Endpoint-Security für Netzwerksicherheit
Schotten dicht für Viren und Würmer
Wolfgang Miedl arbeitet Autor und Berater mit Schwerpunkt IT und Business. Daneben publiziert er auf der Website Sharepoint360.de regelmäßig rund um Microsoft SharePoint, Office und Social Collaboration.
Allerdings lägen die Gründe für die Verzögerung nicht in der Produktentwicklung, sondern in der Kompatibilität. Cisco arbeitet nämlich ebenfalls seit längerem unter der Bezeichnung NAC (Network Admission Control) an Quarantäne-Techniken. Presseberichten zufolge hätten Anwenderunternehmen, die Cisco-Router und Switches mit NAC einsetzen, bei einer gleichzeitigen Verwendung von Microsofts NAP mit massiven Kompatibilitätsproblemen rechnen müssen. Nun arbeiten die beiden Marktführer daran, ihre Technologien interoperabel zu machen.
Nach Ansicht von Meta-Group-Analyst Carsten Casper stellt Microsofts Aufschub einen herben Rückschlag für die Kunden dar - dennoch kommt keiner an den beiden Branchenriesen vorbei. Casper geht davon aus, dass nur Anbieterkooperationen Aussicht auf Erfolg haben: "Selbst wenn die Vereinbarung zwischen Microsoft und Cisco scheitern sollte, wird eine Kooperationslösung mehrerer Hersteller in den nächsten Jahren einen De-facto-Standard hervorbringen.
Erste Ansätze für Endpoint-Security hat Microsoft bereits im Windows Server 2003 integriert. Dieser verfügt mit Network Access Quarantine Control bereits über Basisfunktionen. Vergleichbares enthält auch der ISA Server 2004. Im Wesentlichen handelt es sich um zwei Funktionen: Ein Script kontrolliert den anfragenden Client auf die Einhaltung der Netzwerkrichtlinien. Werden diese nicht erfüllt, erfolgt eine Umleitung auf Ausweichressourcen wie etwa einer Intranet-Seite mit weiterführenden Informationen. Die zweite Komponente am Desktop dient dazu, den Server bei erfolgreicher Prüfung zu benachrichtigen, dass der Verbindungsaufbau zulässig ist.
Zwei Wege, ein Ziel
Um Netzwerk-Quarantäne zu implementieren, stehen zwei Technologien zur Verfügung. Bei der ersten Lösung handelt es sich um Server-Software. Diese sortiert nach sicheren und unsicheren Clients, differenziert dabei anhand der IP-Netzwerkadressen und lenkt die abgewiesenen Gäste auf einen Patch- oder Antiviren-Server um. Beim Port-Verfahren wird die Quarantäne-Prüfung eine Protokollebene darunter innerhalb der Netzwerk-Appliances des Firmen-LAN vorgenommen.
Beide Verfahren haben Vor- und Nachteile. Server-Lösungen kosten weniger und sind einfacher einzuführen, weil sie als Zusatzsoftware auf bestehenden Servern installiert werden. Dagegen muss bei der Port-Technologie oft neue Hardware gekauft und Software aktualisiert werden. Vergleicht man beide Varianten anhand ihrer Zuverlässigkeit, wendet sich das Blatt jedoch zu Gunsten des Port-Verfahrens: Dabei findet auf einer für manipulativen Softwarecode unerreichbar tief liegenden Netzprotokollebene eine Aufteilung in voneinander unabhängige Netzsegmente statt. Das Quarantäne-Segment ist logisch völlig abgeschottet von anderen Netzbereichen. Hingegen bleibt bei einer Software-Quarantäne ein Risiko für Infektionen und Einbrüchen bestehen, sofern es glingt, die Anwendungslogik auszuhebeln.