NAC - Network Access Control

Network Access Control (NAC) ist die Netzzugangskontrolle in der Netzwerktechnik. Darunter versteht man Standards, Systeme und Komponenten zur Zugriffsbeschränkung und zum Schutz vor unautorisiertem Zugriff durch Unbefugte für die eigene Netzinfrastruktur.

„Authentication Authorization Accounting“, kurz AAA, steht für ein Sicherheitskonzept in dem die drei Hauptaufgaben Authentifizierung, Autorisierung und Accounting zusammengefasst sind. Mit AAA kann man die Zugangskontrolle in einem Netzwerk organisieren.

IEEE 802.1x ist ein sicheres Authentifizierungsverfahren für Zugangskontrollen in lokalen Netzwerken (LAN). Im Zusammenhang mit IEEE 802.1x werden auch häufig EAP und RADIUS genannt.

Zugangspunkte

Der Zugang zu einem Netzwerk und der Zugriff auf darin befindliche Ressourcen sind vielfältig. Hierbei unterscheidet man zwischen physischen und logischen Zugangspunkten, sowie internen und externen Zugangspunkten.

  • klassischen Access Switch (physisch/intern)
  • WLAN-APs oder -Controller (physisch/intern)
  • VPN-Gateways und Firewalls (logisch/extern)

Geräteklassen und Gerätearten

Die Endgeräte, mit denen auf ein Netzwerk zugegriffen werden, existieren in einer großen Zahl und Vielfalt. Erschwerend ist, dass immer mehr private oder privat genutzte Geräte (Bring Your Own Device, BYOD) zum Einsatz kommen.

Gleichzeitig wollen alle diese Geräte Zugang zu verschiedenen Ressourcen in unterschiedlichen Sicherheitszonen bekommen. Die Systeme der Netzzugangskontrolle stellen sicher, dass nur authentifizierte und autorisierte Endgeräte und Nutzer auf das Netzwerk gemäß der Unternehmensrichtlinie zugreifen können.

Beispiel: Netzzugangskontrolle mit AAA

Vereinfachte Darstellung der Funktionsweise von AAA

Ein Nutzer möchte mit seine Client einen Dienst auf einem Server im Netzwerk in Anspruch nehmen. Ein Network Access Server (NAS) bietet diesen Dienst oder den Zugang zum Dienst (Server im LAN) an. Der Client greift auf den NAS zu. Der NAS befragt seinen AAA-Server, der Informationen über die Berechtigung zur Nutzung von Diensten bereitstellt und alles aufzeichnet. Der AAA-Server bestätigt die Freigabe oder lehnt sie ab. Aufgrund der Berechtigung gibt der NAS dem Client den Zugang frei oder lehnt ihn ab.

Beispiel: Netzzugangskontrolle mit IEEE 802.1x

Authentisierung / Authentication

Die Bestandteile einer Authentifizierung mit IEEE 802.1x sind der Supplicant (Antragsteller), der Authenticator (Beglaubigter) und ein Authentication Server, der den Antrag des Supplicant überprüft und seine Entscheidung dem Authenticator mitteilt.
Der Supplicant ist eine Client-seitige Komponente, die für alle gängigen Betriebssysteme existiert und in der die Verfahren für Schlüsselaustausch und Authentifizierung implementiert sind. Der Authenticator regelt den Zugang zum Netz. Solange ein Client nicht authentifiziert ist, werden nur Pakete zur Authentifizierung akzeptiert. Erst im Erfolgsfall wird jeglicher Verkehr zugelassen.
Der Authentication Server bekommt vom Authenticator Anfragen weitergeleitet. Er ist die Instanz, die den Zugang zum Netzwerk erlaubt oder verweigert. Der Authentication Server wird in der Regel durch einen RADIUS-Server implementiert.

Authentifizierung / Authentication

Authentifizierung bedeutet, die Identität zu überprüfen. Zum Beispiel Benutzername und Passwort.

Autorisierung / Authorization

Bei der Autorisierung bzw. Authorization stellt man fest, ob ein bestimmter Benutzer einen bestimmten Dienst nutzen darf. Nur weil sich der Benutzer authentifiziert hat, bedeutet das nicht, dass er auch berechtigt ist einen bestimmten Dienst zu nutzen. Wenn hinter einer Authentifizierung mehrere Dienste angeboten werden, dann macht es Sinn auch die Berechtigungen zu prüfen, wenn nicht alles pauschal freigegeben sein soll.

Protokollieren / Accounting

Beim Protokollieren bzw. Accounting geht es darum, die Nutzung eines Dienstes durch einen Benutzer festzuhalten und zu dokumentieren. Später kann die Nutzung zum Beispiel abgerechnet werden. Es ist aber auch denkbar, die Nutzungsabläufe des Benutzers für Service-Fälle fest zu halten, um Fehler aufzuspüren.

Authentifizierungsfunktionen

  • IEEE 802.1x/EAP
  • MAC-basierte Authentifizierung
  • Web-basierte Authentifizierung
  • TACACS+
  • IEEE 802.13g (MACsec) als Ergänzung zu IEEE 802.1x
  • Port-Based Network Access Control

2FA - Zwei-Faktor-Authentifizierung

Bei der Zwei-Faktor-Authentifizierung (2FA) handelt es sich um die Authentifizierung mit Benutzername, Passwort und einem zusätzlichen zweiten Faktor. Der erste Faktor ist in der Regel ein Passwort. Ein zusätzlicher zweiter Faktor bietet einen erheblichen Sicherheits­gewinn gegenüber Verfahren mit nur einem Faktor.

Zero Trust

Zero Trust ist ein Sicherheitskonzept, bei dem generell jedem Netzwerkverkehr, unabhängig von seiner Herkunft, misstraut wird. Teil des Konzepts ist, dass jeder Zugriff einer Zugangskontrolle und jede Verbindung einer Verschlüsselung unterliegt.

Protokolle für die Authentifizierung

Weitere verwandte Themen:

Frag Elektronik-Kompendium.de

Netzwerktechnik-Fibel

Alles was Sie über Netzwerke wissen müssen.

Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.

Das will ich haben!

Netzwerktechnik-Fibel

Alles was Sie über Netzwerke wissen müssen.

Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.

Das will ich haben!

Alles was Sie über Kommunikationstechnik wissen müssen.

Kommunikationstechnik-Fibel

Die Kommunikationstechnik-Fibel ist ein Buch über die Grundlagen der Kommunikationstechnik, Übertragungstechnik, Netze, Funktechnik, Mobilfunk, Breitbandtechnik und Voice over IP.

Das will ich haben!