Kontrola dostępu do sieci — Network Access Control

Network Access Control ( NAC ) to podejście do bezpieczeństwa komputera, które ma na celu ujednolicenie technologii bezpieczeństwa punktów końcowych (takich jak antywirus , zapobieganie włamaniom do hosta i ocena podatności ), uwierzytelnianie użytkowników lub systemów oraz egzekwowanie bezpieczeństwa sieci .

Opis

Network Access Control (NAC) to rozwiązanie sieci komputerowej , które wykorzystuje zestaw protokołów do definiowania i wdrażania zasad opisujących sposób zabezpieczania dostępu do węzłów sieci przez urządzenia, które początkowo próbują uzyskać dostęp do sieci. NAC może zintegrować automatyczny proces naprawczy (naprawianie niezgodnych węzłów przed zezwoleniem na dostęp) z systemami sieciowymi, umożliwiając infrastrukturze sieciowej, takiej jak routery, przełączniki i zapory ogniowe, współpracę z serwerami zaplecza i sprzętem komputerowym użytkownika końcowego w celu zapewnienia systemu informatycznego działa bezpiecznie, zanim zostanie dozwolona interoperacyjność. Podstawową formą NAC jest standard 802.1X .

Network Access Control ma na celu robienie dokładnie tego, co sugeruje nazwa — kontrolowanie dostępu do sieci za pomocą zasad, w tym sprawdzanie zasad bezpieczeństwa punktów końcowych przed przyjęciem oraz kontrole po wejściu do sieci dotyczące tego, gdzie użytkownicy i urządzenia mogą wejść do sieci i co mogą zrobić.

Przykład

Gdy komputer łączy się z siecią komputerową, nie można uzyskać dostępu do czegokolwiek, chyba że jest to zgodne z zasadami zdefiniowanymi przez firmę; w tym poziom ochrony antywirusowej, poziom aktualizacji systemu i konfiguracja. Podczas gdy komputer jest sprawdzany przez preinstalowanego agenta oprogramowania, ma on dostęp tylko do zasobów, które mogą rozwiązać (rozwiązać lub zaktualizować) wszelkie problemy. Po spełnieniu zasad komputer uzyskuje dostęp do zasobów sieciowych i Internetu w ramach zasad zdefiniowanych przez system NAC. NAC jest używany głównie do kontroli kondycji punktów końcowych, ale często jest powiązany z dostępem opartym na rolach. Dostęp do sieci zostanie przyznany zgodnie z profilem osoby i wynikami kontroli postawy/zdrowia. Na przykład w przedsiębiorstwie dział HR może uzyskać dostęp tylko do plików działu HR, jeśli zarówno rola, jak i punkt końcowy spełniają minimalne wymagania antywirusowe.

Cele NAC

Ponieważ NAC reprezentuje wschodzącą kategorię produktów zabezpieczających, jej definicja jest zarówno ewoluująca, jak i kontrowersyjna. Nadrzędne cele koncepcji można wydestylować jako:

• Łagodzenie ataków dnia zerowego
• Autoryzacja, uwierzytelnianie i rozliczanie połączeń sieciowych.
• Szyfrowanie ruchu do sieci bezprzewodowej i przewodowej przy użyciu protokołów 802.1X, takich jak EAP-TLS, EAP-PEAP lub EAP-MSCHAP.
• Oparta na rolach kontrola uwierzytelniania użytkownika, urządzenia, aplikacji lub stanu zabezpieczeń.
• Automatyzacja za pomocą innych narzędzi do definiowania roli sieci na podstawie innych informacji, takich jak znane luki, stan jailbreak itp.
  • Główną zaletą rozwiązań NAC jest zapobieganie uzyskiwaniu dostępu do sieci przez stacje końcowe bez oprogramowania antywirusowego, poprawek lub oprogramowania zapobiegającego włamaniom i narażanie innych komputerów na ryzyko wzajemnego zakażenia robakami komputerowymi .
• Egzekwowanie zasad
  • Rozwiązania NAC pozwalają operatorom sieci definiować polityki, takie jak typy komputerów lub role użytkowników, którym wolno uzyskiwać dostęp do obszarów sieci, oraz egzekwować je w przełącznikach, routerach i sieciach middlebox .
• Zarządzanie tożsamością i dostępem
  • Tam, gdzie konwencjonalne sieci IP wymuszają zasady dostępu w odniesieniu do adresów IP , środowiska NAC próbują to robić w oparciu o uwierzytelnione tożsamości użytkowników, przynajmniej w przypadku stacji końcowych użytkowników, takich jak laptopy i komputery stacjonarne.

Koncepcje

Przed przyjęciem i po przyjęciu

Istnieją dwa dominujące projekty NAC, oparte na tym, czy zasady są egzekwowane przed, czy po uzyskaniu dostępu do sieci przez stacje końcowe. W pierwszym przypadku, zwanym NAC przed przyjęciem , stacje końcowe są sprawdzane przed dopuszczeniem do sieci. Typowym przypadkiem użycia NAC przed przyjęciem byłoby uniemożliwienie klientom z nieaktualnymi sygnaturami antywirusowymi komunikowania się z wrażliwymi serwerami. Alternatywnie, po dopuszczeniu NAC podejmuje decyzje egzekucyjne na podstawie działań użytkownika, po tym, jak użytkownicy ci uzyskają dostęp do sieci

Agent kontra bez agenta

Podstawową ideą NAC jest umożliwienie sieci podejmowania decyzji dotyczących kontroli dostępu w oparciu o inteligencję dotyczącą systemów końcowych, więc sposób, w jaki sieć jest informowana o systemach końcowych, jest kluczową decyzją projektową. Kluczową różnicą między systemami NAC jest to, czy wymagają one oprogramowania agenta do raportowania charakterystyk systemu końcowego, czy też używają technik skanowania i inwentaryzacji sieci do zdalnego rozpoznawania tych charakterystyk.

W miarę dojrzewania NAC twórcy oprogramowania, tacy jak Microsoft, przyjęli to podejście, zapewniając agenta ochrony dostępu do sieci (NAP) jako część swoich wersji Windows 7, Vista i XP. Istnieją również agenty zgodne z NAP dla systemów Linux i Mac OS X, które zapewniają taką samą inteligencję dla tych systemów operacyjnych.

Poza pasmem a wbudowanym

W niektórych systemach pozapasmowych agenci są rozmieszczeni na stacjach końcowych i przesyłają informacje do konsoli centralnej, która z kolei może sterować przełącznikami w celu egzekwowania zasad. W przeciwieństwie do tego rozwiązania inline mogą być rozwiązaniami typu single-box, które działają jak wewnętrzne zapory sieciowe dla sieci warstwy dostępowej i egzekwują politykę. Rozwiązania pozapasmowe mają tę zaletę, że ponownie wykorzystują istniejącą infrastrukturę; Produkty inline mogą być łatwiejsze do wdrożenia w nowych sieciach i mogą zapewniać bardziej zaawansowane możliwości egzekwowania sieci, ponieważ bezpośrednio kontrolują poszczególne pakiety w sieci. Istnieją jednak produkty, które są bezagentowe i mają nieodłączne zalety łatwiejszego, mniej ryzykownego wdrażania pozapasmowego, ale wykorzystują techniki w celu zapewnienia skuteczności wbudowanej w przypadku niezgodnych urządzeń, w których wymagane jest egzekwowanie.

Portale naprawcze, kwarantanny i przechwytujące

Operatorzy sieci wdrażają produkty NAC, oczekując, że niektórym legalnym klientom odmówiony zostanie dostęp do sieci (jeśli użytkownicy nigdy nie mieli nieaktualnych poziomów poprawek, NAC byłby niepotrzebny). Z tego powodu rozwiązania NAC wymagają mechanizmu eliminującego problemy użytkowników końcowych, które odmawiają im dostępu.

Dwie popularne strategie naprawcze to sieci kwarantanny i portale przechwytujące :

Kwarantanna

Sieć kwarantanny to ograniczona sieć IP, która zapewnia użytkownikom routowany dostęp tylko do określonych hostów i aplikacji. Kwarantanna jest często implementowana pod kątem przypisania sieci VLAN ; gdy produkt NAC ustali, że użytkownik końcowy jest nieaktualny, jego port przełącznika jest przypisywany do sieci VLAN, która jest kierowana tylko do serwerów poprawek i aktualizacji, a nie do reszty sieci. Inne rozwiązania wykorzystują techniki zarządzania adresami (takie jak Address Resolution Protocol (ARP) lub Neighbor Discovery Protocol (NDP)) do kwarantanny, co pozwala uniknąć narzutów związanych z zarządzaniem kwarantannowymi sieciami VLAN.

Portale przechwytujące

Portal przechwytujący przechwytuje dostęp HTTP do stron internetowych, przekierowując użytkowników do aplikacji internetowej, która udostępnia instrukcje i narzędzia do aktualizacji komputera. Dopóki ich komputer nie przejdzie automatycznej kontroli, nie można korzystać z sieci poza portalem przechwytującym. Jest to podobne do sposobu, w jaki płatny dostęp bezprzewodowy działa w publicznych punktach dostępu.

Zewnętrzne portale przechwytujące umożliwiają organizacjom odciążenie kontrolerów i przełączników bezprzewodowych z hostowania portali internetowych. Pojedynczy portal zewnętrzny hostowany przez urządzenie NAC do uwierzytelniania bezprzewodowego i przewodowego eliminuje potrzebę tworzenia wielu portali i konsoliduje procesy zarządzania zasadami.

Mobilny NAC

Korzystanie z NAC we wdrożeniu mobilnym , w którym pracownicy łączą się za pośrednictwem różnych sieci bezprzewodowych w ciągu dnia pracy, wiąże się z wyzwaniami, które nie występują w środowisku przewodowej sieci LAN . Gdy użytkownikowi odmówiono dostępu ze względów bezpieczeństwa , produktywne użytkowanie urządzenia zostaje utracone, co może mieć wpływ na możliwość wykonania zadania lub obsługi klienta. Ponadto automatyczne działania naprawcze, które w przypadku połączenia przewodowego zajmują tylko kilka sekund, mogą zająć kilka minut w przypadku wolniejszego bezprzewodowego połączenia danych, powodując ugrzęźnięcie urządzenia. Mobilne rozwiązanie NAC daje administratorom systemów większą kontrolę nad tym, czy, kiedy i jak rozwiązać problem bezpieczeństwa. Obawy niższej rangi, takie jak nieaktualne sygnatury antywirusowe, mogą skutkować prostym ostrzeżeniem dla użytkownika, podczas gdy poważniejsze problemy mogą skutkować poddaniem urządzenia kwarantannie. Zasady mogą być ustawione tak, aby automatyczne działania naprawcze, takie jak wypychanie i stosowanie poprawek zabezpieczeń i aktualizacji, były wstrzymywane do czasu połączenia urządzenia przez Wi-Fi lub szybsze połączenie albo po godzinach pracy. Pozwala to administratorom na najbardziej odpowiednie zrównoważenie potrzeby bezpieczeństwa z celem utrzymania produktywności pracowników.

Zobacz też

• Ochrona dostępu do sieci
• Kontrola dostępu do sieci
• Zaufane połączenie sieciowe

Bibliografia

Linki zewnętrzne

• NAC: Co poszło nie tak?
• Booz Allen Hamilton pozostawia 60 tys. niezabezpieczonych plików na serwerze DOD