Cisco hat eine neue grössere Initiative im Security-Bereich angekündigt, das sogenannte Network Admission Control Program, und konnte dafür die Mitarbeit von
Trend Micro,
Symantec (Norton) und
Network Associates (McAfee) gewinnen, alles bekannte Hersteller von Virenschutz-Lösungen. Network Associates ist auch Teil eines weiteren Teams, zusammen mit dem Firewall- und VPN-Spezialisten Check Point.
Quarantänemöglichkeit
Die Network Admission Control-Funktionalität wird es für Ciscos Router möglich machen, Clients den Zugang zu einem Netzwerk zu ermöglichen oder zu verweigern. Diese Entscheidung kann zum Beispiel davon abhängig gemacht werden, ob der Virenschutz auf dem neuesten Stand ist oder das Betriebssystem mit den aktuellsten Patches nachgeführt wurde.
Dies bedingt natürlich einen Austausch von Informationen zwischen dem Virenschutz und den Routern – das macht die Zusammenarbeit mit den Herstellern der Antivirensysteme unumgänglich. Die notwendigen Informationen soll der sogenannte Cisco
Trust Agent sammeln, ein Kernstück des Programms, der seine Informationen dann an die Netzwerkkomponenten übermittelt.
Der Trust Agent wurde von Cisco an NAI,
Symantec und
Trend Micro lizenziert, die ihn in ihre Clientsoftware integrieren werden. Später, so
Cisco, könnten auch weitere Virenschutzhersteller an Bord kommen.
Die Network Admission Control-Funktionalität soll von den Cisco Access und Mid-range-Routern ab Mitte 2004 unterstützt werden, später sollen Switches, Wireless Access Points und andere Netzwerkkomponenten folgen.
Alter Virenschutz, kein VPN
In eine ähnliche Richtung geht die Zusammenarbeit zwischen
Network Associates und Check Point. Hier soll NAIs
McAfee mit Check Points VPN-1 Secureclient, einer Personal Firewall die zentral verwaltet werden kann, integriert werden. Nur Clients, deren Virenschutz Up-to-date ist, sollen über VPN auf das Unternehmensnetzwerk zugreifen können. Vom integierten Produkt wird es Versionen sowohl für mittlere und grosse als auch für Kleinunternehmen geben.
Die Gemeinschaftsprodukte der beiden Unternehmen sollen Anfang 2004 erhältlich sein. Hintergrund dieser Allianzen ist ein Sicherheitsproblem, dass sich in den letzten Monaten schmerzlich bemerkbar gemacht hat: Auch ein perfekt in Schuss gehaltener Viren- und Wurmschutz eines Unternehmens kann ausgehebelt werden, wenn irgendwo im Innern des Netzwerks ein Angestellter einen verseuchten Laptop einstöpselt. Um das zu verhindern ist eine Zusammenarbeit von Virenschutz und Zugangskontrolle unumgänglich.
Fairerweise muss man aber anfügen, dass nicht erst
Cisco, Check Point und Co, diesen Schritt gemacht haben. Das Konzept wird schon seit einiger Zeit unter verschiedenen Namen, zum Beispiel Distributed Security, von einigen Start-Ups und grösseren Herstellern propagiert.
Wohl noch keine Standardisierung
Auch weitere Sicherheitsrisiken könnten besser abgewehrt werden, wenn verschiedene Systeme, neben Zugangskontrolle und Virenschutz zum Beispiel auch Intrusion Detection und Prevention oder Vulnerability Assessment, stärker zusammenarbeiten würden – ganz zu schweigen davon, dass dies auch den Verwaltungsaufwand gewaltig senken würde.
Im Moment steht diesem Fernziel aber noch die fehlende Interoperabilität der Produkte verschiedener Hersteller entgegen. Die momentane Situation erinnert etwas an die Anfänge der Öffnung im Storage-Netzwerk-Bereich, als Hersteller begannen, APIs auszutauschen und in Einzelinitiativen versuchten, Interoperabilität zu schaffen. Erst die von der einigermassen unabhängigen Industrievereinigung SNIA kürzlich herausgegebenen Standards schei-
nen nun langsam breite Akzeptanz zu finden.
Auch im Security-Bereich wird es wohl für einzelne Hersteller, wie eben
Cisco oder Check Point mit seiner schon länger existierenden Open Platform for Security (OPSEC) kaum möglich sein, allgemein akzeptierte Standards zu setzen. Die Unternehmen, die anbeissen müssten sind nämlich letztendlich die Konkurrenten. (hjm)