Network Access Control (NAC)

In vielen Unternehmensnetzen genügt ein freier Netzwerkanschluss oder das WLAN-Kennwort, um interne Systeme zu erreichen. Gleichzeitig wächst die Zahl der Geräte, die niemand zentral verwaltet: Drucker, Kameras, Gebäudetechnik, private Smartphones. Network Access Control beantwortet die Frage, die vor jeder weiteren Sicherheitsmaßnahme steht: Wer und was befindet sich überhaupt in unserem Netz, und mit welcher Berechtigung? Für IT-Entscheider ist NAC deshalb weniger ein einzelnes Produkt als ein Ordnungsprinzip für den Netzzugang.

Was ist Network Access Control (NAC)?

Network Access Control bezeichnet Verfahren, die den Zugang zum Netzwerk an Bedingungen knüpfen. Bevor ein Gerät kommunizieren darf, wird geprüft, wer es nutzt und ob es den Sicherheitsvorgaben des Unternehmens entspricht. Auf Basis dieser Prüfung weist das System dem Gerät ein passendes Netzsegment mit definierten Rechten zu oder verweigert die Verbindung. NAC wirkt damit an der frühesten möglichen Stelle, am kabelgebundenen Anschluss ebenso wie im WLAN. Nebenbei entsteht ein laufend aktualisiertes Bild aller verbundenen Geräte. Diese Sichtbarkeit macht NAC zur Grundlage für Inventarisierung und Segmentierung im lokalen Netz, denn nur bekannte Geräte lassen sich sinnvoll einordnen und wirksam beschränken. Die Durchsetzung übernimmt die vorhandene Infrastruktur: Switches und Access Points setzen um, was zentrale Richtlinien vorgeben.

Wie funktioniert NAC?

  • Authentifizierung über 802.1X: Das Endgerät weist sich mit einem Zertifikat oder mit Anmeldedaten aus. Switch oder Access Point reichen die Anfrage an einen zentralen RADIUS-Server weiter, der über den Zugang entscheidet.
  • Geräteerkennung: Systeme ohne 802.1X-Unterstützung, etwa Drucker oder Sensoren, werden anhand von Merkmalen wie MAC-Adresse und Kommunikationsverhalten identifiziert und einer Geräteklasse zugeordnet.
  • Zustandsprüfung: Vor der Freigabe bewertet NAC den Gerätezustand, etwa Patchstand und aktiven Endpoint-Schutz. Geräte, die die Vorgaben verfehlen, landen in einem Quarantänesegment mit Zugriff auf Update-Dienste.
  • Dynamische Segmentzuweisung: Statt statischer Portkonfiguration erhält jedes Gerät nach der Prüfung automatisch das passende VLAN samt zugehöriger Zugriffsregeln.
  • Gast- und BYOD-Portale: Besucher und private Geräte registrieren sich über ein Portal und erhalten zeitlich begrenzten Zugang in ein isoliertes Segment ohne Verbindung zu internen Systemen.
  • Laufende Kontrolle: Ändert sich der Zustand eines Geräts, lässt sich die Freigabe im laufenden Betrieb entziehen oder anpassen.

Warum NAC wichtig ist

  • Sichtbarkeit: NAC erzeugt ein fortlaufend aktuelles Verzeichnis aller Geräte im Netz, einschließlich der Systeme, die nie ein Administrator eingerichtet hat.
  • Kontrolle am Eintrittspunkt: Unbekannte oder manipulierte Geräte werden gestoppt, bevor sie interne Systeme überhaupt erreichen. Das gilt auch für Angriffe aus dem Gebäude selbst, etwa über frei zugängliche Anschlüsse in Besprechungsräumen.
  • Eindämmung von IoT-Risiken: Kameras, Sensoren, Displays und Gebäudetechnik erhalten eng begrenzte Segmente statt freier Sicht auf das gesamte Netz.
  • Saubere Gästetrennung: Besucher und Dienstleister arbeiten in isolierten Bereichen, ohne dass jemand manuell Ports umkonfigurieren muss.
  • Nachweisbarkeit: Wer wann mit welchem Gerät verbunden war, lässt sich belegen, ein wichtiger Baustein für Prüfungen nach ISO 27001 oder NIS2.

Typische Einsatzszenarien

NAC entfaltet seinen Nutzen überall dort, wo viele unterschiedliche Geräte auf gemeinsame Infrastruktur treffen:

  • Campus und Bürostandorte: 802.1X sichert das kabelgebundene Netz und das WLAN, verwaltete Geräte melden sich automatisch mit Zertifikaten an.
  • Produktions- und OT-Bereiche: Maschinen und Steuerungen erhalten eigene Segmente, neue oder getauschte Komponenten fallen sofort auf.
  • Empfangs- und Besucherbereiche: Gastzugänge mit Selbstregistrierung und Laufzeitbegrenzung ersetzen weitergereichte WLAN-Kennwörter.
  • BYOD-Programme: Private Geräte erhalten Zugriff auf ausgewählte Dienste und bleiben vom internen Netz konsequent getrennt.

NAC vs. ZTNA

NAC und Zero Trust Network Access verfolgen ein ähnliches Ziel mit unterschiedlichem Ansatzpunkt. NAC kontrolliert den Zutritt zum Netzwerk selbst: Es wirkt am Anschluss des Standorts und entscheidet, in welchem Segment ein Gerät landet. ZTNA kontrolliert den Zugriff auf einzelne Anwendungen, unabhängig davon, aus welchem Netz die Anfrage stammt. Die Verbindung wird pro Sitzung anhand von Identität und Kontext aufgebaut, meist als Bestandteil einer SASE/SSE-Architektur . In der Praxis ergänzen sich beide Ansätze: NAC ordnet und schützt das lokale Netz mit seinen stationären Geräten, ZTNA regelt den Anwendungszugriff mobiler Nutzer von jedem Standort aus. Wer beides kombiniert, kontrolliert den Netzzugang vor Ort und den Anwendungszugang von außen nach denselben Prinzipien.

NAC bei KAEMI

Zugangskontrolle ist bei KAEMI Bestandteil des Netzdesigns und kein nachträglicher Aufsatz. In Projekten rund um das Software-Defined LAN planen und betreiben wir Campusnetze, in denen 802.1X-Authentifizierung und dynamische Segmentzuweisung von Beginn an zusammengehören. Für die Feinsteuerung zwischen Systemen ergänzt Mikrosegmentierung die Zugangskontrolle um Regeln auf Ebene einzelner Arbeitslasten. So entsteht ein Netz, das seine Geräte kennt und konsequent begrenzt. Dabei arbeiten wir technologieoffen und richten die Lösung an Ihren Standorten und Gerätebeständen aus. Wenn Sie den Netzzugang an Ihren Standorten neu ordnen möchten, sprechen Sie uns über die Kontaktseite an.

Häufige Fragen zu Network Access Control (NAC)

Brauchen wir NAC, wenn wir bereits Firewalls einsetzen?

Ja, beide wirken an unterschiedlichen Stellen. Eine Firewall kontrolliert Übergänge zwischen Netzzonen, sieht aber nicht, welches Gerät sich an einem Büroanschluss anmeldet. NAC setzt genau dort an: Es entscheidet über die Aufnahme ins Netz und ordnet jedes Gerät einem Segment zu. Die Firewall setzt anschließend die Regeln zwischen diesen Segmenten durch.

Welche Voraussetzungen braucht 802.1X?

Erforderlich sind ein RADIUS-Server als zentrale Entscheidungsinstanz, Switches und Access Points mit 802.1X-Unterstützung sowie Endgeräte mit passender Konfiguration. Für verwaltete Geräte empfiehlt sich die Anmeldung mit Zertifikaten, die über eine eigene Zertifikatsinfrastruktur verteilt werden. Geräte ohne 802.1X-Fähigkeit werden über Profiling erkannt und mit eigenen Regeln angebunden.

Wie geht NAC mit Druckern und IoT-Geräten um?

Solche Geräte beherrschen häufig kein 802.1X und werden deshalb über Profiling identifiziert, etwa anhand von MAC-Adresse und Kommunikationsverhalten. Da sich diese Merkmale fälschen lassen, gehören solche Geräte in eng begrenzte Segmente mit minimalen Rechten. So bleibt ein kompromittiertes IoT-Gerät ein lokales Problem und wird kein Sprungbrett in das gesamte Netz.

Macht ZTNA unser NAC überflüssig?

Nein. ZTNA regelt den Zugriff auf Anwendungen und entfaltet seine Stärken bei mobilen Nutzern und Cloud-Diensten. Am Standort bleibt die Frage bestehen, welche Geräte sich mit dem lokalen Netz verbinden dürfen, von Druckern über Maschinen bis zur Gebäudetechnik. Diese Aufgabe beantwortet weiterhin NAC. Beide Ansätze ergänzen sich zu einer durchgängigen Zugangsstrategie.

Wie führt man NAC ein, ohne den Betrieb zu stören?

Bewährt hat sich ein stufenweises Vorgehen. Zunächst läuft NAC im Beobachtungsmodus und erfasst alle Geräte, ohne Verbindungen zu blockieren. Auf dieser Basis werden Geräteklassen und Regeln definiert und mit den Fachbereichen abgestimmt. Erst danach wird die Durchsetzung aktiviert, Standort für Standort. Ein Quarantänesegment mit Selbsthilfe-Optionen fängt Sonderfälle ab.

Vom Begriff zur Umsetzung: KAEMI begleitet Sie von der ersten Analyse bis in den laufenden Betrieb.