Network Access Control (NAC)

Network Access Control (NAC) ist die technologische Antwort auf eine einfache Frage: “Wer und was darf in unser Netzwerk?” Ohne NAC kann jedes Gerät - ob BYOD-Handy, ungesicherter Laptop oder kompromittierter Drucker - auf alle Netzwerkressourcen zugreifen. NAC ändert das: Erst prüfen, dann Zugang gewähren.

Das Problem ohne NAC

Szenario 1: BYOD

Mitarbeiter bringt privates Smartphone → WLAN-Passwort eingeben → sofortiger Zugriff auf Fileserver, Drucker, interne Webanwendungen, andere Geräte im Netz.

• Prüfung: keine
• Isolierung: nicht möglich
• Identifikation: keine (welches Gerät ist das?)

Szenario 2: Gastbesucher

Lieferant schließt Laptop an freien Netzwerkanschluss im Konferenzraum.

• Zugriff auf: komplettes internes Netzwerk
• Lateral Movement: möglich

Szenario 3: Kompromittiertes Gerät

Mitarbeiter-Laptop mit 6 Monate alten Patches und inaktivem Antivirus.

• Geräte-Zustand: unbekannt
• Risiko: unkontrolliert

NAC-Lösung für alle drei

• Szenario 1: BYOD-VLAN mit eingeschränktem Internet-only-Zugang
• Szenario 2: Gast-VLAN, kein Zugriff auf interne Ressourcen
• Szenario 3: Quarantäne-VLAN bis Patches + Antivirus aktuell

802.1X - Der Standard hinter NAC

IEEE 802.1X ist das Fundament für kabelgebundenes und WLAN-NAC.

Drei Rollen

• Supplicant: Endgerät (Windows/macOS/Linux - mit 802.1X-Client)
• Authenticator: Switch oder WLAN-Access-Point
• Auth-Server: RADIUS-Server (Freeradius, Microsoft NPS, Cisco ISE)

Ablauf

1. Gerät verbindet sich mit Switch/AP
2. Switch blockiert ALLEN Traffic (außer EAPOL-Protokoll)
3. Switch fragt nach Identität (EAP-Request)
4. Gerät antwortet: Zertifikat oder User/Passwort (EAP-Response)
5. Switch leitet weiter an RADIUS-Server
6. RADIUS prüft: bekanntes Gerät? Gültiges Zertifikat?
7. Wenn OK: Switch öffnet Port → VLAN-Zuweisung
8. Wenn Fail: Port bleibt gesperrt ODER Quarantäne-VLAN

Authentifizierungsmethoden

Methode	Beschreibung	Sicherheit
EAP-TLS	Gerätezertifikat	Sicherste Methode; benötigt PKI; phishing-sicher, kein Passwort
PEAP-MSCHAPv2	User + Passwort	Einfacher einzurichten; Nachteil: Passwörter crackbar wenn Cert-Validierung fehlt
EAP-TTLS	Tunnel + verschiedene Inner-Auth-Methoden	Flexibel

Moderne NAC-Architektur

1. RADIUS-Server / Policy Engine

• Microsoft NPS (kostenlos in Windows Server)
• Cisco ISE (Enterprise, komplex aber mächtig)
• Aruba ClearPass
• PacketFence (Open Source)
• FreeRADIUS (Open Source, sehr flexibel)

2. Endpoint-Posture Assessment

Gerät meldet sich an → NAC prüft:

• Betriebssystem-Version (Windows 11 aktuell?)
• Patch-Status (letzter Windows Update wann?)
• Antivirus installiert und aktuell?
• Firewall aktiv?
• Disk-Encryption aktiv (BitLocker)?
• Gerät in Active Directory?

Nur wenn ALLE Checks OK: Produktions-VLAN. Bei Fehlschlag: Quarantäne-VLAN (nur Patch-Server erreichbar).

3. VLAN-Segmentierung (Ergebnis der NAC-Policy)

VLAN	Zweck	Zugang
VLAN 10 (Corporate)	Domain-Mitglieder mit gültigem Zertifikat	Vollzugang
VLAN 20 (BYOD)	Bekannte private Geräte	Nur Internet + Cloud
VLAN 30 (Guest)	Gäste	Nur Internet, kein interner Zugriff
VLAN 40 (Quarantäne)	Nicht-konforme Geräte	Nur Patch-Server erreichbar
VLAN 50 (IoT)	Drucker, Kameras	Isoliert von PCs
VLAN 99 (Blocked)	Unbekannte Geräte	Kein Zugang

4. Integration mit Active Directory / Entra ID

• Gerät + User-Authentifizierung kombinieren
• “Bekanntes Gerät UND autorisierter User” = Zugang
• Abteilungsbasiertes VLAN: Finance → Finance-VLAN

NAC für WLAN: Besonders wichtig

WLAN ohne NAC

• Jeder im Gebäude kann sich verbinden (bei bekanntem PSK)
• PSK wird nie geändert → alle Ex-Mitarbeiter haben noch Zugang
• Gäste sehen alle anderen WLAN-Geräte im selben Subnetz

WLAN mit 802.1X (WPA3-Enterprise)

• Jedes Gerät braucht eigenes Zertifikat
• Zertifikat entzogen = sofortiger Ausschluss (ohne PSK-Änderung!)
• Jeder Client ist isoliert (Protected Management Frames)
• Gast-SSID in getrenntem VLAN, per Captive Portal

Captive Portal für Gäste

• Gast-WLAN: passwortfrei ODER simpel
• Captive Portal: “Bitte Name + E-Mail eintragen”
• AGB bestätigen (rechtliche Absicherung)
• Zeitbegrenzter Zugang (z.B. 8 Stunden)
• Log: wer war wann im Netz (Compliance!)
• Keine Verbindung zu internen Ressourcen möglich

Implementierungs-Roadmap

Phase 1 (Wochen 1-4): Sichtbarkeit schaffen

• Asset Discovery: welche Geräte sind im Netz? (passiv mit NAC-Lösung)
• Inventar erstellen: bekannte vs. unbekannte Geräte
• VLAN-Konzept entwerfen (Corporate/BYOD/Guest/IoT/Quarantäne)
• RADIUS-Server aufsetzen (Microsoft NPS oder FreeRADIUS)

Phase 2 (Wochen 5-8): PKI und Zertifikate

• Interne PKI aufbauen (Windows CA oder HashiCorp Vault PKI)
• Gerätezertifikate über Intune/SCCM/GPO ausrollen
• 802.1X auf Switches/APs konfigurieren (Monitor-Mode zuerst!)
• Test-Gruppe: 10-20 Pilotgeräte in 802.1X-Betrieb nehmen

Phase 3 (Wochen 9-12): Rollout und Policies

• Rollout auf alle verwalteten Geräte
• Posture Assessment aktivieren (Patch-Status, AV)
• BYOD-Policy definieren: welche privaten Geräte erlaubt?
• Gast-WLAN mit Captive Portal einrichten
• Monitoring und Alerting einrichten

Wichtig: Monitor-Mode vor Enforce-Mode! Zuerst NAC nur loggen lassen (keine Blockierung). Nach 2-4 Wochen: Enforce-Mode aktivieren. Vermeidet Produktionsausfälle bei Konfigurationsfehlern.

NAC vs. Zero Trust Network Access (ZTNA)

Merkmal	NAC	ZTNA (Zero Trust)
Ansatz	Perimeter-basiert (Netzwerkgrenze)	Application-basiert: Zugang zu einzelnen Anwendungen
Vertrauen	Gerät im Netz = Zugang zu VLANs	Jeder Zugriff wird geprüft (Never Trust, Always Verify)
Architektur	Klassische Enterprise-Architektur	Cloud-native, standortunabhängig
Stärken	Interne Netzwerke, On-Premises	Remote Work, Cloud-Apps
Schwächen	Lateral Movement nach erstem Zugang möglich	Höherer Einführungsaufwand

Empfehlung: NAC + ZTNA kombinieren

• NAC für interne Netzwerk-Segmentierung
• ZTNA für Remote Access statt klassisches VPN
• Ergebnis: Defense-in-Depth