Projektinterview: Beratung und Unterstützung zum Thema Netzwerkzugangskontrolle (NAC) bei einer Stadtverwaltung

Daniel Prinzen startete bei ComConsult als studentische Hilfskraft und wurde nach seinem Abschluss zum Diplom-Informatiker im Jahr 2010 als fest angestellter Berater in das Competence Center IT-Sicherheit übernommen.

Daniel, Dein Spezialgebiet bei ComConsult ist die Netzwerkzugangskontrolle. Was beinhaltet das genau?

Die Netzwerkzugangskontrolle oder Network Access Control (kurz NAC) ist eigentlich eine ganz simple Idee und meint, dass wir einen „Türsteher“ für das On-Premises-Access-Netzwerk aufbauen, der unberechtigte Zugriffsversuche auf das Netzwerk verhindert. Wir kümmern uns vor allem um die Welt der Endgeräte, die an das Netzwerk angeschlossen werden. In der WLAN-Welt ist das ziemlich einfach und es gibt wenig Beratungsbedarf. Warum? In der Kabelwelt sieht das anders aus. Der Kunde braucht von uns Unterstützung für seine IT-Infrastruktur. NAC impliziert hier auch den intensiven Austausch mit den Kollegen von den Endgeräten. Wir stimmen zum Beispiel die Prozesse für die erste Installation von Komponenten ab, denn nur über Prozesse kann man Henne-Ei-Probleme lösen. Es ist beispielsweise wichtig, von Anfang an den Einkaufsprozess zu optimieren und zu klären, ob neue Assets in einem Register als Wirtschaftsgut registriert werden. Zwar haben viele Unternehmen wegen Leasingrückläufern und Ähnlichem Wirtschaftsdaten, doch liegen detaillierte technische Daten oft nicht vor. Wird ein neues Gerät im Karton angeliefert, sollte es nicht nur einfach eingescannt, sondern auch die MAC-Adresse mit aufgenommen werden, denn darüber kann das Endgerät zumindest rudimentär identifiziert werden.

Welche Ausgangssituation findet ihr bei den Unternehmen vor, die ihre Netzwerke besser absichern sollen?

Wenn wir ein NAC-Projekt starten, ist die Frage wichtig, welches Ziel mit der NAC-Lösung erreicht werden soll, denn man kann das Thema Netzwerkzugangskontrolleauf unterschiedlich hohen Niveaus angehen. Einerseits kann man eine Netzwerkzugangskontrolle auf eine sehr rudimentäre Art und Weise aufbauen. Es gibt dann nur den besagten einfachen „Türsteher“, der prüft, ob MAC-Adressen auf einer Liste stehen oder nicht und eine Schwarz-Weiß-Entscheidung trifft. Solch ein „Hello-World-Programm“ reicht für viele Kunden und ist für sie auch schon Herausforderung genug. Da muss man dann eben mit dem Kunden offen drüber sprechen. Wir ermitteln mit ihm, welchen Reifegrad die Prozesse innerhalb seiner Unternehmung haben. Durch unsere gezielten Fragen reflektiert der Kunde über seine internen Abläufe und überlegt zum Beispiel: „Haben wir eigentlich einen geregelten Meldeweg für neue Geräte oder kauft der Schulleiter einfach einen neuen Switch und ein paar neue Endgeräte im Elektronikfachmarkt?“ Wenn es für die Prozesse keine Standardisierung und kein Freigabeverfahren gibt und jeder x-beliebige Mitarbeiter technisches Equipment kauft und einsetzt, gibt es ein echtes Problem, und zwar allein schon auf der niedrigen Ebene der MAC-Adressen-Welt. Auf der anderen Seite gibt es Unternehmen, bei denen alle Neuanschaffungen über die IT-Abteilung laufen, die einen internen Produktkatalog verwaltet. Die zentrale IT-Verwaltung macht klare Vorgaben, welche Switches beschafft werden oder welche Modelle für neue Telefone infrage kommen. Das Gleiche gilt für Drucker, WLAN-Accesspoints, Videoanlagen und so weiter. Wenn ein Kunde diese Prozesse schon etabliert hat, beraten wir das Unternehmen, wie es die nächste Stufe eines höheren Sicherheitsniveaus erreichen kann.

Eine Stadtverwaltung hatte Beratungsbedarf zum Themenbereich Netzwerkzugangskontrolle. Wer war euer Ansprechpartner?

Wir haben mit der zentralen IT-Verwaltung zusammengearbeitet. Im Falle unseres Kunden war das eine kleine Abteilung mit einer Handvoll Mitarbeitern, die sich um die komplette Netzwerk-
infrastruktur der Stadt kümmerte. Die Mitarbeiter waren auch für alle angeschlossenen Liegenschaften wie Rathäuser, Feuerwehren, Schulen und so weiter zuständig, wobei sich das aufwändiger anhört, als es ist, denn das sind einzelne Gebäude, die oft nur über einen Switch verfügen.

Gab es einen Anlass, dass der Kunde sein Netzwerk besser absichern wollte?

Es war tatsächlich ein vorausschauendes Eigeninteresse der verantwortlichen Mitarbeiter. Mir ist nicht bekannt, dass unserer Beauftragung eine offizielle Auflage oder ein Audit vorausgegangen wäre.

Zunächst habt ihr einen umfangreichen Grundlagen-Workshop für die Mitarbeiter der IT-Abteilung durchgeführt. Was waren die Inhalte?

Wir haben in dem Workshop einen Überblick über alle relevanten Inhalte sowohl aus Management- als auch aus Technik-Sicht gegeben. Mir ist es am Anfang der Projekte immer wichtig, dass der Kunde das Potential von Network Access Control wirklich versteht und erkennt, was damit möglich ist und was nicht.

Später beauftragte der Kunde ComConsult mit einem Workshop zum Thema „Zertifikatsbasierte Authentifizierung“.

Richtig. Wir haben dem Kunden die sogenannte EAP-Authentisierungsmethode zur Erhöhung der Sicherheit vorgeschlagen, die auf den Endgeräten aktiviert wird und mit der die eigenen Identitäten verwaltet werden. Wir haben in dem Workshop die Abhängigkeiten besprochen, die eine Zertifikatsverwaltung mit sich bringt. Unter anderem haben wir die PKI-Technologie vorgestellt, die im Idealfall hausintern betrieben werden sollte, weil sonst schnell die Kosten explodieren und im Bereich NAC auch keine offiziell signierten Zertifikate benötigt werden. Während des Workshops kam dann jedoch die Frage auf, ob eine Umsetzung aus Zeit- und Geldgründen realistisch wäre.

Für welche Vorgehensweise wurde sich entschieden?

Innerhalb der Stadtverwaltung gibt es relativ wenig Bewegung. Es werden nicht jeden Tag neue Komponenten gekauft. Man muss sich das so vorstellen, dass vielleicht zwei E-Mails pro Woche reinkommen, in denen ein defektes Endgerät gemeldet wird, das ausgetauscht werden muss. Und das lässt sich auch ganz hemdsärmelig ohne professionelle Tools über Telefonate und E-Mail-Korrespondenz bearbeiten. Wir haben beschlossen, erst einmal „kleine Brötchen zu backen“ und zunächst als kurzfristiges Ziel den Standard 802.1X in der gesamten IT-Infrastruktur umzusetzen, doch dabei auf allen Endgeräten vorerst nur anhand der MAC-Adressen zu arbeiten.

Wie wurde das Ziel umgesetzt?

Es wurden neue RADIUS-Server angeschafft und in Betrieb genommen. Aus technischer Sicht ist das eine recht einfache Sache. Psychologisch gesehen ist es allerdings wichtig, dass das Zutrauen besteht, dass sie sauber und einwandfrei laufen und keine Störungen oder Probleme auftreten können. Wenn zum Beispiel der zentrale PC bei der Leitstelle der Feuerwehr nicht mehr funktioniert, ist das natürlich ein absolutes No-Go. Deshalb liefen die Inbetriebnahme der Server und die Aktivierung an allen Switches sehr vorsichtig ab. Der Kunde hat die Umsetzung weitestgehend eigenständig durchgeführt. In dieser Zeit haben wir losen Kontakt mit dem Kunden gehalten und bei Bedarf bei der Optimierung geholfen. Wir haben bei der Grundlagenkonfiguration unterstützt und beim Troubleshooting geholfen, wenn es irgendwo Probleme gab.
FreeRADIUS ist ein Open-Source-Produkt, das auf einem Linux-Basisbetriebssystem läuft. Man muss bei den Open-Source-Linux-Derivaten darauf achten, dass man mit dem Stand der Technik geht. Wir haben dann bei der Migration auf das aktuelle Linux-Derivat unterstützt. Auch die Version des eigentlichen Produktes FreeRADIUS hatte sich zwischenzeitlich von Version 2 auf Version 3 weiterentwickelt und viele Konfigurationsdetails hatten sich geändert. Wir haben ein zweites System parallel aufgezogen und eine Teststellung der neuen Version installiert. Nachdem wir vor Ort an einem Pilotswitch verschiedene Versuche vorgenommen hatten und alles sauber lief, wurde die neue Systematik zum produktiven Server deklariert und es fand eine saubere, einfache Migration vom alten auf den neuen Server statt, indem der alte Server virtuell vom Netz getrennt wurde. Der neue Server mit der gleichen IP-Adresse hat dann einfach den Job übernommen.

Wurde das Thema Zertifikatsverwaltung noch in Angriff genommen?

Ja. In einem zweiten Schritt haben wir vorgeschlagen, dass wir uns das Protokoll EAP-TLS zur sicheren Endgeräteauthentisierung gemeinsam näher anschauen. Wir haben auch hier wieder zunächst einen Proof of Technique durchgeführt und in einer Pilotstellung parallel eine Infrastruktur aufgebaut, in der wir die EAP-Fähigkeit von bestimmten Endgeräten wie Windows-PCs und Telefonie-Produkten getestet und am Ende die Machbarkeit bewiesen haben. Der Kunde äußerte weiterhin den Wunsch nach einer dynamischen Autorisierung. Hierbei werden die Endgeräte beispielsweise verschiedenen VLANs zugeteilt. Der RADIUS-Server kann steuern, dass zum Beispiel ein bestimmtes Telefonie-Produkt in ein Voice-VLAN gehört und ein Windows-PC in eine Windowsdomänen-Umgebung. Ziel war es, dass sich am Ende in bestimmten VLANs nur sichere, EAP-fähige Geräte befinden.

Ein gut gepflegtes IT-Asset-Management sollte für jede Unternehmung von großer Bedeutung sein. Warum?

Wir wissen aus unseren vielen Projekten, wie unfassbar wichtig das Asset-Management ist. Wenn ein Mitarbeiter offiziell ein neues Endgerät beschafft, dabei jedoch den Meldeweg nicht einhält, gilt die neue Komponente als Fremd-Equipment und ist nicht für das unternehmensinterne Netzwerk zugelassen. Dann steht der Endanwender, der von den Sicherheitsmaßnahmen nichts weiß, mit einem Canon-Techniker vor seinem neu angeschafften Multifunktionsdrucker und fragt sich, warum der Drucker nicht funktioniert. Es werden Tickets aufgemacht und der Hersteller involviert, obwohl der Drucker schlicht und einfach nur deshalb nicht läuft, weil die Freischaltung im Netzwerk nicht erfolgt ist. So etwas darf einfach nicht passieren. Es sollte sehr viel Wert daraufgelegt werden, dass sauber kommuniziert wird, jedes neue Endgerät bei der zentralen IT zu melden.

Wir haben in unseren Projekten ebenfalls festgestellt, dass es wichtig ist, einen organisatorischen Prozess für eine temporäre Freischaltung zu schaffen. Gerade bei großen Unternehmen muss gewährleistet sein, dass man bei einer Störung mit einem Anruf beim First-Level-Support schnell Hilfe bekommt. Die Techniker sind ja nicht in der 24/7-Rufbereitschaft und schlicht nicht immer erreichbar. Kommt es zu einer Störung bei einem Endgerät, sollte der First-Level-Support deshalb vorübergehend für beispielsweise 24 Stunden eigenständig das Gerät freischalten können, damit der Betrieb weitergeht. Mir ist es wichtig, dass der Kunde solche Resilienz-Gedanken versteht und nicht unbedingt die knallharte Schiene fährt und sagt: „Du hast das Gerät nicht gemeldet, dann hast du eben Pech gehabt und musst jetzt warten“. Gleichzeitig muss verhindert werden, dass sich allzu leicht ein „illegaler“ Zugriff erschlichen werden kann. Dafür sollte besagter First-Level-Support ein paar geschickt gestellte Fragen zur Identifizierung des Anrufers einbauen.

Hat es bei der Stadtverwaltung Veränderungen in den Prozessen ihrer Geräteverwaltung gegeben?

Der Kunde hatte sich dazu entschieden, seine Prozesse nicht zu ändern. Wie gesagt handelte es sich um eine recht kleine Stadtverwaltung. Die Verantwortlichen hielten den zeitlichen und monetären Aufwand für zu hoch. Sie waren der Meinung, dass sie damit leben können, wenn eine Schule mal einen Tag kein Netzwerk hat oder im Rathaus der Drucker einen Tag stillsteht. Das ist gefühlte Realität. Ihre Situation ist nicht mit der von beispielsweise VW zu vergleichen, wo tausende Autos bei einem Problem nicht gebaut werden können, weil das Netzwerk stillsteht. Die Einstellung „Wenn es eine Störung gibt, wird sich schon jemand melden“ ist für mich im Herzen zwar der absolute Worst Case, denn ich möchte ja das Maximum an Sicherheit und Betriebsstabilität für den Kunden erreichen. Doch es ist natürlich auch der günstigste und am wenigsten aufwändige Weg, und inzwischen akzeptiere ich eine solche Entscheidung.

Worin siehst du in deiner Rolle als Berater in einem NAC-Projekt deine Hauptaufgabe?

In meinen vielen Jahren als Berater habe ich eine Menge Situationen erlebt, in denen Kunden blauäugig in unzählige Fettnäpfchen getreten sind, weil sie bestimmte Zusammenhänge nicht berücksichtigt oder erkannt haben. Das aus diesen Erfahrungen gewonnene Know-how gebe ich an meine Kunden weiter. Meine Aufgabe ist es, zu erklären, wie etwas funktioniert, dem Kunden beratend zur Seite zu stehen und auf gewisse Abhängigkeiten mit dem Ziel aufmerksam zu machen, dass er am Ende fehlerfrei und sicher seine Systeme selbstständig betreibt.