Im Netzwerk Insider vor über 20 Jahren: NAC und IEEE 802.1X

01.11.21 / Dr. Markus Ermes

Markus Ermes

Vor 20 Jahren wurden im Netzwerk Insider Netzzugangskontrolle (Network Access Control – NAC) und IEEE 802.1X beschrieben. Was war damals der Stand? Was hat sich verändert? Wie verbreitet ist es heute?

Netzzugangskontrolle vor 20 Jahren

Schon vor 20 Jahren stellte man sich die Frage, ob und wie man sicherstellen kann, dass an einem bestimmten Netzwerk-Port nur bestimmte Endgeräte angeschlossen werden. Es gab damals schon verschiedene Möglichkeiten, dies umzusetzen. Besonders häufig: Access Control Lists auf Ebene der Switches. Damit kann pro Netzwerk-Port definiert werden, welche MAC-Adressen zugelassen werden. Leider hatte diese Technik erhebliche Schwächen: Bei mobilen Systemen, vor allem Notebooks, mussten entweder viele ACLs geschrieben oder das jeweilige Gerät immer an einem Ort eingesetzt werden. Außerdem lässt sich eine MAC-Adresse sehr leicht fälschen, und damit ist der Schutz durch eine ACL auch leicht zu umgehen. Die Lösung: Netzzugangskontrolle nach IEEE 802.1X. Der Standard existierte schon damals, und alle relevanten Hersteller unterstützten ihn. Es zeichnete sich früh ab, dass IEEE 802.1X ein sinnvolles Werkzeug für die Absicherung des Netzwerks ist.

Wie hat sich NAC entwickelt?

Auch NAC hat sich weiterentwickelt. 2004 und 2010 gab es Revisionen des Standards. Besonders interessant: Im alten Standard wurden Sicherheitslücken entdeckt, die eine Übernahme einer bestehenden Sitzung durch einen Angreifer ermöglichten. Diese wurden in der letzten Revision durch zusätzliche Mechanismen geschlossen. Die Grundlagen sind jedoch nach wie vor identisch. Damals wurde im Netzwerk Insider eine rosige Zukunft für IEEE 802.1X vorausgesagt, und dies hat sich auch erfüllt.

Viele großen Netzwerk-Ausrüster bieten aktuell Netzzugangskontrolle auf Basis von IEEE 802.1X an. Egal ob Cisco, Aruba oder Open-Source-Lösung, der Standard wird breit unterstützt und hat sich durchgesetzt. Manche Hersteller bieten noch zusätzliche Funktionen oder ein besonders umfangreiches grafisches Interface an, wie zum Beispiel Cisco mit der Identity Service Engine (ISE).

Wie verbreitet ist IEEE 802.1X heute?

Viele Kunden der ComConsult GmbH setzen erfolgreich eine Netzzugangskontrolle ein. Diese basiert in den allermeisten Fällen ebenfalls auf IEEE 802.1X. Doch NAC ist auch heute noch nicht flächendeckend im Einsatz, denn es gibt bei der Einführung oder dem Betrieb immer wieder Hindernisse oder Schwierigkeiten. Besonders beliebt: Wichtige Systeme aussperren und damit den Betrieb lahmlegen. Daher ist selbst in Umgebungen, in denen NAC eingesetzt wird, oftmals ein Mechanismus vorhanden, um im Zweifelsfall NAC abzuschalten, um den Betrieb aufrechtzuerhalten.

Fazit

IEEE 802.1X war damals zwar relativ neu, doch zeichnete sich schon eine Erfolgsgeschichte ab. In den letzten 20 Jahren haben viele Projekte mit NAC-Bezug gezeigt, wie sinnvoll eine Netzzugangskontrolle sein kann, wobei das Ganze nicht immer problemlos funktioniert.

Anwendungsneutrale IT-Verkabelung richtig geplant
19.11.-20.11.2024 in Bonn | online

Der Netzwerk Insider gehört mit seinen Produkt- und Markt-Bewertungen rund um IT-Infrastrukturen zu den führenden deutschen Technologie-Magazinen. Der Bezug des Netzwerk Insiders ist kostenlos.