Hálózati hozzáférés-vezérlés - Network Access Control

A hálózati hozzáférés-vezérlés ( NAC ) a számítógépek biztonságának olyan megközelítése, amely megkísérli egyesíteni a végpont biztonsági technológiáját (például antivírus , gazdagép-behatolás-megelőzés és sebezhetőség-értékelés ), a felhasználói vagy rendszer- hitelesítést és a hálózati biztonság érvényesítését.

Leírás

A hálózati hozzáférés-vezérlés (NAC) egy számítógépes hálózati megoldás, amely protokollkészlet segítségével meghatározza és végrehajtja azt a házirendet, amely leírja, hogyan biztosíthatják az eszközök hálózati hozzáférését a hálózati csomópontokhoz , amikor azok először megpróbálnak hozzáférni a hálózathoz. A NAC integrálhatja az automatikus helyreállítási folyamatot (a nem megfelelő csomópontok javítása a hozzáférés engedélyezése előtt) a hálózati rendszerbe, lehetővé téve a hálózati infrastruktúra, például az útválasztók, kapcsolók és tűzfalak számára, hogy működjenek együtt a back office szerverekkel és a végfelhasználói számítástechnikai berendezésekkel az információs rendszer biztosítása érdekében. az átjárhatóság engedélyezése előtt biztonságosan működik. A NAC alapformája a 802.1X szabvány.

Network Access Control a célja, hogy pontosan mit a neve is mutatja, irányítsa a hozzáférést a hálózathoz a politika, így a felvétel előtti végpont-biztonsági politika ellenőrzések és post-felvételi feletti ellenőrzés, ahol a felhasználók és eszközök mehet a hálózaton, és mit tudnak csinálni.

Példa

Amikor egy számítógép számítógépes hálózathoz csatlakozik, akkor semmihez sem férhet hozzá, hacsak nem felel meg az üzleti életben meghatározott irányelveknek; beleértve a vírusvédelmi szintet, a rendszerfrissítés szintjét és a konfigurációt. Amíg a számítógépet egy előre telepített szoftverügynök ellenőrzi, csak olyan erőforrásokhoz férhet hozzá, amelyek orvosolhatják (megoldhatják vagy frissíthetik) a problémákat. A házirend teljesülése után a számítógép hozzáférhet a hálózati erőforrásokhoz és az internethez, a NAC rendszer által meghatározott házirendeken belül. A NAC-ot elsősorban a végpontok állapotfelmérésére használják, de gyakran a szerepalapú hozzáféréshez kötik. A hálózathoz való hozzáférést a személy profiljától és a testtartás / állapotfelmérés eredményeitől függően kapják meg. Például egy vállalkozásban a HR osztály csak akkor érheti el a HR osztály fájljait, ha mind a szerep, mind a végpont megfelel a vírusirtó minimumoknak.

A NAC céljai

Mivel a NAC a biztonsági termékek feltörekvő kategóriáját képviseli, definíciója egyszerre fejlődik és ellentmondásos. A koncepció átfogó céljai a következőképpen bonthatók le:

• A nulla napos támadások enyhítése
• Hálózati kapcsolatok engedélyezése, hitelesítése és könyvelése.
• A vezeték nélküli és vezetékes hálózatra irányuló forgalom titkosítása a 802.1X protokollok - például EAP-TLS, EAP-PEAP vagy EAP-MSCHAP - használatával.
• A felhasználó, eszköz, alkalmazás vagy biztonsági testtartás utáni hitelesítés szerepalapú vezérlése.
• Automatizálás más eszközökkel a hálózati szerepkör meghatározásához más információk, például ismert sebezhetőségek, jailbreak állapot stb. Alapján
  • A NAC megoldások legfőbb előnye, hogy megakadályozzák a vírusirtóktól, patchektől vagy a behatolásgátló szoftverektől hiányzó végállomások hozzáférését a hálózathoz, és más számítógépek veszélyeztetését a számítógépes férgek keresztszennyeződése miatt .
• Irányelvek érvényesítése
  • A NAC megoldások lehetővé teszik a hálózatüzemeltetők számára, hogy meghatározzák a házirendeket, például a számítógépek típusait vagy a felhasználók szerepeit, akik hozzáférhetnek a hálózat területeihez, és kikényszerítik őket a kapcsolókban, útválasztókban és a hálózati középdobozokban .
• Azonosítás és a hozzáférés kezelése
  • Ahol a hagyományos IP-hálózatok az IP-címek tekintetében kikényszerítik a hozzáférési házirendeket , a NAC-környezetek ezt hitelesített felhasználói azonosítók alapján próbálják megtenni , legalábbis a felhasználói végállomások, például laptopok és asztali számítógépek esetében.

Fogalmak

Elő- és utófelvétel

A NAC-ban két uralkodó kialakítás létezik, azon alapulva, hogy a házirendeket érvényre juttatják-e, mielőtt a végállomások hozzáférnek a hálózathoz vagy azt követően. Az előbbi, úgynevezett előzetes felvételi NAC-nak, a végállomásokat ellenőrzik, mielőtt engedélyeznék őket a hálózatra. A felvétel előtti NAC tipikus felhasználási esete az lenne, ha megakadályoznák az elavult víruskereső aláírással rendelkező ügyfelek érzékeny kiszolgálókkal való beszélgetését. Alternatív megoldásként a felvétel utáni NAC a végrehajtási döntéseket a felhasználói műveletek alapján hozza meg, miután ezeknek a felhasználóknak hozzáférést biztosítottak a hálózathoz

Ügynök kontra ügynök nélküli

A NAC alapgondolata az, hogy lehetővé tegye a hálózat számára a beléptetés-ellenőrzési döntések meghozatalát a végrendszerekkel kapcsolatos intelligencia alapján, tehát a hálózat végső rendszerekről történő tájékoztatásának módja kulcsfontosságú tervezési döntés. A legfontosabb különbség a NAC rendszerek között az, hogy ügynökszoftvert igényelnek-e a végrendszer jellemzőinek jelentésére, vagy szkennelési és hálózati készletezési technikákat alkalmaznak e jellemzők távoli felismerésére.

A NAC érlelésével az olyan szoftverfejlesztők, mint a Microsoft, elfogadták ezt a megközelítést, a Windows 7, Vista és XP kiadások részeként biztosítva a hálózati hozzáférés (NAP) ügynöküket. Vannak NAP-kompatibilis ügynökök a Linuxhoz és a Mac OS X-hez is, amelyek egyenlő intelligenciát biztosítanak ezekhez az operációs rendszerekhez.

Sávon kívül, versus inline

Egyes sávon kívüli rendszerekben az ügynököket végállomásokon osztják szét, és információkat közölnek egy központi konzolon, amely viszont vezérelheti a kapcsolókat a házirend betartatása érdekében. Ezzel szemben az inline megoldások lehetnek egy dobozos megoldások, amelyek belső tűzfalakként működnek az hozzáférési rétegű hálózatok számára, és kikényszerítik a házirendet. A sávon kívüli megoldások előnye, hogy újból felhasználják a meglévő infrastruktúrát; az inline termékeket könnyebben telepíthetik az új hálózatokon, és fejlettebb hálózati végrehajtási képességeket biztosíthatnak, mivel közvetlenül vezérlik az egyes vezetékeken lévő csomagokat. Vannak azonban olyan termékek, amelyek ügynökök nélküliek, és mindkettőnek megvan az az előnye, hogy könnyebb, kevésbé kockázatos a sávon kívüli telepítés, azonban technikákat alkalmaz a belső hatékonyság biztosítására a nem megfelelő eszközök számára, ahol végrehajtásra van szükség.

Helyreállítás, karanténba helyezés és befogott portálok

A hálózatüzemeltetők azzal a várakozással telepítik a NAC termékeket, hogy egyes törvényes ügyfelektől megtagadják a hozzáférést a hálózathoz (ha a felhasználóknak soha nem voltak elavult javítási szintjeik, akkor a NAC szükségtelen lenne). Emiatt a NAC megoldásokhoz olyan mechanizmusra van szükség, amely orvosolja a végfelhasználói problémákat, amelyek megtiltják számukra a hozzáférést.

A helyreállítás két általános stratégiája a karanténhálózatok és a rögzített portálok :

Karantén

A karanténhálózat egy korlátozott IP-hálózat, amely a felhasználók számára csak bizonyos gazdagépekhez és alkalmazásokhoz vezet útvonalhoz való hozzáférést. A karantén gyakran a VLAN- hozzárendelés szempontjából valósul meg ; amikor egy NAC termék megállapítja, hogy a végfelhasználó elavult, a kapcsoló portjuk egy VLAN-hoz van rendelve, amelyet csak a szerverek javítására és frissítésére irányítanak, a hálózat többi részére nem. Más megoldások címkezelési technikákat használnak (például az Address Resolution Protocol (ARP) vagy a Neighbor Discovery Protocol (NDP)) a karanténhoz, elkerülve a karanténba eső VLAN-ok kezelésének többletköltségeit.

Fogságban lévő portálok

A rögzített portál elfogja a weboldalak HTTP- hozzáférését, átirányítva a felhasználókat egy webalkalmazáshoz, amely utasításokat és eszközöket nyújt a számítógépük frissítéséhez. Amíg a számítógépük nem teljesíti az automatikus ellenőrzést, a rögzített portálon kívül semmilyen hálózati használat nem megengedett. Ez hasonló ahhoz, ahogy a fizetős vezeték nélküli hozzáférés a nyilvános hozzáférési pontokon működik.

A külső rögzített portálok lehetővé teszik a szervezetek számára a vezeték nélküli vezérlők és a webportálok üzemeltetéséről történő átkapcsolást. Egy NAC-eszköz által üzemeltetett egyetlen külső portál vezeték nélküli és vezetékes hitelesítéshez feleslegessé teszi több portál létrehozásának szükségességét, és megszilárdítja a házirend-kezelési folyamatokat.

Mobil NAC

A NAC használata mobil telepítésben, ahol a dolgozók különféle vezeték nélküli hálózatokon keresztül csatlakoznak a munkanap során, olyan kihívásokkal jár, amelyek nincsenek vezetékes LAN környezetben. Ha a felhasználó biztonsági okokból megtagadja a hozzáférést , akkor az eszköz produktív használata elvész, ami befolyásolhatja a munka elvégzésének vagy az ügyfél kiszolgálásának képességét. Ezenkívül az automatizált helyreállítás, amely csak másodperceket vesz igénybe vezetékes kapcsolaton, perceket vehet igénybe egy lassabb vezeték nélküli adatkapcsolaton keresztül, ami elakasztja az eszközt. A mobil NAC megoldás lehetővé teszi a rendszergazdák számára, hogy jobban ellenőrizzék, hogy miként, hogyan és hogyan lehet orvosolni a biztonsági problémákat. Az alacsonyabb szintű aggályok, mint például az elavult vírusirtó- aláírások, egyszerű figyelmeztetést eredményezhetnek a felhasználó számára, míg komolyabb problémák az eszköz karanténba helyezését eredményezhetik. A házirendek úgy határozhatók meg, hogy az automatikus helyreállítást, például a biztonsági javítások és frissítések kitolását és alkalmazását , visszatartják mindaddig, amíg az eszköz Wi-Fi vagy gyorsabb kapcsolaton keresztül, vagy munkaidő után csatlakozik. Ez lehetővé teszi az adminisztrátorok számára, hogy a legmegfelelőbben egyensúlyba hozzák a biztonság iránti igényt a munkavállalók termelékenységének megőrzésének céljával.

Lásd még

• Hálózati hozzáférés védelme
• Hálózati felvételi ellenőrzés
• Megbízható hálózati kapcsolat

Hivatkozások

Külső linkek

• NAC: Mi ment rosszul?
• Booz Allen Hamilton 60 ezer nem védett fájlt hagy a DOD szerveren