Das Projektinterview: Wie läuft ein NAC-Projekt ab?

Was sind die Kernaufgaben einer Netzwerkzugangskontrolle?

Die zentrale Funktion von NAC ist es, unbekannte, defekte oder fremde Endgeräte aus dem Netzwerk herauszuhalten. Dazu muss sich jedes Gerät mit einer Identität am Netzwerk anmelden, damit es überhaupt Zugriff erhält. Das kann eine MAC-Adresse sein (das ist das unsicherste), ein Zertifikat, ein AD-Konto oder Credentials aus anderen Verzeichnisdiensten, die man dafür benutzen kann. Danach entscheidet sich, welchem Gerät man welche spezifische Netzwerkfunktionalität bereitstellt, zum Beispiel kann dies ein Vollzugriff, ein eingeschränkter Zugriff oder nur ein Internetzugriff sein.

Du hast schon viele Unternehmen bei der Einführung einer NAC-Lösung begleitet. In welchen Dimensionen haben sich die Projekte bewegt?

Von kleinen Unternehmen mit hundert Mitarbeitern bis zu international aufgestellten Konzernstrukturen – vom Einzelhandel über Kliniken bis hin zur Großindustrie mit zwanzigtausend Access Switches und hunderttausenden Endgeräten war schon alles dabei. Bei diesen Großprojekten, die sich teilweise über drei bis vier Jahre erstrecken, müssen diese vielen Endgeräte kategorisiert werden, was ein enormer Aufwand ist. Zurzeit leite ich ein Projekt bei einem kleineren Netzwerkdienstleister, der ungefähr hundert Mitarbeiter und circa tausend Endgeräte hat.

Was sind die Beweggründe der Kunden, das Thema NAC in Angriff zu nehmen?

Es gibt viele technische Gründe dafür: Abwehr von unbekannten Endgeräten, die dynamische Zuordnung zu VLANs, damit der Techniker nicht mehr alles manuell konfigurieren muss oder das Thema Sichtbarkeit, damit man weiß, was im Netzwerk alles angeschlossen ist. Ein weiterer Grund sind bestimmte Regularien wie zum Beispiel BSI-Grundschutz, BSI-KritisV, BaFin-Regularien und ISO 27001, die eine Lösung zum reglementierten Zugang auf ein kabelbasiertes Netzwerk fordern.

In der ersten Phase des Projekts wird ein Grobkonzept erstellt. Was passiert dabei?

Die Projekte werden meistens von den Netzwerkabteilungen gestartet. Wir führen als erstes einen Workshop durch, in dem wir die Ausgangslage besprechen. Ich empfehle immer, auch die Mitarbeiter mit in den Workshop einzubeziehen, die für die Endgeräte zuständig sind, denn sie müssen letztendlich die Änderungen an den Geräten durchführen. Dabei bearbeiten wir gemeinsam einen Fragenkatalog und dokumentieren gleichzeitig die Ergebnisse dieses Workshops. Zunächst halten wir fest, welchen Bestand das Unternehmen hat. Wir fragen, welche Authentisierungsmethoden benutzt werden sollen, wie das Segmentierungskonzept aussieht und wo die Identifizierungsmerkmale gespeichert werden sollen. Oft ist es sehr komplex, alles zu dokumentieren, denn hier ist viel miteinander verknüpft.

Wozu werden Anforderungskataloge gebraucht?

Wir haben in den letzten Jahren unter großem Aufwand Kataloge mit bis zu zweihundertfünfzig Anforderungen erarbeitet. Wir haben drei Kataloge zu den großen Bereichen Switches, Endgeräte und RADIUS-Server. Switches und Endgeräte müssen bestimmte Funktionalitäten haben. Alle RADIUS-Server haben die gewünschten Basis-Funktionalitäten, aber darüber hinaus will der Kunde häufig Spezialfunktionen. Hier ist vom Portal über Richtlinienüberprüfung bis hin zur integrierten Zertifizierungsstelle je Hersteller Verschiedenes möglich. Heute ist es jedoch nicht mehr so, dass man einen Cisco-Server braucht, wenn man ein Cisco-Netzwerk hat. Es gibt viele Kunden mit einer Multi-Vendor-Strategie, die zum Beispiel einen Server von Extreme mit einem Aruba- oder Brocade-Netzwerk haben. Beides ist kompatibel miteinander und funktioniert. Jedoch gibt es proprietäre Funktionalitäten, wie die Integration von NAC in eine Campus Fabric, die es notwendig machen, Netzwerkequipment und RADIUS-Server von einem Hersteller zu beziehen. Je nach Anforderung kann es komplex werden, denn die Lösung muss auf das maßgeschneidert sein, was sich der Kunde wünscht. Wenn im Grobkonzept steht, dass ein Gerät an einem Port authentisiert werden soll, ist das einfach. Wenn aber unterschiedliche Endgeräte an einem Netzwerkanschluss in verschiedene Zonen ausgekoppelt werden sollen, muss ich prüfen, ob der Switch das überhaupt kann. Die Anforderungskataloge sind große Excel-Tabellen, mit denen wir alles detailliert abklopfen, was Switches, Endgeräte und RADIUS-Server überhaupt können. Manchmal schneiden wir die Kataloge im Vorfeld noch zurecht, weil ja nicht jeder alle Anforderungen braucht oder weil anders priorisiert wird.

Was kann man sich unter Testkatalogen vorstellen?

Wenn ich zum Beispiel eine Neuausschreibung habe, gibt der Hersteller an, dass er alle Anforderungen erfüllt. Doch liefert der Hersteller keine Beweise. Deshalb besprechen wir mit dem Kunden, wie man überprüfen kann, dass der Anforderungskatalog, den der Hersteller oder der Mitarbeiter ausgefüllt hat, auch wirklich passt. In den Testkatalogen haben wir Szenarien, die zum jeweiligen Feinkonzept passen müssen. Hier gibt es dann erneut spezifische Tests von Switches, Endgeräten und RADIUS-Server. Das Schlimmste ist, wenn man ein Produkt kauft, hohe Erwartungen daran hat und im Anschluss feststellt, dass man seine Vorstellungen nicht umsetzen kann.

Im Feinkonzept wird anschließend die konkrete Umsetzung dokumentiert.

Ja, genau. Hier werden die Konfigurationen und Prozesse vordefiniert. Das sind nicht nur Incident- beziehungsweise First-Level-Prozesse, sondern auch die Inbetriebnahme von Endgeräten, also Prozesse wie: Welches Endgerät kommt wie ins Netzwerk, wie bekommen die Endgeräte ihre Konfigurationen und Credentials, welche Funktionen müssen auf dem Switch aktiviert werden, wie sieht das RADIUS-Regelwerk aus? Hier sind die Kundenwünsche ebenfalls unterschiedlich: Manchen reicht es, wenn wir dies im Feinkonzept definieren, für andere Kunden werden Konfigurationstemplates oder Betriebshandbücher ergänzt oder neu erstellt.

Und wie wird die Umsetzbarkeit überprüft?

Beim Proof of Concept (PoC) sind wir in einer Laborumgebung, in der wir das testen, was wir im Feinkonzept festgehalten haben. Gleichzeitig kann es sein, dass wir noch mal die Testkataloge durchgehen. Wenn der PoC gemacht ist, die Laborergebnisse vorliegen und gegebenenfalls das Konzept nachgeschärft wurde, gehen wir in einen benutzerfreundlichen, produktiven Kreis. Dazu gehört meistens die IT-Abteilung oder eine andere Abteilung, die nicht so viele kritische Ressourcen hat. Dort machen wir das dann als Pilot in einer realen Arbeitssituation.

Es gibt ebenfalls Kunden, bei denen wir erst bei den Tests einsteigen und anschließend einen Piloten planen, ohne dass wir ein Konzept ausarbeiten sollen. Da werden im Vorfeld nur ein paar Sätze mit den Zielen formuliert. Innerhalb der Tests erfrage ich, was implementiert werden soll und der Kunde weiß dann später, was konfiguriert ist, ohne dass viel niedergeschrieben wurde. Eine Konzeptionierung empfiehlt sich dennoch grundsätzlich.

Was ist bei der Migration zu beachten?

Wir starten mit der Migration, wenn der Pilot erfolgreich war, die Vorbedingungen erfüllt sind und die grundlegenden Prozesse etabliert wurden. Dabei wird NAC in Wellen ausgerollt. Zum Beispiel mache ich das bei einem großen Campus gebäudeweise und Schritt für Schritt in mehreren Phasen, wie sie im Feinkonzept stehen. Das ist äußerst komplex.

Bei zwei Großprojekten haben wir das Rollout-Management durchgeführt. Wir gaben dem Dienstleister, der die Switches konfigurieren musste, den Projektplan an die Hand. Er sollte beispielsweise hundert Switches pro Tag ausrollen und anschließend die Funktionalität prüfen sowie die Nachsorge vornehmen. Das hat teilweise Monate gedauert.

Wie sieht die Kommunikation mit dem Kunden aus?

Ich stehe mit dem Projektleiter des Kunden in ständigem Kontakt. Das fängt bei E-Mails, Wiki-Einträgen, internen Newslettern und der Veröffentlichung von Videos an und geht hin bis zu Symposien, auf denen wir vortragen, welche Änderungen und Neuerungen in den nächsten Wochen oder Monaten auf die Mitarbeiter zukommen.

Es gibt ja auch Projekte, wo bereits eine NAC-Lösung besteht, die nachgebessert oder optimiert werden soll.

Genau. Ich hatte ein Projekt bei einem Produktionsunternehmen. Der Dienstleister hatte ein NAC-Konzept geschrieben und meine Aufgabe war es, das Konzept hinsichtlich möglicher fehlender Punkte und Verbesserungen zu prüfen. Ein anderer Kunde hatte seine NAC-Lösung schon seit mehreren Jahren in Betrieb und wollte von uns wissen, wie er sein Netzwerk sicherer machen kann. Bei solch alten Lösungen wurden oft nur die MAC-Adressen bedacht, nicht aber die Identitäten, bei denen – im Gegensatz zu den MAC-Adressen, die nur registriert werden – ebenso Änderungen an den Endgeräten gemacht werden müssen. Wir wurden dann ins Boot geholt, weil wir uns nicht nur mit Netzwerken, sondern auch im Bereich der Endgeräte gut auskennen. Bei solchen Projekten decken wir noch andere kritische Punkte auf, zum Beispiel, dass das Segmentierungskonzept überarbeitet werden muss, weil es viel zu unübersichtlich für Dritte ist und so weiter.

Es gibt jetzt neben dem NAC-Grundlagen-Kurs ein neues Seminar bei der ComConsult, bei dem ausgiebig auf die Optimierung bestehender NAC-Lösungen eingegangen wird.

Bei dem zweitägigen Seminar „Netzzugangskontrolle NAC“ machen wir am ersten Tag die Grundlagen und am zweiten Tag gehen wir tiefer auf die Technik ein. Dieser Kurs ist seit vielen Jahren mit insgesamt rund 350 Teilnehmern äußerst beliebt. Wir erleben es immer wieder, dass die Seminarteilnehmer den Wunsch nach noch mehr Beispielen aus unserem Projektalltag äußern, um mehr Tipps für die praktische Umsetzung, insbesondere bei der Kreierung und Ausführung der Prozesse, zu erhalten. Deshalb haben wir das neue Seminar „Optimierung bestehender NAC-Lösungen“ entwickelt. Im ersten Teil stellen wir die Next Generation NAC 2.0 mit den neuen Features vor. Im zweiten Teil geht es um Prozessschärfung: Funktioniert die Lösung so, wie ich es mir gedacht habe oder arbeiten meine Mitarbeiter auf der Endgeräteseite an der Lösung vorbei, weil sie die Prozesse nicht einhalten? Wie können die Prozesse verbessert werden, um Incidents zu vermeiden, die teilweise dadurch entstehen, wenn die Mitarbeiter an den Prozessen vorbei arbeiten?

Ich kann den neuen Kurs also allen empfehlen, die ihre NAC-Lösung weiter ausbauen, aktualisieren oder die Prozesse verbessern möchten. Das Seminar eignet sich nicht nur für Teilnehmer mit tiefem technischem Verständnis, die die neuen Features von NAC 2.0 kennenlernen möchten, sondern auch für Manager, die die Prozesse definieren und optimieren wollen.