NAC Posture Assessment: Gewährleistung der Compliance verwalteter Geräte vor dem Netzwerkzugriff

Willkommen zur Purple Technical Briefing-Reihe. Heute befassen wir uns mit einem der betrieblich kritischsten – und am häufigsten missverstandenen – Bereiche der Netzwerksicherheit in Unternehmen: der NAC-Statusbewertung (Posture Assessment), und insbesondere der Frage, wie Sie sicherstellen, dass nur verwaltete, konforme Geräte Zugriff auf Ihr Netzwerk erhalten, noch bevor sie ein einziges Paket an Produktivdatenverkehr gesendet haben. Wenn Sie als IT-Manager, Netzwerkarchitekt oder CTO für ein standortübergreifendes Unternehmen verantwortlich sind – sei es eine Hotelgruppe, eine Einzelhandelskette, ein Stadion oder eine Organisation des öffentlichen Sektors –, ist dies für Ihre Sicherheitslage von direkter Relevanz. Wir werden die Architektur, die Standards, die realen Bereitstellungsmuster und die Fallstricke behandeln, die selbst erfahrene Teams vor Probleme stellen. Legen wir los. Was genau ist also eine NAC-Statusbewertung? Network Access Control, oder NAC, ist das übergeordnete Framework, das regelt, welche Geräte unter welchen Bedingungen eine Verbindung zu Ihrem Netzwerk herstellen dürfen. Die Statusbewertung (Posture Assessment) ist der spezifische Mechanismus innerhalb von NAC, der den Sicherheitszustand eines Geräts vor – oder unmittelbar nach – dem Verbindungsaufbau abfragt. Stellen Sie sich das wie einen Gesundheitscheck an der Tür vor. Das Gerät muss nicht nur beweisen, wer es ist; es muss auch beweisen, dass es sich in einem vertrauenswürdigen Zustand befindet. Die Architektur besteht hierbei aus drei Kernkomponenten. Erstens haben Sie den Policy Enforcement Point – den PEP. Dies ist in der Regel Ihr Access Point, Ihr Switch oder Ihr Wireless-Controller. Es ist der Gatekeeper, der physisch steuert, ob Datenverkehr fließen darf. Zweitens haben Sie den Policy Decision Point – den PDP. Dies ist Ihre NAC-Engine, die oft in einen RADIUS- oder AAA-Server integriert ist. Sie empfängt die Statusdaten, gleicht sie mit Ihren Richtlinien ab und teilt dem PEP mit, was zu tun ist. Drittens haben Sie die Posture Assessment Engine selbst – dies ist entweder ein Agent, der auf dem Endpunkt ausgeführt wird, oder ein agentenloser Mechanismus, der Protokolle wie SNMP, WMI oder SSH verwendet, um das Gerät remote abzufragen. Die Authentifizierungsschicht, die all dem zugrunde liegt, ist IEEE 802.1X. Dies ist der portbasierte Standard für die Netzwerkzugriffskontrolle, den es seit 2001 gibt, der aber bis heute das Rückgrat von Enterprise-NAC bildet. 802.1X definiert drei Rollen: den Supplicant – das ist das Gerät, das versucht, eine Verbindung herzustellen; den Authenticator – Ihren Switch oder Access Point; und den Authentication Server – Ihren RADIUS-Server. Der Supplicant und der Authentication Server kommunizieren über EAP – das Extensible Authentication Protocol –, das durch den Authenticator getunnelt wird. EAP-TLS, das eine gegenseitige zertifikatsbasierte Authentifizierung nutzt, ist hierbei der Goldstandard. Das ist es, was Sie bereitstellen sollten, wenn Sie es mit der Compliance verwalteter Geräte ernst meinen. Was genau überprüft der Posture Check? Es gibt sechs Hauptkategorien. Patch-Level des Betriebssystems – läuft auf dem Gerät eine unterstützte OS-Version und sind kritische Patches innerhalb Ihres definierten Zeitfensters angewendet? Endpunktsicherheitsstatus – ist ein zugelassener AV- oder EDR-Agent installiert, aktiv und mit aktuellen Definitionen? Firewall-Status – ist die hostbasierte Firewall aktiviert und ihre Richtlinie intakt? Festplattenverschlüsselung – ist die Vollverschlüsselung der Festplatte aktiv und nicht ausgesetzt? Zertifikatsgültigkeit – besitzt das Gerät ein gültiges, vertrauenswürdiges Maschinenzertifikat, das von Ihrer PKI ausgestellt wurde? Und schließlich die Konfigurationskonformität – entspricht die Sicherheitskonfiguration des Geräts Ihrer definierten Baseline? Basierend auf dem Ergebnis dieser Prüfungen weist Ihre NAC-Policy-Engine einen von drei Zuständen zu. Compliant (Konform) – das Gerät besteht alle erforderlichen Prüfungen und erhält vollen Netzwerkzugriff, in der Regel auf das zugewiesene VLAN oder die zugewiesene Rolle. Conditional (Bedingt) – das Gerät besteht kritische Prüfungen, schlägt jedoch bei einer oder mehreren nicht-kritischen Prüfungen fehl; es erhält eingeschränkten Zugriff, vielleicht nur auf das Internet, mit einer Benachrichtigung an den Benutzer. Und Non-Compliant (Nicht konform) – das Gerät fällt bei einer kritischen Prüfung durch und wird in ein Quarantäne-VLAN verschoben, mit Zugriff nur auf ein Remediation-Portal. Über dieses Remediation-Portal kann das Gerät Patches herunterladen, AV-Definitionen aktualisieren oder Anweisungen zur manuellen Behebung erhalten. Wo ordnet sich nun WPA3 hier ein? WPA3-Enterprise, insbesondere im 192-Bit-Modus, stärkt die kryptografische Schicht unter 802.1X. Es schreibt GCMP-256 für die Verschlüsselung und HMAC-SHA-384 für die Integrität vor, was besonders für Umgebungen relevant ist, die Zahlungskartendaten oder sensible personenbezogene Daten gemäß GDPR verarbeiten. Wenn Sie eine Einzelhandelsumgebung im PCI-DSS-Bereich oder eine Gesundheitseinrichtung unter den Datengovernance-Anforderungen des NHS betreiben, sollte WPA3-Enterprise auf Ihrer Roadmap für neue Bereitstellungen stehen. Lassen Sie uns über agentenlose versus agentenbasierte Posture-Prüfung sprechen, da dies ein echter architektonischer Entscheidungspunkt ist. Die agentenbasierte Prüfung – bei der ein schlanker Client auf dem Endpunkt läuft – bietet Ihnen die tiefste Transparenz. Sie können Registrierungsschlüssel, laufende Prozesse, installierte Software und den Sicherheitsstatus in Echtzeit abfragen. Der Kompromiss ist der Bereitstellungsaufwand: Sie benötigen ein MDM oder eine Endpunkt-Management-Plattform, um den Agenten in Ihrer gesamten Infrastruktur bereitzustellen und zu warten. Die agentenlose Prüfung nutzt netzwerkbasierte Abfragen – SNMP, WMI über das Netzwerk oder API-Aufrufe an Ihre MDM-Plattform. Sie ist einfacher bereitzustellen, bietet jedoch eine geringere Transparenz und ist anfälliger für Umgehungen. Für eine verwaltete Unternehmensumgebung ist der agentenbasierte Ansatz die richtige Wahl. Für Umgebungen mit einer Mischung aus verwalteten und unverwalteten Geräten – wie in einem Konferenzzentrum oder einem Hotel-Back-of-House-Netzwerk – ist ein hybrider Ansatz sinnvoller. Ein weiterer wichtiger architektonischer Aspekt: kontinuierliche Sicherheitsbewertung im Vergleich zu punktuellen Prüfungen. Die meisten älteren NAC-Implementierungen prüfen den Sicherheitsstatus nur zum Zeitpunkt der Verbindung. Das ist eine erhebliche Sicherheitslücke. Ein Gerät, das um neun Uhr morgens beim Verbindungsaufbau konform war, könnte um elf Uhr vom Benutzer deaktiviertes AV haben. Moderne NAC-Plattformen unterstützen eine kontinuierliche Bewertung – sie bewerten den Sicherheitsstatus in definierten Intervallen oder als Reaktion auf Ereignisse neu – und ändern die Netzwerkzugriffsebene des Geräts dynamisch, ohne dass eine erneute Verbindung erforderlich ist. Das ist die Richtung, in die Sie sich bewegen sollten. Kommen wir nun zur Praxis. Bei der Bereitstellung der NAC-Sicherheitsbewertung ist der am häufigsten zu beobachtende Fehler der direkte Wechsel in den Durchsetzungsmodus. Tun Sie das nicht. Beginnen Sie im Überwachungsmodus – manchmal auch als Audit-Modus oder Sichtbarkeitsmodus bezeichnet. Führen Sie Ihre Sicherheitsprüfungen durch, protokollieren Sie die Ergebnisse, aber setzen Sie die Richtlinien noch nicht durch. Lassen Sie dies mindestens zwei bis vier Wochen lang laufen. Sie werden mit an Sicherheit grenzender Wahrscheinlichkeit Geräte entdecken, von denen Sie nicht wussten, dass sie in Ihrem Netzwerk existieren, und Sie werden feststellen, dass ein erheblicher Teil Ihrer bekannten Geräte eine oder mehrere Sicherheitsprüfungen nicht besteht. Nutzen Sie diese Daten, um Ihre Infrastruktur zu bereinigen, bevor Sie die Richtlinien durchsetzen. Die zweite Falle ist die Zertifikatsinfrastruktur. Eine agentenbasierte Sicherheitsbewertung mit EAP-TLS erfordert eine funktionierende PKI. Wenn Sie keine haben oder wenn Ihr Zertifikats-Lifecycle-Management manuell und ad hoc erfolgt, wird es zu Ausfällen kommen. Zertifikate laufen ab. Geräte werden ohne Zertifikate neu aufgesetzt. Planen Sie Ihre PKI, bevor Sie Ihre NAC-Bereitstellung planen. Drittens: VLAN-Design. Ihr Quarantäne-VLAN muss wirklich isoliert sein – nicht nur ein anderes Subnetz auf derselben physischen Infrastruktur. Es sollte nur Zugriff auf Ihr Behebungsportal und bei Bedarf auf Windows Update oder Ihren Patch-Management-Server haben. Wenn Ihr Quarantäne-VLAN irgendeine Route zu Produktionssystemen hat, haben Sie eine trügerische Sicherheit geschaffen. Viertens: Ausnahmen und Bypass-Prozesse. In jedem Unternehmen gibt es Geräte, auf denen kein Agent ausgeführt werden kann – Drucker, IoT-Sensoren, Gebäudemanagementsysteme. Sie benötigen einen dokumentierten, genehmigten Prozess zur Gewährung von MAC-Authentifizierungs-Bypasses für diese Geräte mit entsprechenden Kompensationskontrollen. Wenn Sie diesen Prozess nicht im Vorfeld definieren, erhalten Sie am Ende eine informelle Whitelist, für die sich niemand verantwortlich fühlt und die niemand überprüft. Richten Sie Ihre Sicherheitsrichtlinien aus Standardisierungsperspektive an den CIS-Benchmarks für Ihre Betriebssystemplattformen aus. Diese sind herstellerneutral, werden regelmäßig aktualisiert und sind als Basis für die Endpunktsicherheit in Unternehmen weithin anerkannt. Für PCI DSS-Umgebungen lassen sich Anforderung 6.3 zum Patch-Management und Anforderung 5.3 zu Anti-Malware direkt Ihren Kategorien für Sicherheitsprüfungen zuordnen. Nun zu ein paar schnellen Fragen. Kann eine NAC-Zustandsbewertung (Posture Assessment) für BYOD-Geräte funktionieren? Ja, aber Sie benötigen einen separaten Richtlinienpfad. BYOD-Geräte nutzen in der Regel eine andere EAP-Methode – EAP-PEAP mit Benutzeranmeldedaten anstelle von EAP-TLS mit Maschinenzertifikaten – und erhalten ein restriktiveres Netzwerksegment. Zustandsprüfungen für BYOD sind in der Regel weniger streng: Betriebssystemversion, grundlegendes Vorhandensein von AV, aktivierte Bildschirmsperre. Wie verhält sich dies im Zusammenspiel mit einem Gäste-WiFi-Netzwerk? Gar nicht, und das sollte es auch nicht. Gäste-WiFi ist eine völlig separate SSID und ein eigenes Netzwerksegment, das von Ihrer Unternehmensinfrastruktur isoliert ist. Die NAC-Zustandsbewertung gilt ausschließlich für Ihre Unternehmens-SSID. Die beiden Netzwerke sollten niemals ein VLAN teilen oder Routen zueinander haben. Wie sieht der typische Zeitrahmen für eine vollständige NAC-Bereitstellung aus? Für ein mittelständisches Unternehmen – sagen wir, fünfhundert bis zweitausend Endpunkte an mehreren Standorten – sollten Sie zwölf bis sechzehn Wochen von der Planung bis zur vollständigen Durchsetzung einplanen. Das umfasst die PKI-Einrichtung, die Agenten-Bereitstellung, den Überwachungsmodus (Monitor Mode), die Behebung von Sicherheitsmängeln (Remediation) und die schrittweise Einführung der Durchsetzung. Zusammenfassend lässt sich sagen: Die NAC-Zustandsbewertung ist der Mechanismus, der dafür sorgt, dass Ihr Framework für die Netzwerkzugriffskontrolle echte Wirkung zeigt. Identität allein – also zu wissen, wer sich verbindet – reicht nicht aus. Sie müssen den Sicherheitsstatus des Geräts kennen, ihn mit den Richtlinien abgleichen und Konsequenzen bei Nichteinhaltung durchsetzen. Die Architektur ist ausgereift und rund um 802.1X, RADIUS und EAP-TLS bestens standardisiert. Die Herausforderungen bei der Implementierung sind real, aber bei einem phasenweisen Vorgehen absolut bewältigbar. Ihre nächsten unmittelbaren Schritte: Überprüfen Sie Ihren aktuellen Endgerätebestand mithilfe Ihrer vorhandenen MDM- oder Endgeräte-Verwaltungstools auf Richtlinienkonformität. Bewerten Sie Ihre PKI-Bereitschaft. Entwerfen Sie Ihre VLAN-Architektur für konforme, bedingte und Quarantäne-Segmente. Und planen Sie eine Bereitstellung im Überwachungsmodus, bevor Sie die Durchsetzung aktivieren. Für Organisationen, die gemischte Umgebungen betreiben – interne Unternehmensbereiche neben Gäste- oder öffentlichem WiFi –, bieten Plattformen wie Purple die netzwerkseitige Intelligenz und Analysen für den Gästebereich, die Ihre unternehmensweite NAC-Bereitstellung ergänzen. So bleiben diese beiden Welten sauber getrennt, während Sie die volle Transparenz über beide behalten. Vielen Dank fürs Zuhören. Nutzen Sie den vollständigen schriftlichen Leitfaden auf der Purple-Plattform für Architekturdiagramme, Praxisbeispiele und Konfigurationsreferenzen.