Řízení přístupu do sítě - Network Access Control

Network Access Control ( NAC ) je přístup k zabezpečení počítače, který se pokouší sjednotit technologii zabezpečení koncových bodů (jako je antivirus , prevence narušení hostitele a posouzení zranitelnosti ), ověřování uživatelů nebo systémů a vynucování zabezpečení sítě .

Popis

Network Access Control (NAC) je řešení počítačové sítě, které používá sadu protokolů k definování a implementaci zásad, které popisují, jak zabezpečit přístup k síťovým uzlům zařízením, když se zpočátku pokouší o přístup k síti. NAC může integrovat proces automatické nápravy (oprava nevyhovujících uzlů před povolením přístupu) do síťových systémů, což umožňuje síťové infrastruktuře, jako jsou směrovače, přepínače a brány firewall, spolupracovat se servery back office a výpočetními zařízeními koncových uživatelů, aby zajistily informační systém funguje bezpečně, než je povolena interoperabilita. Základní formou NAC je standard 802.1X .

Cílem Network Access Control je dělat přesně to, co název napovídá - řídit přístup k síti pomocí zásad, včetně kontrol zásad zabezpečení před přijetím koncových bodů a kontrol po přijetí, kde se uživatelé a zařízení mohou v síti pohybovat a co mohou dělat.

Příklad

Když se počítač připojí k počítačové síti, není dovoleno k ničemu přistupovat, pokud to není v souladu se zásadami definovanými společností; včetně úrovně antivirové ochrany, úrovně aktualizace systému a konfigurace. Zatímco je počítač kontrolován předinstalovaným softwarovým agentem, má přístup pouze k prostředkům, které mohou napravit (vyřešit nebo aktualizovat) jakékoli problémy. Jakmile je zásada splněna, je počítač schopen přistupovat k síťovým prostředkům a internetu v rámci zásad definovaných systémem NAC. NAC se používá hlavně pro kontroly stavu koncových bodů, ale je často vázán na přístup založený na rolích. Přístup do sítě bude umožněn podle profilu osoby a výsledků kontroly držení těla / zdraví. Například v podniku může oddělení lidských zdrojů získat přístup pouze k souborům oddělení lidských zdrojů, pokud role i koncový bod splňují antivirová minima.

Cíle NAC

Protože NAC představuje vznikající kategorii bezpečnostních produktů, jeho definice se vyvíjí a je kontroverzní. Zastřešující cíle koncepce lze destilovat jako:

• Zmírnění útoků nulového dne
• Autorizace, autentizace a účtování síťových připojení.
• Šifrování provozu do bezdrátové a kabelové sítě pomocí protokolů pro 802.1X, jako jsou EAP-TLS, EAP-PEAP nebo EAP-MSCHAP.
• Role-založené kontroly uživatele, zařízení, aplikace nebo bezpečnostní post post autentizace.
• Automatizace pomocí dalších nástrojů k definování role sítě na základě dalších informací, jako jsou známé chyby zabezpečení, stav útěku z vězení atd.
  • Hlavní výhodou řešení NAC je zabránit koncovým stanicím, které postrádají antivirový program, záplaty nebo software pro prevenci narušení hostitele, v přístupu k síti a vystavení dalších počítačů riziku křížové kontaminace počítačových červů .
• Prosazování zásad
  • Řešení NAC umožňují provozovatelům sítě definovat zásady, jako jsou typy počítačů nebo role uživatelů, kterým je povolen přístup k oblastem sítě, a vynucovat je v přepínačích, směrovačích a síťových prostředních schránkách .
• Správa identity a přístupu
  • Tam, kde konvenční sítě IP prosazují zásady přístupu, pokud jde o adresy IP , se prostředí NAC pokouší o to na základě ověřených identit uživatelů, alespoň pro koncové stanice uživatelů, jako jsou notebooky a stolní počítače.

Koncepty

Před přijetím a po přijetí

V NAC existují dva převládající návrhy založené na tom, zda jsou zásady vynucovány před nebo po získání přístupu koncových stanic do sítě. V prvním případě, který se nazývá NAC před přijetím , jsou koncové stanice kontrolovány před povolením v síti. Typickým případem použití NAC před přijetím by bylo zabránit klientům s zastaralými antivirovými podpisy mluvit na citlivé servery. Alternativně po přijetí NAC provádí rozhodnutí o vynucování na základě akcí uživatelů poté, co těmto uživatelům byl poskytnut přístup k síti

Agent proti agentovi

Základní myšlenkou NAC je umožnit síti přijímat rozhodnutí o řízení přístupu na základě informací o koncových systémech, takže způsob, jakým je síť informována o koncových systémech, je klíčovým designovým rozhodnutím. Klíčovým rozdílem mezi systémy NAC je, zda vyžadují, aby software agenta hlásil vlastnosti koncového systému, nebo zda k odlišení těchto charakteristik na dálku používají techniky skenování a síťového inventáře.

Jak NAC dospěl, vývojáři softwaru, jako je Microsoft, přijali tento přístup a poskytli svého agenta ochrany přístupu k síti (NAP) jako součást svých verzí Windows 7, Vista a XP. Existují také agenti kompatibilní s NAP pro Linux a Mac OS X, kteří poskytují stejnou inteligenci pro tyto operační systémy.

Out-of-band versus inline

V některých out-of-band systémech jsou agenti distribuováni na koncových stanicích a hlásí informace do centrální konzoly, která zase může ovládat přepínače a vynucovat zásady. Naproti tomu inline řešení mohou být single-box řešení, která fungují jako interní brány firewall pro sítě přístupové vrstvy a vynucují zásady. Out-of-band řešení mají výhodu opětovného použití stávající infrastruktury; inline produkty lze snadněji nasadit v nových sítích a mohou poskytovat pokročilejší možnosti vynucování sítě, protože mají přímo pod kontrolou jednotlivé pakety na kabelu. Existují však produkty, které jsou bez agentů a mají obě inherentní výhody jednoduššího, méně riskantního nasazení mimo pásmo, ale používají techniky k zajištění inline efektivity pro nevyhovující zařízení, kde je vyžadováno vynucení.

Portály pro sanaci, karanténu a zajetí

Síťoví operátoři nasazují produkty NAC s očekáváním, že některým oprávněným klientům bude odepřen přístup do sítě (pokud by uživatelé nikdy neměli zastaralé úrovně oprav, byl by NAC zbytečný). Z tohoto důvodu vyžadují řešení NAC mechanismus k nápravě problémů koncových uživatelů, které jim odepírají přístup.

Dvě běžné strategie pro nápravu jsou karanténní sítě a portály pro vlastní potřebu :

Karanténa

Karanténní síť je omezená síť IP, která poskytuje uživatelům směrovaný přístup pouze k určitým hostitelům a aplikacím. Karanténa je často implementována z hlediska přiřazení VLAN ; když produkt NAC určí, že koncový uživatel je zastaralý, je jeho port přepínače přiřazen k síti VLAN, která je směrována pouze na opravné a aktualizační servery, nikoli ke zbytku sítě. Jiná řešení používají pro správu karantény techniky správy adres (například Address Resolution Protocol (ARP) nebo Neighbor Discovery Protocol (NDP)), čímž se vyhnou režii správy karanténních sítí VLAN.

Zajímavé portály

Captive portal zachycuje přístup HTTP na webové stránky a přesměrovává uživatele na webovou aplikaci, která poskytuje pokyny a nástroje pro aktualizaci jejich počítače. Dokud jejich počítač neprojde automatizovanou kontrolou, není povoleno žádné použití sítě kromě portálu pro vlastní potřebu. To je podobné způsobu, jakým placený bezdrátový přístup funguje na veřejných přístupových bodech.

Externí zajaté portály umožňují organizacím uvolnit bezdrátové ovladače a přepínače z hostování webových portálů. Jeden externí portál hostovaný zařízením NAC pro bezdrátové a kabelové ověřování eliminuje potřebu vytvářet více portálů a konsoliduje procesy správy zásad.

Mobilní NAC

Používání NAC v mobilním nasazení, kdy se pracovníci během pracovního dne připojují přes různé bezdrátové sítě , zahrnuje problémy, které v prostředí kabelové sítě LAN nejsou . Když je uživateli odepřen přístup z důvodu zabezpečení , dojde ke ztrátě produktivního využití zařízení, což může ovlivnit schopnost dokončit úlohu nebo sloužit zákazníkovi. Kromě toho může automatická náprava, která u kabelového připojení trvá jen několik sekund, trvat pomalejší bezdrátové datové připojení a zablokovat zařízení. Mobilní řešení NAC dává správcům systému větší kontrolu nad tím, zda, kdy a jak napravit bezpečnostní problém. Problém nižší úrovně, jako jsou zastaralé antivirové podpisy, může mít za následek jednoduché varování pro uživatele, zatímco závažnější problémy mohou vyústit v karanténu zařízení. Zásady lze nastavit tak, aby automatická náprava, jako je vytlačování a používání bezpečnostních oprav a aktualizací, byla zadržena, dokud nebude zařízení připojeno přes Wi-Fi nebo rychlejší připojení nebo po pracovní době. To umožňuje správcům nejvhodněji vyvážit potřebu zabezpečení s cílem udržet produktivitu pracovníků.

Viz také

• Ochrana přístupu k síti
• Řízení přístupu do sítě
• Důvěryhodné připojení k síti

Reference

externí odkazy

• NAC: Co se stalo?
• Booz Allen Hamilton ponechává na serveru DOD 60 tisíc nezabezpečených souborů