Bundesamt für Sicherheit in der Informationstechnik

M 4.410 Einsatz von Netzwerkzugriffsschutz unter Windows

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Administrator

Unter dem Stichwort Netzwerkzugriffsschutz (englisch: Network Access Protection) werden bei Microsoft Betriebssystemen mehrere Schutztechniken zusammengefasst. Sie steuern den Zugang von einzelnen IT-Systemen zu einem Netz in Abhängigkeit des auf dem jeweiligen IT-System realisierten Sicherheitsniveaus. Auf diese Weise werden die im Netz erreichbaren sensiblen Systeme vor Bedrohungen durch andere Systeme mit mangelnden Sicherheitsvorkehrungen wie veralteten Virensignaturen geschützt.

Microsoft hat unter dem Namen "Network Access Protection" (NAP) einen Mechanismus zum Zugriffsschutz auf Netze in einige Produkte integriert. Die Nutzung von NAP ist optional, sie erfordert mindestens einen Windows Server 2008 sowie Clients mit Windows Vista, Windows 7 oder Windows XP mit Service Pack 3. Dabei steuern Komponenten auf dem Windows-Server den Zugriff durch die Clients. Diese senden beim Anmeldevorgang Informationen über ihr Sicherheitsniveau wie eingespielte Updates oder die Aktualität der Virensignaturen an den Server. Anhand von hinterlegten Sicherheitsregeln ("Policies") entscheidet der Server, ob die Clients auf das Netz zugreifen dürfen, oder ob der Zugriff verweigert oder auf wenige Server begrenzt wird. Diese Server enthalten in der Regel Dienste, die der Client zur Wiederherstellung des gewünschten Zustands benötigt. Das kann ein Update-Mechanismus für Virensignaturen oder Windows-Updates sein.

Der Zugriff zum zu schützenden Netz kann auf verschiedenen Ebenen kontrolliert werden:

  • VPN-Zugang: In diesem Szenario steuert der Windows-Server den Zugriff von über ein VPN angebundenen Computern auf das interne Netz.
  • IPSec: Auch beim Aufbau verschlüsselter Kommunikationskanäle via IPSec kann ein Windows-Server den Sicherheitsstatus des Clients in die Überprüfung einbeziehen.
  • IEEE 802.1X: Hierbei handelt es sich um einen Standard, der die Authentisierung von IT -Systemen in einem Netz als Basis für die Zugriffssteuerung vorsieht. Die Authentisierung erfolgt dabei direkt zwischen Endgerät und einem sogenannten LAN Service Access Point, typischerweise einem Netz-Switch mit entsprechender Funktionalität. In Verbindung mit Windows Server 2008 können IEEE 802.1X-fähige Switches während des Authentisierungsvorgangs auch eine Prüfung des Client-Sicherheitsniveaus anfordern und die Konformität mit den Sicherheitsanforderungen des Netzes prüfen.
  • DHCP: Bei diesem Ansatz wird dem Client in Abhängigkeit von der Prüfung seines Sicherheitsstatus eine DHCP -Konfiguration übermittelt, die entweder den Netzzugriff ermöglicht oder entsprechend beschränkt. Diese Variante ist allerdings durch einen Angreifer leicht auszuhebeln und nicht empfehlenswert.
  • Terminalserver-Access: Auch beim Zugriff von Clients auf einen Windows Terminalserver via RDP kann am Terminalserver-Gateway eine Sicherheitsprüfung via NAP in den Authentisierungsvorgang einbezogen werden.

Je nach Szenario sind die technischen Abläufe und die eingesetzten Komponenten unterschiedlich. In jedem Fall benötigen die Clients eine lokal laufende Komponente namens Systemintegritätsagent (System Health Agent, SHA), der in sogenannten Systemintegritätsprüfungen (System Health Validators, SHVs) die lokalen Parameter der Sicherheitskonfiguration ermittelt und an die Gegenstelle sendet. In Clients mit Windows XP Service Pack 3, Windows Vista und Windows 7 ist ein entsprechender SHA im Betriebssystem integriert, für Clients mit Mac OS X oder Linux sind ebenfalls Implementierungen verfügbar.

Der in Windows verfügbare Client kann die folgenden Zustände prüfen:

  • Auf dem Clientcomputer ist eine Firewall-Software installiert und aktiviert.
  • Auf dem Clientcomputer ist eine Anti-Viren-Software installiert und wird ausgeführt.
  • Auf dem Clientcomputer sind aktuelle Anti-Viren-Updates installiert.
  • Auf dem Clientcomputer ist eine Anti-Spyware-Software installiert und wird ausgeführt.
  • Auf dem Clientcomputer sind Anti-Spyware-Updates installiert.
  • Die Microsoft Update-Dienste sind auf dem Clientcomputer aktiviert.

Die bei der Prüfung beteiligten Serverkomponenten umfassen je nach ausgewähltem Schutzmechanismus eine Integritätsregistrierungsstelle (Health Registration Authority, HRA) zur Ausstellung von Zertifikaten für geprüfte Clients, einen Server zur Übermittlung und Verwaltung von Netz-Richtlinien (Network Policy Server, NPS), der die übermittelten Konfigurationen mit dem Regelwerk abgleicht, sowie sogenannte Erzwingungsserver (Enforcement Server, ES) zur Durchsetzung des Ergebnisses der NAP-Prüfung.

Cisco bietet auf Netzebene unter dem Namen "Network Admission Control" eine eigene Umsetzung eines Netzzugriffsschutz-Konzeptes an. Beide Technologien lassen sich auch kombiniert einsetzen. Dazu integrieren die Cisco-Netzkomponenten eine Abfrage bei einem Windows Network Policy Server in die Prüfung der Clients.

NAP ist ein empfehlenswertes Mittel, um sensible Systeme in einem Netz zusätzlich abzusichern. Der Sicherheitsgewinn darf jedoch nicht überbewertet werden: Da die Agenten zur Ermittlung des Sicherheitsniveaus zwangsläufig auf den Clients selbst laufen, kann ein Angreifer den Client mit administrativem Zugang prinzipiell soweit manipulieren, dass er sich mit falschen Angaben Zugriff zum Netz verschaffen kann. NAP schützt nicht vor zielgerichteten Angriffen ("targeted Attacks"), sondern eignet sich insbesondere zur Schadensbegrenzung bei ungerichteten Angriffen wie Virusinfektionen.

Bei der Planung des Einsatzes von NAP müssen die folgenden Aspekte beachtet werden:

  • Definition der mit NAP verfolgten Schutzziele: Welche Informationswerte sollen mit NAP geschützt werden und gegen welche Gefährdungen sollen diese mit NAP geschützt werden?
  • Planung der NAP-Architektur: Auf der Grundlage welcher technischen Umsetzungsvariante wird NAP eingesetzt? Welche Serverkomponenten kommen zum Einsatz und auf welchen Servern werden diese betrieben?
  • Planung der NAP-Regelwerke: Welche Systeme und Netze sollen durch NAP geschützt werden? Welche Anforderungen bestehen an IT-Systeme, die auf die geschützten Bereiche zugreifen wollen? Welche Dienste müssen für ein abgewiesenes System erreichbar sein, um den gewünschten Zustand wiederherzustellen?
  • Planung der NAP-Administration: Wer hat administrativen Zugriff auf die NAP-Systeme und -Regelwerke? Wer ist verantwortlich für die Aktualität und Pflege der Regelwerke?

Prüffragen:

  • Wurden bei der Planung des Einsatzes von NAP die verfolgten Schutzziele, die NAP-Architektur und die NAP-Administration beachtet?

  • Werden die Ergebnisse der Planung von NAP einschließlich der Regelwerke dokumentiert?

Stand: 13. EL Stand 2013