NAC - Network Access Control
Network Access Control (NAC) ist die Netzzugangskontrolle in der Netzwerktechnik. Darunter versteht man Standards, Systeme und Komponenten zur Zugriffsbeschränkung und zum Schutz vor unautorisiertem Zugriff durch Unbefugte für die eigene Netzinfrastruktur.
„Authentication Authorization Accounting“, kurz AAA, steht für ein Sicherheitskonzept in dem die drei Hauptaufgaben Authentifizierung, Autorisierung und Accounting zusammengefasst sind. Mit AAA kann man die Zugangskontrolle in einem Netzwerk organisieren.
IEEE 802.1x ist ein sicheres Authentifizierungsverfahren für Zugangskontrollen in lokalen Netzwerken (LAN). Im Zusammenhang mit IEEE 802.1x werden auch häufig EAP und RADIUS genannt.
Zugangspunkte
Der Zugang zu einem Netzwerk und der Zugriff auf darin befindliche Ressourcen sind vielfältig. Hierbei unterscheidet man zwischen physischen und logischen Zugangspunkten, sowie internen und externen Zugangspunkten.
- klassischen Access Switch (physisch/intern)
- WLAN-APs oder -Controller (physisch/intern)
- VPN-Gateways und Firewalls (logisch/extern)
Geräteklassen und Gerätearten
Die Endgeräte, mit denen auf ein Netzwerk zugegriffen werden, existieren in einer großen Zahl und Vielfalt. Erschwerend ist, dass immer mehr private oder privat genutzte Geräte (Bring Your Own Device, BYOD) zum Einsatz kommen.
Gleichzeitig wollen alle diese Geräte Zugang zu verschiedenen Ressourcen in unterschiedlichen Sicherheitszonen bekommen. Die Systeme der Netzzugangskontrolle stellen sicher, dass nur authentifizierte und autorisierte Endgeräte und Nutzer auf das Netzwerk gemäß der Unternehmensrichtlinie zugreifen können.
Beispiel: Netzzugangskontrolle mit AAA
Ein Nutzer möchte mit seine Client einen Dienst auf einem Server im Netzwerk in Anspruch nehmen. Ein Network Access Server (NAS) bietet diesen Dienst oder den Zugang zum Dienst (Server im LAN) an. Der Client greift auf den NAS zu. Der NAS befragt seinen AAA-Server, der Informationen über die Berechtigung zur Nutzung von Diensten bereitstellt und alles aufzeichnet. Der AAA-Server bestätigt die Freigabe oder lehnt sie ab. Aufgrund der Berechtigung gibt der NAS dem Client den Zugang frei oder lehnt ihn ab.
Beispiel: Netzzugangskontrolle mit IEEE 802.1x
Die Bestandteile einer Authentifizierung mit IEEE 802.1x sind der Supplicant (Antragsteller), der Authenticator (Beglaubigter) und ein Authentication Server, der den Antrag des Supplicant überprüft und seine Entscheidung dem Authenticator mitteilt.
Der Supplicant ist eine Client-seitige Komponente, die für alle gängigen Betriebssysteme existiert und in der die Verfahren für Schlüsselaustausch und Authentifizierung implementiert sind. Der Authenticator regelt den Zugang zum Netz. Solange ein Client nicht authentifiziert ist, werden nur Pakete zur Authentifizierung akzeptiert. Erst im Erfolgsfall wird jeglicher Verkehr zugelassen.
Der Authentication Server bekommt vom Authenticator Anfragen weitergeleitet. Er ist die Instanz, die den Zugang zum Netzwerk erlaubt oder verweigert. Der Authentication Server wird in der Regel durch einen RADIUS-Server implementiert.
Authentifizierung / Authentication
Authentifizierung bedeutet, die Identität zu überprüfen. Zum Beispiel Benutzername und Passwort.
Autorisierung / Authorization
Bei der Autorisierung bzw. Authorization stellt man fest, ob ein bestimmter Benutzer einen bestimmten Dienst nutzen darf. Nur weil sich der Benutzer authentifiziert hat, bedeutet das nicht, dass er auch berechtigt ist einen bestimmten Dienst zu nutzen. Wenn hinter einer Authentifizierung mehrere Dienste angeboten werden, dann macht es Sinn auch die Berechtigungen zu prüfen, wenn nicht alles pauschal freigegeben sein soll.
Protokollieren / Accounting
Beim Protokollieren bzw. Accounting geht es darum, die Nutzung eines Dienstes durch einen Benutzer festzuhalten und zu dokumentieren. Später kann die Nutzung zum Beispiel abgerechnet werden. Es ist aber auch denkbar, die Nutzungsabläufe des Benutzers für Service-Fälle fest zu halten, um Fehler aufzuspüren.
Authentifizierungsfunktionen
- IEEE 802.1x/EAP
- MAC-basierte Authentifizierung
- Web-basierte Authentifizierung
- TACACS+
- IEEE 802.13g (MACsec) als Ergänzung zu IEEE 802.1x
- Port-Based Network Access Control
2FA - Zwei-Faktor-Authentifizierung
Bei der Zwei-Faktor-Authentifizierung (2FA) handelt es sich um die Authentifizierung mit Benutzername, Passwort und einem zusätzlichen zweiten Faktor. Der erste Faktor ist in der Regel ein Passwort. Ein zusätzlicher zweiter Faktor bietet einen erheblichen Sicherheitsgewinn gegenüber Verfahren mit nur einem Faktor.
Zero Trust
Zero Trust ist ein Sicherheitskonzept, bei dem generell jedem Netzwerkverkehr, unabhängig von seiner Herkunft, misstraut wird. Teil des Konzepts ist, dass jeder Zugriff einer Zugangskontrolle und jede Verbindung einer Verschlüsselung unterliegt.
Protokolle für die Authentifizierung
- PAP - Password Authentication Protocol
- CHAP - Challenge Handshake Authentication Protocol
- MS-CHAP - Microsoft CHAP
Weitere verwandte Themen:
- RAS - Remote Access Service
- EAP - Extensible Authentication Protocol
- WLAN-Authentifizierung
- IEEE 802.1x / RADIUS
- Grundlagen der Netzwerk-Sicherheit
Teilen
Netzwerktechnik-Fibel
Alles was Sie über Netzwerke wissen müssen.
Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.
Netzwerktechnik-Fibel
Alles was Sie über Netzwerke wissen müssen.
Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.
Alles was Sie über Kommunikationstechnik wissen müssen.
Kommunikationstechnik-Fibel
Die Kommunikationstechnik-Fibel ist ein Buch über die Grundlagen der Kommunikationstechnik, Übertragungstechnik, Netze, Funktechnik, Mobilfunk, Breitbandtechnik und Voice over IP.