In vielen Unternehmensnetzen genügt ein freier Netzwerkanschluss oder das WLAN-Kennwort, um interne Systeme zu erreichen. Gleichzeitig wächst die Zahl der Geräte, die niemand zentral verwaltet: Drucker, Kameras, Gebäudetechnik, private Smartphones. Network Access Control beantwortet die Frage, die vor jeder weiteren Sicherheitsmaßnahme steht: Wer und was befindet sich überhaupt in unserem Netz, und mit welcher Berechtigung? Für IT-Entscheider ist NAC deshalb weniger ein einzelnes Produkt als ein Ordnungsprinzip für den Netzzugang.
Was ist Network Access Control (NAC)?
Network Access Control bezeichnet Verfahren, die den Zugang zum Netzwerk an Bedingungen knüpfen. Bevor ein Gerät kommunizieren darf, wird geprüft, wer es nutzt und ob es den Sicherheitsvorgaben des Unternehmens entspricht. Auf Basis dieser Prüfung weist das System dem Gerät ein passendes Netzsegment mit definierten Rechten zu oder verweigert die Verbindung. NAC wirkt damit an der frühesten möglichen Stelle, am kabelgebundenen Anschluss ebenso wie im WLAN. Nebenbei entsteht ein laufend aktualisiertes Bild aller verbundenen Geräte. Diese Sichtbarkeit macht NAC zur Grundlage für Inventarisierung und Segmentierung im lokalen Netz, denn nur bekannte Geräte lassen sich sinnvoll einordnen und wirksam beschränken. Die Durchsetzung übernimmt die vorhandene Infrastruktur: Switches und Access Points setzen um, was zentrale Richtlinien vorgeben.
Wie funktioniert NAC?
- Authentifizierung über 802.1X: Das Endgerät weist sich mit einem Zertifikat oder mit Anmeldedaten aus. Switch oder Access Point reichen die Anfrage an einen zentralen RADIUS-Server weiter, der über den Zugang entscheidet.
- Geräteerkennung: Systeme ohne 802.1X-Unterstützung, etwa Drucker oder Sensoren, werden anhand von Merkmalen wie MAC-Adresse und Kommunikationsverhalten identifiziert und einer Geräteklasse zugeordnet.
- Zustandsprüfung: Vor der Freigabe bewertet NAC den Gerätezustand, etwa Patchstand und aktiven Endpoint-Schutz. Geräte, die die Vorgaben verfehlen, landen in einem Quarantänesegment mit Zugriff auf Update-Dienste.
- Dynamische Segmentzuweisung: Statt statischer Portkonfiguration erhält jedes Gerät nach der Prüfung automatisch das passende VLAN samt zugehöriger Zugriffsregeln.
- Gast- und BYOD-Portale: Besucher und private Geräte registrieren sich über ein Portal und erhalten zeitlich begrenzten Zugang in ein isoliertes Segment ohne Verbindung zu internen Systemen.
- Laufende Kontrolle: Ändert sich der Zustand eines Geräts, lässt sich die Freigabe im laufenden Betrieb entziehen oder anpassen.
Warum NAC wichtig ist
- Sichtbarkeit: NAC erzeugt ein fortlaufend aktuelles Verzeichnis aller Geräte im Netz, einschließlich der Systeme, die nie ein Administrator eingerichtet hat.
- Kontrolle am Eintrittspunkt: Unbekannte oder manipulierte Geräte werden gestoppt, bevor sie interne Systeme überhaupt erreichen. Das gilt auch für Angriffe aus dem Gebäude selbst, etwa über frei zugängliche Anschlüsse in Besprechungsräumen.
- Eindämmung von IoT-Risiken: Kameras, Sensoren, Displays und Gebäudetechnik erhalten eng begrenzte Segmente statt freier Sicht auf das gesamte Netz.
- Saubere Gästetrennung: Besucher und Dienstleister arbeiten in isolierten Bereichen, ohne dass jemand manuell Ports umkonfigurieren muss.
- Nachweisbarkeit: Wer wann mit welchem Gerät verbunden war, lässt sich belegen, ein wichtiger Baustein für Prüfungen nach ISO 27001 oder NIS2.
Typische Einsatzszenarien
NAC entfaltet seinen Nutzen überall dort, wo viele unterschiedliche Geräte auf gemeinsame Infrastruktur treffen:
- Campus und Bürostandorte: 802.1X sichert das kabelgebundene Netz und das WLAN, verwaltete Geräte melden sich automatisch mit Zertifikaten an.
- Produktions- und OT-Bereiche: Maschinen und Steuerungen erhalten eigene Segmente, neue oder getauschte Komponenten fallen sofort auf.
- Empfangs- und Besucherbereiche: Gastzugänge mit Selbstregistrierung und Laufzeitbegrenzung ersetzen weitergereichte WLAN-Kennwörter.
- BYOD-Programme: Private Geräte erhalten Zugriff auf ausgewählte Dienste und bleiben vom internen Netz konsequent getrennt.
NAC vs. ZTNA
NAC und Zero Trust Network Access verfolgen ein ähnliches Ziel mit unterschiedlichem Ansatzpunkt. NAC kontrolliert den Zutritt zum Netzwerk selbst: Es wirkt am Anschluss des Standorts und entscheidet, in welchem Segment ein Gerät landet. ZTNA kontrolliert den Zugriff auf einzelne Anwendungen, unabhängig davon, aus welchem Netz die Anfrage stammt. Die Verbindung wird pro Sitzung anhand von Identität und Kontext aufgebaut, meist als Bestandteil einer SASE/SSE-Architektur . In der Praxis ergänzen sich beide Ansätze: NAC ordnet und schützt das lokale Netz mit seinen stationären Geräten, ZTNA regelt den Anwendungszugriff mobiler Nutzer von jedem Standort aus. Wer beides kombiniert, kontrolliert den Netzzugang vor Ort und den Anwendungszugang von außen nach denselben Prinzipien.
NAC bei KAEMI
Zugangskontrolle ist bei KAEMI Bestandteil des Netzdesigns und kein nachträglicher Aufsatz. In Projekten rund um das Software-Defined LAN planen und betreiben wir Campusnetze, in denen 802.1X-Authentifizierung und dynamische Segmentzuweisung von Beginn an zusammengehören. Für die Feinsteuerung zwischen Systemen ergänzt Mikrosegmentierung die Zugangskontrolle um Regeln auf Ebene einzelner Arbeitslasten. So entsteht ein Netz, das seine Geräte kennt und konsequent begrenzt. Dabei arbeiten wir technologieoffen und richten die Lösung an Ihren Standorten und Gerätebeständen aus. Wenn Sie den Netzzugang an Ihren Standorten neu ordnen möchten, sprechen Sie uns über die Kontaktseite an.