Herausforderungen bei der Netzzugangskontrolle

Ein solcher Kunde ist ein Industriebetrieb. Dort hat man die einfachste mögliche Zonierung gewählt: Es gibt je eine Zone für Office und für Produktion. Da die Mehrzahl der Endgeräte produktionsrelevant ist, wurden die vorhandenen Netze als Produktions-Zone definiert. Die Office-Zone wurde hinzugefügt und erscheint auf den Access Switches als zusätzliches VLAN. Die Kopplung erfolgt an zentraler Stelle über Firewalls mit integrierten Intrusion Prevention Systems (IPS).

Derzeit begleite ich den Kunden bei der Implementierung der Netzzugangskontrolle. Hier hat man wiederum ein einfaches Konzept gewählt: Zunächst versucht der Switch, Windows-Clients mittels EAP gemäß IEEE 802.1X zu authentisieren. Es wird ausschließlich der Client authentisiert, unabhängig vom darauf angemeldeten Nutzer. Zu diesem Zweck verfügen Windows-Clients über Maschinenzertifikate, die über das Microsoft Active Directory automatisch verteilt werden („Auto Enrollment“).

Sofern es sich nicht um Windows-Clients handelt – das ist im Produktions-Umfeld die Mehrheit – erfolgt die Authentisierung anhand der MAC-Adresse. Zu diesem Zweck extrahiert der Kunde eine Liste aller MAC-Adressen aus seinem Asset Management. Im Asset Management wurde zuvor markiert, zu welcher Zone das Endgerät gehört. Viele Drucker beispielsweise gehören in die Office-Zone, Etikettendrucker jedoch typischerweise in die Produktions-Zone, und so fort.

Sie werden erwarten, dass dieses Verfahren fehleranfällig ist. Oder können Sie sich vorstellen, dass alle – die Betonung liegt auf „alle“ – Endgeräte eines Produktions-Betriebs in einem Asset Management erfasst sind? Wie sieht es in Ihrem Unternehmen beispielsweise mit Terminals der Zugangskontrolle oder Steuerungen der Klimatechnik aus? Und was passiert, wenn die Instandhaltung des Nachts einen Antrieb der Fördertechnik austauschen muss, damit das Band weiterläuft? Der Kunde löst das Problem während einer Übergangszeit so, dass alle unbekannten Endgeräte in der Produktions-Zone verbleiben.

Das ist nur eines der möglichen Problemfelder. Ich schildere Ihnen ein weiteres: Eine bestimmte produktionskritische Anwendung erwartet, dass die ihr zugeordneten Windows-Clients feste IP-Adressen haben. Das haben wir im Rahmen der Migrationsplanung berücksichtigt. Die zukünftigen IP-Adressen in der Office-Zone wurden im Vorfeld reserviert und den Anwendungs-Verantwortlichen mitgeteilt. So konnten diese am Umstellungstag die Anwendung entsprechend konfigurieren. Wir haben die entsprechenden Objekte im IP Address Management (IPAM) in die neuen Netze verschoben und auf den Switches NAC aktiviert.

Und siehe da, nicht alle Clients waren in der Lage, sich korrekt mit Zertifikaten zu authentisieren. Sie fielen zurück in die Produktions-Zone und erhielten dort keine für die Anwendung gültige IP-Adresse.

Letztlich stellte sich heraus, dass auf den Clients nicht alle zur Authentisierung mit IEEE 802.1X erforderlichen Parameter korrekt gesetzt waren. Offensichtlich hatten diese Clients die dafür eingerichtete Windows-Gruppenrichtlinie nicht korrekt geladen oder angewandt.

„Wo ist das Problem?“, werden Sie fragen. „Das lässt sich doch alles im Vorfeld klären!“ Ja, lässt es sich. Doch bedenken Sie folgende Punkte:

• In Unternehmen, vor allem beim produzierenden Gewerbe, gibt es in der Regel Clients verschiedener Generationen mit z.T. unterschiedlichen Betriebssystemversionen und Patchleveln. Überdies hängt die Konfiguration möglicherweise von der Zugehörigkeit des Clients zu bestimmten Organisationseinheiten oder gar von Attributen im Asset Management ab. Wurden wirklich alle Varianten getestet?
• Wer in Ihrem Unternehmen ist für solche Tests verantwortlich? Wer kann sicherstellen, dass die neue Konfiguration wirklich auf alle Clients angewandt wurde, bevor die Migration beginnt? Wer sorgt im Zweifel dafür, dass Altgeräte entsprechend ertüchtigt werden?
• Wer sorgt dafür, dass die Instandhaltung im Rahmen einer Reparatur ausgetauschte Endgeräte im Asset Management einpflegt? Wie sollten Betriebsprozesse aussehen, die solche Aufgaben bestmöglich unterstützen? Wer erarbeitet solche Prozesse und wer setzt sie durch?
• Stehen die Verantwortlichen für Endgeräte, Anwendungen und Betriebsprozesse voll und ganz hinter Ihrem Projekt zur Netzzugangskontrolle? Scheuen sie nicht vielmehr den zusätzlichen Aufwand, an dem vermeidlich Sie „die Schuld“ tragen?

Je größer ein Unternehmen wird, desto schwieriger ist es, alle Beteiligten an einen Tisch zu bekommen. Oftmals müssen sogar mehrere Dienstleister miteinander sprechen, damit das Projekt zu einem Erfolg wird – eine Herausforderung für alle Projektbeteiligten.

Fazit

Projekte betreffend Zonentrennung und Netzzugangskotrolle sind, wie wohl alle Projekte zur Informationssicherheit, allumfassend. Die Projektleitung muss sich dieser Verantwortung stellen.

Verweise

[1] https://www.comconsult.com/netzsegmentierung/
[2] https://www.comconsult.com/netzzugangskontrolle-nac/