Network Access Control - Versionsgeschichte

Invisigoth67: typo

2024-03-03T15:55:21Z

typo

← Nächstältere Version		Version vom 3. März 2024, 17:55 Uhr
Zeile 72:		Zeile 72:
	* Die reine Betrachtung der Geräte aus dem Active Directory ist relativ einfach und in der Regel zur Vereinfachung der Pflege auch sinnvoll. Zu beachten ist aber, dass die Definition, welche AD-Geräte-Gruppen in welches [[Segment (Netzwerk)\|Netzwerksegment]] bzw. VLAN gesteuert werden sollen, gut geplant und strukturiert sein muss, damit Änderungen an der einen oder anderen Seite keine Schwierigkeiten verursachen.		* Die reine Betrachtung der Geräte aus dem Active Directory ist relativ einfach und in der Regel zur Vereinfachung der Pflege auch sinnvoll. Zu beachten ist aber, dass die Definition, welche AD-Geräte-Gruppen in welches [[Segment (Netzwerk)\|Netzwerksegment]] bzw. VLAN gesteuert werden sollen, gut geplant und strukturiert sein muss, damit Änderungen an der einen oder anderen Seite keine Schwierigkeiten verursachen.
	* Die reine Betrachtung der Benutzer aus dem AD ist definitiv nicht ausreichend. Mit dieser Methode ist jeder Mitarbeiter in der Lage, beliebige Geräte mitzubringen und im Netzwerk zu betreiben – echtes Network Access Control ist damit nicht mehr möglich, da ungesicherte Geräte jederzeit vollen Zugriff erlangen können.		* Die reine Betrachtung der Benutzer aus dem AD ist definitiv nicht ausreichend. Mit dieser Methode ist jeder Mitarbeiter in der Lage, beliebige Geräte mitzubringen und im Netzwerk zu betreiben – echtes Network Access Control ist damit nicht mehr möglich, da ungesicherte Geräte jederzeit vollen Zugriff erlangen können.
	* Eine Kombination von Benutzern und Geräten aus dem AD zur Ermittlung der spezifischen Zugriffsrechte ist in der Regel nicht ganz einfach und erzeugt eine hohe Komplexität. Sollen tatsächlich unterschiedliche Zugänge für verschiedene Benutzer an dem gleichen Endgerät gewährt werden, müssen diese Regeln jedoch genau geplant und sorgfältig umgesetzt werden. Je nach Komplexität der Wünsche kann dies einen erheblichen Aufwand bedeuten, bei dem vorher genau analysiert werden sollte, ob es denn überhaupt zielführend und oder notwendig ist.		* Eine Kombination von Benutzern und Geräten aus dem AD zur Ermittlung der spezifischen Zugriffsrechte ist in der Regel nicht ganz einfach und erzeugt eine hohe Komplexität. Sollen tatsächlich unterschiedliche Zugänge für verschiedene Benutzer an dem gleichen Endgerät gewährt werden, müssen diese Regeln jedoch genau geplant und sorgfältig umgesetzt werden. Je nach Komplexität der Wünsche kann dies einen erheblichen Aufwand bedeuten, bei dem vorher genau analysiert werden sollte, ob es denn überhaupt zielführend und/oder notwendig ist.
	** Das Active Directory selbst steuert über die zugewiesenen Berechtigungen der Benutzer genau, welcher Mitarbeiter Zugriff auf welche Server und Dienste im Unternehmen hat. Melden sich also an ein und demselben Endgerät erst ein „normaler“ Mitarbeiter und später ein IT-Administrator mit seinem Benutzerkonto an, so erfolgt darüber bereits die Steuerung, welche Zugriffe erlaubt sind. Die Veränderung des Netzwerksegmentes, in dem sich das Endgerät befindet, ist daher nur dann notwendig, wenn die vom Administrator benötigten Systeme in dem aktuellen Netzwerksegment nicht erreichbar sind. Diese Situation tritt aber in der Regel nur in sehr großen und umfangreich strukturierten Netzwerken auf. Darüber hinaus empfiehlt das BSI grundsätzlich, keine administrativen Maßnahmen von einem regulären Benutzersystem auszuführen. Vorhandener Schadcode könnte sonst administrative Rechte erhalten und erheblichen Schaden anrichten.		** Das Active Directory selbst steuert über die zugewiesenen Berechtigungen der Benutzer genau, welcher Mitarbeiter Zugriff auf welche Server und Dienste im Unternehmen hat. Melden sich also an ein und demselben Endgerät erst ein „normaler“ Mitarbeiter und später ein IT-Administrator mit seinem Benutzerkonto an, so erfolgt darüber bereits die Steuerung, welche Zugriffe erlaubt sind. Die Veränderung des Netzwerksegmentes, in dem sich das Endgerät befindet, ist daher nur dann notwendig, wenn die vom Administrator benötigten Systeme in dem aktuellen Netzwerksegment nicht erreichbar sind. Diese Situation tritt aber in der Regel nur in sehr großen und umfangreich strukturierten Netzwerken auf. Darüber hinaus empfiehlt das BSI grundsätzlich, keine administrativen Maßnahmen von einem regulären Benutzersystem auszuführen. Vorhandener Schadcode könnte sonst administrative Rechte erhalten und erheblichen Schaden anrichten.
	** Folglich reicht in den allermeisten Fällen die Autorisierung der Endgeräte aus, oder die Reduzierung der Regeln auf ganz spezielle Sonderfälle.		** Folglich reicht in den allermeisten Fällen die Autorisierung der Endgeräte aus, oder die Reduzierung der Regeln auf ganz spezielle Sonderfälle.

Matthäus Wander: Link; IP-Port gibt es nicht

2024-03-02T10:41:24Z

Link; IP-Port gibt es nicht

← Nächstältere Version		Version vom 2. März 2024, 12:41 Uhr
Zeile 61:		Zeile 61:
	Problematisch bleibt, dass die MAC-Adresse sehr leicht fälschbar ist. Ein Eindringling kann sich jede beliebige Adresse aussuchen – sie beispielsweise vom Drucker abschreiben und eintippen um Netzwerkzugang zu erlangen.		Problematisch bleibt, dass die MAC-Adresse sehr leicht fälschbar ist. Ein Eindringling kann sich jede beliebige Adresse aussuchen – sie beispielsweise vom Drucker abschreiben und eintippen um Netzwerkzugang zu erlangen.

	Aus diesem Grund gehen einige professionelle Lösungen noch einige Schritte weiter und vergleichen viele weitere Systemeigenschaften, wie die IP-Adresse, den [[Hostname]]n, das Betriebssystem oder offene und geschlossene [[~~Liste~~ ~~der standardisierten Ports~~\|~~IP-~~Ports]]. Im Resultat bedeutet das, dass ein Eindringling nicht nur die MAC-Adresse fälschen muss, um Zugang zu erlangen, sondern auch all die anderen Eigenschaften. Weichen Teile der Eigenschaften ab, so kann das NAC-System entsprechend Alarm auslösen.		Aus diesem Grund gehen einige professionelle Lösungen noch einige Schritte weiter und vergleichen viele weitere Systemeigenschaften, wie die IP-Adresse, den [[Hostname]]n, das Betriebssystem oder offene und geschlossene [[Port (Netzwerkadresse)\|Ports]]. Im Resultat bedeutet das, dass ein Eindringling nicht nur die MAC-Adresse fälschen muss, um Zugang zu erlangen, sondern auch all die anderen Eigenschaften. Weichen Teile der Eigenschaften ab, so kann das NAC-System entsprechend Alarm auslösen.

	Neben dem Sicherheitsaspekt kann auf diese Weise auch ein komfortables Management der VLANs etabliert werden, indem je Port immer automatisch das zum Endgeräte gehörende VLAN konfiguriert wird. Jeder Mitarbeiter hat demzufolge, egal wo er sich anschließt, immer seine gewohnte Umgebung und seine benötigten Ressourcen zur Verfügung.		Neben dem Sicherheitsaspekt kann auf diese Weise auch ein komfortables Management der VLANs etabliert werden, indem je Port immer automatisch das zum Endgeräte gehörende VLAN konfiguriert wird. Jeder Mitarbeiter hat demzufolge, egal wo er sich anschließt, immer seine gewohnte Umgebung und seine benötigten Ressourcen zur Verfügung.

Aka: Abkürzung korrigiert, https

2023-04-12T13:34:03Z

Abkürzung korrigiert, https

← Nächstältere Version		Version vom 12. April 2023, 15:34 Uhr
Zeile 17:		Zeile 17:
	Die zweite Anforderung stellt eine sogenannte Compliance-Funktion dar. Dies ist die Überprüfung, ob die Endgeräte, die sich bereits im Netzwerk befinden, den Sicherheitsanforderungen oder den [[Sicherheitsrichtlinie]]n des Unternehmens entsprechen. Das betrifft in der Regel Eigenschaften wie die vorhandene Installation und den Status eines [[Antivirenprogramm]]s oder einer Desktop-[[Firewall]], ob neueste Patches installiert sind sowie nach Bedarf weitergehende Prüfungen auf vorhandene Patches für gängige Applikationen wie Firefox oder Adobe.		Die zweite Anforderung stellt eine sogenannte Compliance-Funktion dar. Dies ist die Überprüfung, ob die Endgeräte, die sich bereits im Netzwerk befinden, den Sicherheitsanforderungen oder den [[Sicherheitsrichtlinie]]n des Unternehmens entsprechen. Das betrifft in der Regel Eigenschaften wie die vorhandene Installation und den Status eines [[Antivirenprogramm]]s oder einer Desktop-[[Firewall]], ob neueste Patches installiert sind sowie nach Bedarf weitergehende Prüfungen auf vorhandene Patches für gängige Applikationen wie Firefox oder Adobe.

	Ziel ist es, innerhalb des eigenen Netzwerkes nur Endgeräte und Software zu betreiben, die alle erwarteten Anforderungen erfüllen und damit der Sicherheitsrichtlinie entsprechen. Hält ein System der Überprüfung nicht stand, werden entsprechende Gegenmaßnahmen eingeleitet, dazu gehören Quarantäne und Heilung, i.d.R. durch Patches, oder eine Rekonfigurieren des Systems, bis hin zur Außerbetriebnahme.		Ziel ist es, innerhalb des eigenen Netzwerkes nur Endgeräte und Software zu betreiben, die alle erwarteten Anforderungen erfüllen und damit der Sicherheitsrichtlinie entsprechen. Hält ein System der Überprüfung nicht stand, werden entsprechende Gegenmaßnahmen eingeleitet, dazu gehören Quarantäne und Heilung, i. d. R. durch Patches, oder eine Rekonfigurieren des Systems, bis hin zur Außerbetriebnahme.

	Weiterhin gibt es Unterschiede in der Interpretation der zu überwachenden Netzwerkzugänge ([[Local Area Network\|LAN]], [[Wireless Local Area Network\|WLAN]], [[Wide Area Network\|WAN]]). Zur Erfüllung dieser Anforderung gibt es diverse technische Ansätze und Umsetzungen sowie sowohl kommerzielle als auch [[Open Source]] Produkte.		Weiterhin gibt es Unterschiede in der Interpretation der zu überwachenden Netzwerkzugänge ([[Local Area Network\|LAN]], [[Wireless Local Area Network\|WLAN]], [[Wide Area Network\|WAN]]). Zur Erfüllung dieser Anforderung gibt es diverse technische Ansätze und Umsetzungen sowie sowohl kommerzielle als auch [[Open Source]] Produkte.
Zeile 104:		Zeile 104:

	== Weblinks ==		== Weblinks ==
	* [~~http~~://www.security-insider.de/~~themenbereiche/identity~~-und-~~access~~-management~~/zugangskontrolle/articles/~~122290/ Grundlagen zur Kombination von Network Access Control (NAC) und Security Information and Event Management (SIEM)]		* [https://www.security-insider.de/was-leisten-netzwerk-zugangskontrolle-und-security-event-management-gemeinsam-a-122290/ Grundlagen zur Kombination von Network Access Control (NAC) und Security Information and Event Management (SIEM)]

	[[Kategorie:IT-Sicherheit]]		[[Kategorie:IT-Sicherheit]]

Haraldmmueller: /* Anforderungen */ dt.

2023-04-12T08:50:55Z

Anforderungen: dt.

← Nächstältere Version		Version vom 12. April 2023, 10:50 Uhr
Zeile 15:		Zeile 15:
	Zum einen eine vollständige Übersicht, welche Geräte sich im (Unternehmens-)[[Netzwerk]] befinden und wo sie angeschlossen sind. Die Art der Endgeräte, wie Clients, Drucker, Produktionssysteme, Geldautomaten, medizinische Geräte, Tablets, Smartphones, Kühlschränke, Kaffeemaschinen etc. darf dabei keine Rolle spielen. Durch diese Übersicht wird verhindert, dass fremde oder unbekannte Systeme einfach durch Nutzen des [[WLAN]] oder einer freien Netzwerkdose Zugriff auf das (firmen-)interne Netzwerk bekommen. Dadurch können im Netzwerk nur noch eigene und dafür zugelassene Systeme betrieben werden.		Zum einen eine vollständige Übersicht, welche Geräte sich im (Unternehmens-)[[Netzwerk]] befinden und wo sie angeschlossen sind. Die Art der Endgeräte, wie Clients, Drucker, Produktionssysteme, Geldautomaten, medizinische Geräte, Tablets, Smartphones, Kühlschränke, Kaffeemaschinen etc. darf dabei keine Rolle spielen. Durch diese Übersicht wird verhindert, dass fremde oder unbekannte Systeme einfach durch Nutzen des [[WLAN]] oder einer freien Netzwerkdose Zugriff auf das (firmen-)interne Netzwerk bekommen. Dadurch können im Netzwerk nur noch eigene und dafür zugelassene Systeme betrieben werden.

	Die zweite Anforderung stellt eine sogenannte Compliance-Funktion dar. Dies ist die Überprüfung, ob die Endgeräte, die sich bereits im Netzwerk befinden, den Sicherheitsanforderungen oder den [[Sicherheitsrichtlinie]]n des Unternehmens entsprechen. Das betrifft in der Regel Eigenschaften, wie die vorhandene Installation und den Status eines [[Antivirenprogramm]]s oder einer Desktop-[[Firewall]]~~. Außerdem~~ ob neueste ~~Windows-~~Patches installiert sind sowie ~~manchmal~~ ~~noch~~ weitergehende Prüfungen auf vorhandene Patches für gängige Applikationen wie Firefox oder Adobe~~, die ausgenutzt werden können~~.		Die zweite Anforderung stellt eine sogenannte Compliance-Funktion dar. Dies ist die Überprüfung, ob die Endgeräte, die sich bereits im Netzwerk befinden, den Sicherheitsanforderungen oder den [[Sicherheitsrichtlinie]]n des Unternehmens entsprechen. Das betrifft in der Regel Eigenschaften wie die vorhandene Installation und den Status eines [[Antivirenprogramm]]s oder einer Desktop-[[Firewall]], ob neueste Patches installiert sind sowie nach Bedarf weitergehende Prüfungen auf vorhandene Patches für gängige Applikationen wie Firefox oder Adobe.

	Ziel ist es, innerhalb des eigenen Netzwerkes nur Endgeräte zu betreiben, die ~~all~~ ~~diesen~~ Anforderungen und damit der Sicherheitsrichtlinie entsprechen. Hält ~~also~~ ein System der Überprüfung nicht stand, werden entsprechende Gegenmaßnahmen (Quarantäne und Heilung ~~mit~~ ~~Patchen;~~ Rekonfigurieren des Systems) ~~eingeleitet~~.		Ziel ist es, innerhalb des eigenen Netzwerkes nur Endgeräte und Software zu betreiben, die alle erwarteten Anforderungen erfüllen und damit der Sicherheitsrichtlinie entsprechen. Hält ein System der Überprüfung nicht stand, werden entsprechende Gegenmaßnahmen eingeleitet, dazu gehören Quarantäne und Heilung, i.d.R. durch Patches, oder eine Rekonfigurieren des Systems, bis hin zur Außerbetriebnahme.

	Weiterhin gibt es Unterschiede in der Interpretation der zu überwachenden Netzwerkzugänge ([[Local Area Network\|LAN]], [[Wireless Local Area Network\|WLAN]], [[Wide Area Network\|WAN]]). Zur Erfüllung dieser Anforderung gibt es diverse technische Ansätze und Umsetzungen sowie sowohl kommerzielle als auch [[Open Source]] Produkte.		Weiterhin gibt es Unterschiede in der Interpretation der zu überwachenden Netzwerkzugänge ([[Local Area Network\|LAN]], [[Wireless Local Area Network\|WLAN]], [[Wide Area Network\|WAN]]). Zur Erfüllung dieser Anforderung gibt es diverse technische Ansätze und Umsetzungen sowie sowohl kommerzielle als auch [[Open Source]] Produkte.

193.22.120.68: /* Weblinks */ toten Link entfernt

2023-02-01T09:46:38Z

Weblinks: toten Link entfernt

← Nächstältere Version		Version vom 1. Februar 2023, 11:46 Uhr
Zeile 104:		Zeile 104:

	== Weblinks ==		== Weblinks ==
	* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/Ueberblickspapier_Netzzugangskontrolle.pdf?__blob=publicationFile BSI: Überblickspapier Netzzugangskontrolle]
	* [http://www.security-insider.de/themenbereiche/identity-und-access-management/zugangskontrolle/articles/122290/ Grundlagen zur Kombination von Network Access Control (NAC) und Security Information and Event Management (SIEM)]		* [http://www.security-insider.de/themenbereiche/identity-und-access-management/zugangskontrolle/articles/122290/ Grundlagen zur Kombination von Network Access Control (NAC) und Security Information and Event Management (SIEM)]

Johannnes89: /* Weblinks */ bitte WP:WEB beachten

2021-01-22T10:29:32Z

Weblinks: bitte WP:WEB beachten

← Nächstältere Version		Version vom 22. Januar 2021, 12:29 Uhr
Zeile 104:		Zeile 104:

	== Weblinks ==		== Weblinks ==
	* Network Visibility & Management mit BICS - auconet-it (auconet-it.com)
	*[http://www.arp-guard.com ARP-GUARD: Hersteller von NAC-Lösungen]
	* [http://www.macmon.eu macmon: Anbieter für NAC-Lösungen]
	* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/Ueberblickspapier_Netzzugangskontrolle.pdf?__blob=publicationFile BSI: Überblickspapier Netzzugangskontrolle]		* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/Ueberblickspapier_Netzzugangskontrolle.pdf?__blob=publicationFile BSI: Überblickspapier Netzzugangskontrolle]
	* [http://www.security-insider.de/themenbereiche/identity-und-access-management/zugangskontrolle/articles/122290/ Grundlagen zur Kombination von Network Access Control (NAC) und Security Information and Event Management (SIEM)]		* [http://www.security-insider.de/themenbereiche/identity-und-access-management/zugangskontrolle/articles/122290/ Grundlagen zur Kombination von Network Access Control (NAC) und Security Information and Event Management (SIEM)]

2003:C3:9709:4FE0:B85C:7444:609:766E: /* Weblinks */

2021-01-22T10:25:56Z

Weblinks

← Nächstältere Version		Version vom 22. Januar 2021, 12:25 Uhr
Zeile 104:		Zeile 104:

	== Weblinks ==		== Weblinks ==
			* Network Visibility & Management mit BICS - auconet-it (auconet-it.com)
	* [http://www.arp-guard.com ARP-GUARD: Hersteller von NAC-Lösungen]		*[http://www.arp-guard.com ARP-GUARD: Hersteller von NAC-Lösungen]
	* [http://www.macmon.eu macmon: Anbieter für NAC-Lösungen]		* [http://www.macmon.eu macmon: Anbieter für NAC-Lösungen]
	* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/Ueberblickspapier_Netzzugangskontrolle.pdf?__blob=publicationFile BSI: Überblickspapier Netzzugangskontrolle]		* [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/Ueberblickspapier_Netzzugangskontrolle.pdf?__blob=publicationFile BSI: Überblickspapier Netzzugangskontrolle]

Orthographus: Komma

2020-08-06T20:34:26Z

Komma

← Nächstältere Version		Version vom 6. August 2020, 22:34 Uhr
Zeile 35:		Zeile 35:
	=== Trafficanalyse mittels Gateway Appliances ===		=== Trafficanalyse mittels Gateway Appliances ===

	Für die Trafficanalyse wurden von verschiedenen Herstellern [[Appliance]]s geschaffen, die inline den Netzwerkverkehr überprüfen und dadurch auch jedes Gerät sehen, welches im Netzwerk kommuniziert. [[Datenpaket]]e von unerwünschten Systemen können dabei einfach ''„gedropped“'' werden, wodurch die Eindringlinge nicht mehr ungehindert im Netzwerk kommunizieren können. Problematisch dabei ist, dass diese Appliances überall im Netzwerk verteilt werden müssen, um jeden Teilbereich abdecken zu können. Das heißt in jedem [[Subnetz]] muss ein Fühler stehen und den Traffic anschauen. Das macht diese Projekte in der Regel sehr aufwendig, komplex und vor allem sehr teuer, da je nach Größe des Unternehmens auch eine ganze Menge Geräte gekauft werden müssen. Die Überprüfung muss natürlich in Echtzeit geschehen, da sonst ein Flaschenhals erzeugt wird, der die Kommunikation im Netzwerk bremst und damit das tägliche Arbeiten stört. Eine weitere Schwachstelle dieser Technologie ist, dass Eindringlinge, die nur lauschen und dementsprechend keine Datenpakete versenden, nicht erkannt werden. Spionieren durch einfache [[Lauschangriff]]e ist also weiterhin uneingeschränkt möglich.		Für die Trafficanalyse wurden von verschiedenen Herstellern [[Appliance]]s geschaffen, die inline den Netzwerkverkehr überprüfen und dadurch auch jedes Gerät sehen, welches im Netzwerk kommuniziert. [[Datenpaket]]e von unerwünschten Systemen können dabei einfach ''„gedropped“'' werden, wodurch die Eindringlinge nicht mehr ungehindert im Netzwerk kommunizieren können. Problematisch dabei ist, dass diese Appliances überall im Netzwerk verteilt werden müssen, um jeden Teilbereich abdecken zu können. Das heißt, in jedem [[Subnetz]] muss ein Fühler stehen und den Traffic anschauen. Das macht diese Projekte in der Regel sehr aufwendig, komplex und vor allem sehr teuer, da je nach Größe des Unternehmens auch eine ganze Menge Geräte gekauft werden müssen. Die Überprüfung muss natürlich in Echtzeit geschehen, da sonst ein Flaschenhals erzeugt wird, der die Kommunikation im Netzwerk bremst und damit das tägliche Arbeiten stört. Eine weitere Schwachstelle dieser Technologie ist, dass Eindringlinge, die nur lauschen und dementsprechend keine Datenpakete versenden, nicht erkannt werden. Spionieren durch einfache [[Lauschangriff]]e ist also weiterhin uneingeschränkt möglich.

	Selbst jedoch, wenn überall entsprechende Appliances verteilt wurden, gibt es Bereiche, die nicht erfasst werden können. Die Geräte, die an einem [[Switch (Netzwerktechnik)\|Switch]] hängen, können in der Regel miteinander kommunizieren, ohne dass der [[Datenverkehr]] durch eine NAC-Appliance läuft. Damit sind zumindest die direkten Nachbarn angreifbar und auch ausnutzbar, um von diesen Geräten aus ins weitere Netzwerk vorzudringen.		Selbst jedoch, wenn überall entsprechende Appliances verteilt wurden, gibt es Bereiche, die nicht erfasst werden können. Die Geräte, die an einem [[Switch (Netzwerktechnik)\|Switch]] hängen, können in der Regel miteinander kommunizieren, ohne dass der [[Datenverkehr]] durch eine NAC-Appliance läuft. Damit sind zumindest die direkten Nachbarn angreifbar und auch ausnutzbar, um von diesen Geräten aus ins weitere Netzwerk vorzudringen.

Orthographus: Leerzeichen entfernt

2020-01-09T13:39:07Z

Leerzeichen entfernt

← Nächstältere Version		Version vom 9. Januar 2020, 15:39 Uhr
Zeile 13:		Zeile 13:
	Network Access Control erfüllt grundlegend zwei Anforderungen:		Network Access Control erfüllt grundlegend zwei Anforderungen:

	Zum einen eine vollständige Übersicht, welche Geräte sich im (Unternehmens-) [[Netzwerk]] befinden und wo sie angeschlossen sind. Die Art der Endgeräte, wie Clients, Drucker, Produktionssysteme, Geldautomaten, medizinische Geräte, Tablets, Smartphones, Kühlschränke, Kaffeemaschinen etc. darf dabei keine Rolle spielen. Durch diese Übersicht wird verhindert, dass fremde oder unbekannte Systeme einfach durch Nutzen des [[WLAN]] oder einer freien Netzwerkdose Zugriff auf das (firmen-)interne Netzwerk bekommen. Dadurch können im Netzwerk nur noch eigene und dafür zugelassene Systeme betrieben werden.		Zum einen eine vollständige Übersicht, welche Geräte sich im (Unternehmens-)[[Netzwerk]] befinden und wo sie angeschlossen sind. Die Art der Endgeräte, wie Clients, Drucker, Produktionssysteme, Geldautomaten, medizinische Geräte, Tablets, Smartphones, Kühlschränke, Kaffeemaschinen etc. darf dabei keine Rolle spielen. Durch diese Übersicht wird verhindert, dass fremde oder unbekannte Systeme einfach durch Nutzen des [[WLAN]] oder einer freien Netzwerkdose Zugriff auf das (firmen-)interne Netzwerk bekommen. Dadurch können im Netzwerk nur noch eigene und dafür zugelassene Systeme betrieben werden.

	Die zweite Anforderung stellt eine sogenannte Compliance-Funktion dar. Dies ist die Überprüfung, ob die Endgeräte, die sich bereits im Netzwerk befinden, den Sicherheitsanforderungen oder den [[Sicherheitsrichtlinie]]n des Unternehmens entsprechen. Das betrifft in der Regel Eigenschaften, wie die vorhandene Installation und den Status eines [[Antivirenprogramm]]s oder einer Desktop-[[Firewall]]. Außerdem ob neueste Windows-Patches installiert sind sowie manchmal noch weitergehende Prüfungen auf vorhandene Patches für gängige Applikationen wie Firefox oder Adobe, die ausgenutzt werden können.		Die zweite Anforderung stellt eine sogenannte Compliance-Funktion dar. Dies ist die Überprüfung, ob die Endgeräte, die sich bereits im Netzwerk befinden, den Sicherheitsanforderungen oder den [[Sicherheitsrichtlinie]]n des Unternehmens entsprechen. Das betrifft in der Regel Eigenschaften, wie die vorhandene Installation und den Status eines [[Antivirenprogramm]]s oder einer Desktop-[[Firewall]]. Außerdem ob neueste Windows-Patches installiert sind sowie manchmal noch weitergehende Prüfungen auf vorhandene Patches für gängige Applikationen wie Firefox oder Adobe, die ausgenutzt werden können.

Invisigoth67: typo

2019-12-09T17:08:00Z

typo

← Nächstältere Version		Version vom 9. Dezember 2019, 19:08 Uhr
Zeile 13:		Zeile 13:
	Network Access Control erfüllt grundlegend zwei Anforderungen:		Network Access Control erfüllt grundlegend zwei Anforderungen:

	Zum einen eine vollständige Übersicht, welche Geräte sich im (Unternehmens-) [[Netzwerk]] befinden und wo sie angeschlossen sind. Die Art der Endgeräte, wie Clients, Drucker, Produktionssysteme, Geldautomaten, medizinische Geräte, Tablets, Smartphones, Kühlschränke, Kaffeemaschinen etc. darf dabei keine Rolle spielen. Durch diese Übersicht wird verhindert, dass fremde oder unbekannte Systeme einfach durch Nutzen des [[WLAN]] oder einer freien Netzwerkdose Zugriff auf das (firmen-) interne Netzwerk bekommen. Dadurch können im Netzwerk nur noch eigene und dafür zugelassene Systeme betrieben werden.		Zum einen eine vollständige Übersicht, welche Geräte sich im (Unternehmens-) [[Netzwerk]] befinden und wo sie angeschlossen sind. Die Art der Endgeräte, wie Clients, Drucker, Produktionssysteme, Geldautomaten, medizinische Geräte, Tablets, Smartphones, Kühlschränke, Kaffeemaschinen etc. darf dabei keine Rolle spielen. Durch diese Übersicht wird verhindert, dass fremde oder unbekannte Systeme einfach durch Nutzen des [[WLAN]] oder einer freien Netzwerkdose Zugriff auf das (firmen-)interne Netzwerk bekommen. Dadurch können im Netzwerk nur noch eigene und dafür zugelassene Systeme betrieben werden.

	Die zweite Anforderung stellt eine sogenannte Compliance-Funktion dar. Dies ist die Überprüfung, ob die Endgeräte, die sich bereits im Netzwerk befinden, den Sicherheitsanforderungen oder den [[Sicherheitsrichtlinie]]n des Unternehmens entsprechen. Das betrifft in der Regel Eigenschaften, wie die vorhandene Installation und den Status eines [[Antivirenprogramm]]s oder einer Desktop-[[Firewall]]. Außerdem ob neueste Windows-Patches installiert sind sowie manchmal noch weitergehende Prüfungen auf vorhandene Patches für gängige Applikationen wie Firefox oder Adobe, die ausgenutzt werden können.		Die zweite Anforderung stellt eine sogenannte Compliance-Funktion dar. Dies ist die Überprüfung, ob die Endgeräte, die sich bereits im Netzwerk befinden, den Sicherheitsanforderungen oder den [[Sicherheitsrichtlinie]]n des Unternehmens entsprechen. Das betrifft in der Regel Eigenschaften, wie die vorhandene Installation und den Status eines [[Antivirenprogramm]]s oder einer Desktop-[[Firewall]]. Außerdem ob neueste Windows-Patches installiert sind sowie manchmal noch weitergehende Prüfungen auf vorhandene Patches für gängige Applikationen wie Firefox oder Adobe, die ausgenutzt werden können.