Harte Nuss Open-Source-NAC IEEE 802.1x als Triebfeder für Network Access Control

Lösungen für Network-Access-Control (NAC) sind in der Praxis selten anzutreffen, obwohl in Ausschreibungen auf diesen Punkt häufig Wert gelegt wird. Kein Wunder, dass es Open-Source-NAC-Lösungen so gut wie gar nicht gibt. Doch es existieren erste Projekte.

Anbieter zum Thema

Rittal GmbH & Co. KG

Schneider Electric GmbH

PresseBox - unn | UNITED NEWS NETWORK GmbH

Durch die Mobilität von Netzwerkanwendern und die Nutzung von Wireless LANs steigen die Möglichkeiten für Nutzer von Notebooks und anderen IT-Geräten, sich in Firmennetze einzuwählen. Häufig sind Notebook-Zugänge für Gäste und freie Mitarbeiter in den Unternehmen möglich, ohne dass die Geräte auf Gefahren wie Viren oder Datendiebstahl geprüft werden. Ein NAC-Tool indes kann die Netzwerkzugänge kontrollieren.

Trotzdem sind in der Praxis wenige kommerzielle Produkte und so gut wie keine Open-Source-Lösungen im Einsatz. „Die NAC-Thematik ist vielen Endkunden und Systemhäusern zwar bewusst und die Kunden fragen dies bei Ausschreibungen auch ab, doch implementiert wird es selten“, erklärt Mike Lange, Manager Business Development und Produkt Marketing bei D-Link.

Das liegt unter anderem daran, dass NAC ein umfangreiches Themenfeld darstellt. Immerhin umfasst es die Überprüfung der Authentifizierung von Benutzern, die Überwachung der Einhaltung von Sicherheitsregeln und die Gewährung von Gastzugängen. So müssen die NAC-Lösungen mit bestehenden Authentifizierungssystemen zusammenarbeiten, die von der einfachen Windows-Authentifizierung bis hin zu Zwei-Faktor-Authentifizierungen über Tokens, Smartcards und biometrischen Systemen gehen. Ferner sollten sie in der Lage sein, aktuelle Sicherheitssoftware-Versionen zu prüfen und dem Nutzer dann den Zugang zu bestimmten Netzwerkpartitionen zu ermöglichen.

Am Zaun

Trotz dieser Komplexität wagen sich erste Open-Source-Projekte vor. Zu den bekannteren Open-Source-NAC-Tools zählt „Packetfence“. Zwei IT-Mitarbeiter der Harvard-Universität entwickeln bereits seit drei Jahren an der Software; November 2006 wurde die Version 1.6.2 verfügbar. Sie kann Anwender über verschiedene Methoden authentifzieren, die der Apache-Web-Server unterstützt.

Die Software führt Gefahrentests durch und isoliert Geräte, die nicht den Unternehmensrichtlinien entsprechen. Dabei nutzt sie das Dynamic Host Configuration Protocol (DHCP) und das address resolution protocol (arp).

In Nordamerika ist es in einigen Schulen, Universitäten und auch Unternehmen im Einsatz. Dagegen ist in Deutschland kein Anwendungsfall bekannt. Bei anderen Open-Source-NAC-Tools ist ebenfalls Fehlanzeige.

Affenschau

Genutzt werden hierzulande hingegen kleinere Tools, die einen Teilbereich des NAC-Aufgabengebiets erfüllen. Hierzu zählt „Arpwatch“ vom Lawrence Berkeley National Laboratory, das bei der Kölner Dass-IT GmbH verwendet wird, die 2004 von ehemaligen Suse-Beratern gegründet wurde. Das Linux-Systemhaus setzt das Tool bei Kunden dazu ein, neue und fremde Geräte im Netzwerk zu identifizieren. Arpwatch ermittelt zu einer gegebenen IP-Adresse die Hardwareadresse eines Rechners und kann den Administrator benachrichtigen, falls das Gerät im Netzwerk unbekannt ist.

„Das Open-Source-Tool ist mit wenig Aufwand zu implementieren, verursacht keine zusätzliche Netzlast und bringt viel Nutzen“, wertet Philipp Storz, Geschäftsführer von Dass-IT. „Allerdings werden in Zukunft intelligente Switches diese Aufgabe übernehmen.“

Vergleichbar eng wie sich Arpwatch an Arp orientiert, ist die queloffene Software „Open1x „mit dem Protokoll IEEE 802.1x verbunden. Der Standard stellt eine generelle Methode für die Authentifizierung und Autorisierung in IEEE 802-Netzen zur Verfügung und gilt als Triebfeder für NAC-Lösungen.

Am Netzwerkzugang, einem physikalischen Port im LAN, einem logischen IEEE 802.1Q VLAN oder einem WLAN, erfolgt die Authentifizierung eines Teilnehmers durch einen so genannten „Authenticator“, der mittels eines Authentifizierungs-Servers (RADIUS-Server) die durch den Supplicant übermittelten Authentifizierungsinformationen prüft und gegebenenfalls den Zugriff auf die durch den Authenticator angebotenen Dienste (LAN, VLAN oder WLAN) zulässt oder abweist.

Einmal offen

Mit „Open1x“ experimentiert ein Frankfurter Finanzdienstleister seit rund einem Jahr, hat das Tool aber noch nicht flächendeckend im Einsatz. Generell ist bei IEEE 802.1x problematisch, dass alle Hard- und Software-Komponenten eines Netzwerks den Standard unterstützen müssen, damit die Zugangskontrollen funktionieren können. „Obwohl 802.1x-Lösungen sehr komplex sind und noch nicht reibungslos funktionieren, ist eine schrittweise Einführung dieser Technik – angefangen bei den Switches – durchaus sinnvoll,“ sagt Lange.

Die freie Schweiz

Eine Open-Source-NAC-Lösung, die auch für ältere und heterogene Netzwerke geeignet ist, kommt mit „FreeNAC“ von Swisscom. Sie bindet auch Switches ein, welche den IEEE-Standrad 802.1x nicht unterstützen. Im Einsatz ist die Lösung bei Swisscom Innovations und dem Schweizer Unternehmen Accarda. Swisscom bietet neben der freien Software auch eine kommerzielle Lösung an, die Installation und Support beinhaltet.

Herr der Ringe

Generell zählen heute Universitäten und Hochschulen sowohl zu den Entwicklungsstätten als auch den ersten Anwendern von Open-Source-NAC-Lösungen. Neben Packetfence stammen auch „Hupnet“ (Helsinki University Public Network), „Rings“ (Resnet Integrated Next Generation Solution von der Kansas Universität) und „Netreq“ aus dem universitären Umfeld.

(ID:2004274)