Interview: was ist NAC und warum ist es so wichtig?

In der IT trifft man immer wieder auf Abkürzungen. Einige sind sehr selbsterklärend, wie vielleicht IT für „Informations Technik“. Andere wirken auf den ersten Blick etwas ungreifbar. So wie die Abkürzung: NAC.

NAC steht für „Network Access Control”, also “Netwerk-Zugriffskontrolle”. Warum die Einführung eines NAC für fast jedes Unternehmen sinnvoll ist wollen wir in diesem Artikel erläutern. Dazu haben wir ein Interview mit dem connecT-Netzwerk Experten Daniel Mertens geführt:

Frage: Daniel, wollen wir nicht um den heißen Brei rumreden. Was ist NAC?

Daniel: Mit NAC hat man die Kontrolle darüber, nur autorisierten Geräten einen Netzwerk-Zugriff zu ermöglichen. Das heißt, beispielsweise ein Gast ist in meinem Haus und schließt sich an einem freiem Netzwerk-Port an, dann möchte ich natürlich verhindern, dass dieser Gast Zugriff auf mein internes Netzwerk bekommt. Und das regelt die NAC. 

Technisch sieht das so aus:
Der Switch fragt das Endgerät über „802.1 x“: „Hör mal, hast du ein Zertifikat, kannst du dich hier authentifizieren?“ Und da unterscheidet sich dann das Gerät des Gastes von meinem internen Gerät. Das interne Gerät sagt „Ja, habe ich“, zeigt sein Zertifikat von der internen Zertifizierungsstelle und bekommt Zugriff auf das ihm zugewiesene interne Netzwerk. Bei dem Gastgerät sieht das anders aus. Der Switch fragt auch hier: „Zeig mir mal dein Zertifikat!“ Und egal welches Zertifikat vom Gastgerät vorgelegt wird, es wird nicht authentifiziert und somit auch nicht autorisiert und das Gerät wird in das Gastnetzwerk verschoben. Das heißt, der interne Mitarbeiter und der Gast, die sich an demselben Netzwerk-Port anschließen, bekommen jeweils ein anderes Netzwerk zugewiesen.

Ich würde mir jetzt denken: Wie wahrscheinlich ist es, dass sich jemand bei mir ins Unternehmen hockt und sich da andockt. Ist das das einzige Szenario, wo NAC seine ganzen Vorteile ausspielt oder bezieht sich das auch auf andere Bereiche?

Daniel: Das ist schon das Szenario, wo eine NAC ihre Vorteile ausspielt. Das muss man aber weiterspielen als auf den Besprechungsraum, wo vielleicht der Besuch auch nur mit einem internen Mitarbeiter gemeinsam agiert. Ich bin in knapp 13 Jahren connecT ein einziges einmal von einem Kunden gefragt worden, wer ich denn eigentlich bin und was ich vorhabe – auch bei Kunden, wo ich vielleicht sonst nicht so häufig unterwegs bin. Ich hätte jederzeit die Gelegenheit gehabt, über eine Produktionshalle, über einen Versandbereich etc. in Gebäude reinzugehen, um mich irgendwo anzuschließen. Das sind auch die Orte, an denen eher die Gefahr lauert. Dann kommt jemand vorbei, der zum Beispiel ein kleines Raspberry mit einem modifizierten Betriebssystem irgendwo still und heimlich an einem freien Netzwerkanschluss anschließt. Da fragt keiner was das ist und was das macht und ein Angreifer hat damit dann über zum Beispiel eine VPN-Technologie permanent Zugriff in mein Netzwerk.

Welcher Aufwand ist damit verbunden ein NAC einzurichten? 

Daniel: Die Frage ist erst mal, wie weit ist denn schon das Thema Netzwerk-Segmentierung vorangeschritten. Wenn man da eine solide Basis hat, ist der Aufwand für die Grundkonfiguration einer einfachen NAC ca. zwei Tage Arbeit und dann gilt es die Lösung auf alle Bereiche auszurollen. Da kommen dann die Fragen auf: Wie groß ist das Netzwerk? Habe ich jemanden, der mich von der internen IT unterstützt, der die finale Umstellung durchführt oder muss ich jeden Netzwerk-Port persönlich umstellen? Da skaliert dann der Aufwand entsprechend.

Welchen Unternehmen rätst du zu NAC?

Daniel: Es gibt eigentlich keinen Grund, warum es nicht jeder nutzen sollte.Wenn der Kunde für sich das Thema Netzwerk-Sicherheit verstanden hat und möchte den Weg eines sicheren Netzwerks mit uns gehen, dann spricht da nichts gegen. Ob das jetzt vielleicht für eine sehr kleine Umgebung, mit unter zehn Usern etwas ist, da kann man noch mal drüber diskutieren. Aber jeder Kunde, der Wert auf seine IT Sicherheit legt, ist grundsätzlich ein Kunde, der das Thema im Fokus haben sollte.