Nätverksåtkomstkontroll - Network Access Control

Network Access Control ( NAC ) är ett tillvägagångssätt för datasäkerhet som försöker förena slutpunktssäkerhetsteknik (såsom antivirus , förebyggande av värdintrång och bedömning av sårbarhet ), autentisering av användare eller system och verkställighet av nätverkssäkerhet .

Beskrivning

Network Access Control (NAC) är en dator nätverkslösning som använder en uppsättning protokoll för att utforma och genomföra en politik som beskriver hur man säkra tillgången till nätverksnoder av enheter när de ursprungligen försöker komma åt nätverket. NAC kan integrera den automatiska saneringsprocessen (fixa icke-kompatibla noder innan du tillåter åtkomst) i nätverkssystemen, så att nätverksinfrastrukturen som routrar, switchar och brandväggar kan arbeta tillsammans med backoffice-servrar och slutanvändarens datorutrustning för att säkerställa informationssystemet fungerar säkert innan driftskompatibilitet tillåts. En grundläggande form av NAC är 802.1X- standarden.

Nätverksåtkomstkontroll syftar till att göra exakt vad namnet antyder - kontrollera åtkomst till ett nätverk med policyer, inklusive säkerhetspolicykontroller före slutintag och kontroller efter tillträde över var användare och enheter kan gå i ett nätverk och vad de kan göra.

Exempel

När en dator ansluter till ett datornätverk är det inte tillåtet att komma åt någonting om det inte följer en affärsdefinierad policy. inklusive antivirusskyddsnivå, systemuppdateringsnivå och konfiguration. Medan datorn kontrolleras av en förinstallerad programvaruagent kan den bara komma åt resurser som kan åtgärda (lösa eller uppdatera) eventuella problem. När policyn har uppnåtts kan datorn komma åt nätverksresurser och Internet inom de policyer som definieras av NAC-systemet. NAC används främst för endpoint hälsokontroller, men det är ofta knutet till rollbaserad åtkomst. Tillgång till nätverket kommer att ges enligt personens profil och resultatet av en hållning / hälsokontroll. Till exempel, i ett företag kunde HR-avdelningen endast komma åt HR-avdelningsfiler om både rollen och slutpunkten uppfyller antivirusminimum.

Mål för NAC

Eftersom NAC representerar en framväxande kategori av säkerhetsprodukter är dess definition både utvecklande och kontroversiell. De övergripande målen för konceptet kan destilleras som:

• Lättgörande av nolldagarsattacker
• Auktorisering, autentisering och redovisning av nätverksanslutningar.
• Kryptering av trafik till det trådlösa och trådbundna nätverket med protokoll för 802.1X såsom EAP-TLS, EAP-PEAP eller EAP-MSCHAP.
• Rollbaserade kontroller av användar-, enhet-, applikations- eller säkerhetsställning autentisering.
• Automation med andra verktyg för att definiera nätverksroll baserat på annan information som kända sårbarheter, jailbreak-status etc.
  • Den största fördelen med NAC-lösningar är att förhindra att slutstationer som saknar antivirusprogram, korrigeringar eller programvara för intrångsförebyggande värd får åtkomst till nätverket och utsätter andra datorer för risk för korskontaminering av datormaskar .
• Policyhantering
  • NAC-lösningar gör det möjligt för nätoperatörer att definiera policyer, till exempel vilka typer av datorer eller roller som användare får åtkomst till områden i nätverket och genomdriva dem i switchar, routrar och nätverksmellanlådor .
• Identitets- och åtkomsthantering
  • När konventionella IP-nätverk tillämpar åtkomstpolicyer när det gäller IP-adresser , försöker NAC-miljöer göra det baserat på autentiserade användaridentiteter, åtminstone för användarendstationer som bärbara datorer och stationära datorer.

Begrepp

Förtillträde och efter antagning

Det finns två rådande konstruktioner i NAC, baserat på om policyer tillämpas före eller efter att slutstationer får tillgång till nätverket. I det tidigare fallet, kallat pre-admission NAC, inspekteras slutstationer innan de tillåts i nätverket. Ett typiskt användningsfall för NAC före antagning skulle vara att förhindra att klienter med föråldrade antivirussignaturer pratar med känsliga servrar. Alternativt fattar NAC efter antagning verkställighetsbeslut baserat på användaråtgärder, efter att dessa användare har fått tillgång till nätverket

Agent kontra agentlös

Den grundläggande idén bakom NAC är att låta nätverket fatta åtkomstkontrollbeslut baserat på intelligens om slutsystem, så det sätt på vilket nätverket informeras om slutsystem är ett viktigt designbeslut. En viktig skillnad mellan NAC-system är om de kräver agentprogramvara för att rapportera slutsystemets egenskaper eller om de använder skanning och nätverksinventeringstekniker för att urskilja dessa egenskaper på distans.

När NAC har mognat har programutvecklare som Microsoft antagit metoden och tillhandahållit deras nätverksaccessskydd (NAP) -agenten som en del av sina versioner av Windows 7, Vista och XP. Det finns också NAP-kompatibla agenter för Linux och Mac OS X som ger lika intelligens för dessa operativsystem.

Out-of-band kontra inline

I vissa out-of-band-system distribueras agenter på slutstationer och rapporterar information till en central konsol, som i sin tur kan styra växlar för att genomdriva policy. Däremot kan de inbyggda lösningarna vara lösningar med en låda som fungerar som interna brandväggar för åtkomstlagernätverk och verkställer policyn. Out-of-band-lösningar har fördelen att återanvända befintlig infrastruktur; Inline-produkter kan vara enklare att distribuera i nya nätverk och kan ge mer avancerade nätverkshanteringsfunktioner, eftersom de har direkt kontroll över enskilda paket på kabeln. Det finns dock produkter som är agentfria och har både de inneboende fördelarna med enklare, mindre riskabla out-of-band-distribution, men använder tekniker för att ge integrerad effektivitet för icke-kompatibla enheter, där tillämpning krävs.

Sanerings-, karantän- och fångportaler

Nätverksoperatörer distribuerar NAC-produkter med förväntan att vissa legitima kunder kommer att nekas åtkomst till nätverket (om användare aldrig hade föråldrade patchnivåer, skulle NAC vara onödigt). På grund av detta kräver NAC-lösningar en mekanism för att åtgärda slutanvändarproblemen som nekar dem tillgång.

Två vanliga strategier för sanering är karantännätverk och fångna portaler :

Karantän

Ett karantännätverk är ett begränsat IP-nätverk som endast ger användare åtkomst till vissa värdar och applikationer. Karantän implementeras ofta i termer av VLAN- uppdrag; när en NAC-produkt bestämmer att en slutanvändare är inaktuell, tilldelas deras switchport till ett VLAN som endast dirigeras för att korrigera och uppdatera servrar, inte till resten av nätverket. Andra lösningar använder adresshanteringstekniker (till exempel adressupplösningsprotokoll (ARP) eller grannskapsupptäcksprotokoll (NDP)) för karantän, vilket undviker omkostnaderna för att hantera karantän-VLAN.

Fångna portaler

En intern portal avlyssnar HTTP- åtkomst till webbsidor och omdirigerar användare till en webbapplikation som innehåller instruktioner och verktyg för att uppdatera sin dator. Tills deras dator klarar automatiserad inspektion är ingen nätverksanvändning förutom captive-portalen tillåten. Detta liknar det sätt på vilket betald trådlös åtkomst fungerar vid offentliga åtkomstpunkter.

Externa fångstportaler tillåter organisationer att ladda ner trådlösa styrenheter och växlar från webbportaler. En enda extern portal som hostas av en NAC-enhet för trådlös och trådbunden autentisering eliminerar behovet av att skapa flera portaler och konsoliderar policyhanteringsprocesser.

Mobil NAC

Att använda NAC i en mobil distribution, där arbetare ansluter via olika trådlösa nätverk under hela arbetsdagen, innebär utmaningar som inte finns i en trådbunden LAN- miljö. När en användare nekas åtkomst på grund av säkerhetsproblem går produktiv användning av enheten förlorad, vilket kan påverka möjligheten att slutföra ett jobb eller betjäna en kund. Dessutom kan automatiserad avhjälpning som tar bara sekunder på en trådbunden anslutning ta minuter över en långsammare trådlös dataanslutning, som går ner i enheten. En mobil NAC-lösning ger systemadministratörer större kontroll över om, när och hur man ska åtgärda säkerhetsproblemen. En oro av lägre klass som föråldrade antivirussignaturer kan resultera i en enkel varning till användaren, medan allvarligare problem kan leda till att enheten sätts i karantän. Policies kan ställas in så att automatiserad sanering, såsom att trycka ut och tillämpa säkerhetskorrigeringar och uppdateringar är avbrytas tills enheten är ansluten via en Wi-Fi eller snabbare anslutning eller efter arbetstid. Detta gör det möjligt för administratörer att på bästa sätt balansera behovet av säkerhet mot målet att hålla arbetarna produktiva.

Se även

• Nätverksåtkomstskydd
• Nätverksintagskontroll
• Trusted Network Connect

Referenser

externa länkar

• NAC: Vad gick fel?
• Booz Allen Hamilton lämnar 60 000 oskyddade filer på DOD-servern