). Um das zu erreichen, macht sie für die abgeschottete Produktivumgebung einen Zugangstest obligatorisch. Praktisch durchgesetzt hat sich die Idee jedoch noch nicht.

518

Das Akronym NAC (Network Access Control) geistert nun schon seit sieben Jahren durch die IT-Welt. Dennoch hat sich die Technologie, die Rechnernetze sichern will, noch immer nicht kommerziell durchgesetzt. In der Open-Source-Welt genießen derzeit nur die beiden NAC-Varianten Open NAC / Free NAC [1] und Packetfence [2] (Abbildung 1) regelmäßige Pflege und Weiterentwicklung. Im kommerziellen Lager haben schon einige NAC-Lösungen schweigend das Handtuch geworfen oder werden nicht mehr aktiv vermarktet, zum Beispiel die auf Open BSD aufsetzende NAC-Appliance der Firma Verniertnetworks.

Abbildung 1: Das Packetfence Dashboard. Im Beispiel sind »Total Nodes« und »Unregistered Nodes« gleich, weil fast alle Benutzer mit statischen IP-Adressen arbeiten und NAC noch nicht verwenden.

Grund genug nachzusehen, was sich hinter dem Schlagwort NAC genau verbirgt, was von den ursprünglichen Visionen Realität wurde, was noch zu erwarten ist und was sich mit den Open-Source-NAC-Systemen erreichen lässt.

Nach den Vorstellungen der NAC-Architekten würde jeder Benutzer, der seinen Computer - in vielen Fällen ein Laptop oder ein mobiles Endgerät - mit dem LAN verbindet, erst einmal in einem Quarantänebereich landen. Dort müsste er sich authentifizieren. Im Anschluss würde ihm das NAC-System ein Profil zuweisen, das weitere Anforderungen an die Sicherheit seines Rechners festschriebe und zugleich die Rechte definierte, die ab dem Moment gelten, ab dem er als sicher eingestuft im Produktivnetzwerk zugelassen würde.

Rechner in Quarantäne

Vorher würde jedoch der Laptop im Quarantänebereich auf Viren gescannt und gegebenenfalls mit den neuesten Patterns und Updates für den Virenscanner versorgt. Erst danach dürfte er das Quarantäne-VLAN verlassen.

Soweit die Theorie. Die Praxis gestaltet sich deutlich schwieriger: Die meisten Anwender wollen ihren Laptop am Arbeitsplatz sofort in Betrieb nehmen. Zumeist langweilt schon der Bootprozess. So gut wie niemand hat Verständnis dafür, dass sich der mobile Rechner dabei noch ein paar Minuten scannen und patchen lassen soll. Zumal für Tests und Updates unter Umständen Fremde mit erweiterten Privilegien auf den eigenen Rechner zugreifen müssten, was Misstrauen weckt.

Patches und NAC

Eine andere Ungereimtheit, die in kommerziellen Umgebungen beim Einsatz von NAC zu Tage tritt, verbindet sich mit der Frage nach dem Patch-Management. Wer ist dafür verantwortlich und wann ist der beste Zeitpunkt? Kommerzielle NAC-Systeme integrieren meist eine schon vorhandene Patch-Management-Lösung (zum Beispiel Patch Link) und greifen auf deren Daten und Technologien zurück. Durch NAC gewinnt man dabei einen Zeitvorsprung, weil es so möglich ist zu patchen, noch bevor der Rechner Zugang zum Produktivnetz erhält. Herkömmliches Patch-Management findet dagegen erst statt, wenn die zu aktualisierenden Rechner bereits im LAN sind.

Andererseits ist es in gut gemanagten Netzwerken üblich, Patches automatisch auszurollen. So synchronisieren sich einige Patch-Management-Lösungen in Abständen mit dem Active Directory und bringen jeden neuen Laptop in der Domain auf den neuesten Stand.

Abbildung 2: In den Registrierungsoptionen zeigt die Liste neben »registration.auth«, in welche bestehenden Userdatenbanken und Directories sich Packetfence einklinken lässt.

Abbildung 3: Ein Auszug aus der Liste mit Violations, die Packetfence überwacht. Die Spalte »URL« gibt an, auf welches Template des Captive-Portals der Benutzer gelangt, nachdem er einen Regelverstoß auslöst.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 4 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

comments powered by Disqus

Ausgabe 09/2017

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.