Die beste Firewall nutzt nichts, wenn die eigenen Mitarbeiter unwissentlich dem Feind in die Festung verhelfen. Code Red, Nimda und andere Epidemien haben gezeigt, dass über externe Windows-Rechner viele Wege auch an einer noch so gut gesicherten Firewall vorbei führen. Im Visier stehen vor allem Laptops mobiler Mitarbeiter sowie externer Berater - aber auch Heimarbeitsplätze. Letztere hängen zwar in der Regel über sichere VPN-Tunnel am Firmennetz, bei Virenbefall im Home-Office bedeutet das aber auch freie Bahn für die Schädlinge. Gefahr geht auch von USB-Speichersteckern aus, mit denen Mitarbeiter unkontrolliert Daten austauschen.
Bisherige Sicherheitsstrategien setzten auf ein Festungskonzept: Interne Anlagen, sprich das Intranet, sollen mit möglichst hohen und dichten Mauern (Firewall) gegen feindliche Angriffe von außen (Hacker, Viren, Würmer) gesichert sein. Diesen Ansätzen mangelte es allerdings an Intelligenz. Zwar mögen Administratoren beispielsweise per Login-Script dafür sorgen, dass die Arbeitsplätze mit aktuellen Viren-Signaturen versorgt und neue Patches aufgespielt werden. Doch damit beugen sie nur künftigen Infektionen vor, wie Forrester-Analyst Robert Whiteley erläutert: "Solche Maßnahmen sind nicht dazu geeignet, um bereits verseuchte Clients zu erkennen und an einem Verbindungsaufbau zu hindern."
Firmen benötigen deshalb Mechanismen, um Netzwerk-Endpunkten den Zugang zu verweigern, wenn sie den Sicherheitsanforderungen nicht genügen. Helfen sollen Netzwerk-Quarantäne-Tools; ihre Idee ist bestechend einfach: Beim Anmelden muss sich nicht nur der Benutzer authentifizieren, auch sein System überprüft das Tool vor dem Eintritt ins Netzwerk zunächst auf Viren- und Wurm-Freiheit.
Microsoft verschiebt eigene Pläne
Bereits jetzt gibt es eine Reihe von Anbietern für solche Sicherheitslösungen, zu ihnen zählen Check Point, Cisco, Enterasys Networks und Sygate. Client-Marktführer Microsoft hat sich in letzter Zeit ebenfalls verstärkt der Lücken seiner Plattform angenommen. So kündigten die Redmonder im Sommer 2004 umfassende Quarantäne-Funktionen für den Windows Server 2003 an.
"Das für 2005 geplante Interims-Release Windows Server 2003 R2 soll eine Erweiterung mit dem Namen 'Network Access Protection' (NAP) enthalten", sagte im Juli 2004 Sam DiStasio, Produktmanager Server bei Microsoft, gegenüber CIO. Doch daraus wird nichts: Im Oktober hat Microsoft die Pläne vorerst auf Eis gelegt und stattdessen eine Zusammenarbeit mit Cisco verkündet. Laut DiStasio soll NAP erst 2007 mit dem nächsten Windows-Server "Longhorn" erscheinen.
Allerdings lägen die Gründe für die Verzögerung nicht in der Produktentwicklung, sondern in der Kompatibilität. Cisco arbeitet nämlich ebenfalls seit längerem unter der Bezeichnung NAC (Network Admission Control) an Quarantäne-Techniken. Presseberichten zufolge hätten Anwenderunternehmen, die Cisco-Router und Switches mit NAC einsetzen, bei einer gleichzeitigen Verwendung von Microsofts NAP mit massiven Kompatibilitätsproblemen rechnen müssen. Nun arbeiten die beiden Marktführer daran, ihre Technologien interoperabel zu machen.
Nach Ansicht von Meta-Group-Analyst Carsten Casper stellt Microsofts Aufschub einen herben Rückschlag für die Kunden dar - dennoch kommt keiner an den beiden Branchenriesen vorbei. Casper geht davon aus, dass nur Anbieterkooperationen Aussicht auf Erfolg haben: "Selbst wenn die Vereinbarung zwischen Microsoft und Cisco scheitern sollte, wird eine Kooperationslösung mehrerer Hersteller in den nächsten Jahren einen De-facto-Standard hervorbringen.
Erste Ansätze für Endpoint-Security hat Microsoft bereits im Windows Server 2003 integriert. Dieser verfügt mit Network Access Quarantine Control bereits über Basisfunktionen. Vergleichbares enthält auch der ISA Server 2004. Im Wesentlichen handelt es sich um zwei Funktionen: Ein Script kontrolliert den anfragenden Client auf die Einhaltung der Netzwerkrichtlinien. Werden diese nicht erfüllt, erfolgt eine Umleitung auf Ausweichressourcen wie etwa einer Intranet-Seite mit weiterführenden Informationen. Die zweite Komponente am Desktop dient dazu, den Server bei erfolgreicher Prüfung zu benachrichtigen, dass der Verbindungsaufbau zulässig ist.
Zwei Wege, ein Ziel
Um Netzwerk-Quarantäne zu implementieren, stehen zwei Technologien zur Verfügung. Bei der ersten Lösung handelt es sich um Server-Software. Diese sortiert nach sicheren und unsicheren Clients, differenziert dabei anhand der IP-Netzwerkadressen und lenkt die abgewiesenen Gäste auf einen Patch- oder Antiviren-Server um. Beim Port-Verfahren wird die Quarantäne-Prüfung eine Protokollebene darunter innerhalb der Netzwerk-Appliances des Firmen-LAN vorgenommen.
Beide Verfahren haben Vor- und Nachteile. Server-Lösungen kosten weniger und sind einfacher einzuführen, weil sie als Zusatzsoftware auf bestehenden Servern installiert werden. Dagegen muss bei der Port-Technologie oft neue Hardware gekauft und Software aktualisiert werden. Vergleicht man beide Varianten anhand ihrer Zuverlässigkeit, wendet sich das Blatt jedoch zu Gunsten des Port-Verfahrens: Dabei findet auf einer für manipulativen Softwarecode unerreichbar tief liegenden Netzprotokollebene eine Aufteilung in voneinander unabhängige Netzsegmente statt. Das Quarantäne-Segment ist logisch völlig abgeschottet von anderen Netzbereichen. Hingegen bleibt bei einer Software-Quarantäne ein Risiko für Infektionen und Einbrüchen bestehen, sofern es glingt, die Anwendungslogik auszuhebeln.
Die Prüfung der Sicherheitsmerkmale kann auf zweierlei Weise erfolgen. Viele Lösungen setzen auf einen am Client lokal installierten Agenten. Dieser Software-Außenposten beschleunigt den Eintritt: Bei Anmeldung im Netz verfügt der Agent bereits über Analysedaten, die er dem Scan-Server zügig übermittelt. Ohne Client-Agenten muss der Scan-Server bei jedem Verbindungsaufbau die Prüfung selbst durchführen, was die Anmeldeprozedur verlängert.
Bezeichnenderweise dominieren bei den Tools zur Client-Analyse etablierte Desktop-Firewall-Hersteller wie Zone Labs (gehört mittlerweile zu Check Point) und Sygate. Beide Anbieter haben jahrelange Erfahrung mit der Desktop-Abschottung und beliefern deshalb auch andere Quarantäne-Anbieter.
CIOs müssen sich nach Meinung der Forrester-Analysten keinesfalls auf eine der beiden Varianten mit Server- oder Port-Technik festlegen. Bei einer schrittweisen Einführung lassen sich beide Varianten sinnvoll kombinieren. Cisco-Kunden sollten NAC über den Weg eines üblichen IOS-Geräte-Upgrades einführen. Alle Nicht-Cisco-Anwender sind auch mit Lösungen der übrigen Anbieter gut bedient. Grundsätzlich empfiehlt aber Meta-Analyst Casper, die Aktivitäten von Cisco im Auge zu behalten: "Gegenwärtig bestimmt Cisco die Marschgeschwindigkeit. Bis zur Verfügbarkeit eines Standards sollten Anwender daher möglichst darauf achten, dass ihr Hersteller den Cisco-Ansatz unterstützt.