Контроль доступа к сети - Network Access Control

Контроль доступа к сети (НАК) - это подход к компьютерной безопасности, который пытается объединить безопасность конечных точек технологии (например, антивирус, предотвращение вторжений на хост, и Оценка уязвимости ), пользователь или система аутентификация и сетевая безопасность исполнение.^[1]^[2]

Описание

Контроль доступа к сети (NAC) - это компьютер сеть решение, использующее набор протоколы для определения и реализации политики, описывающей, как защитить доступ к сети узлы устройствами при первоначальной попытке доступа к сети.^{[нужна цитата ]} NAC может интегрировать процесс автоматического исправления (исправление несовместимых узлов перед предоставлением доступа) в сетевые системы, позволяя сетевой инфраструктуре, такой как маршрутизаторы, коммутаторы и межсетевые экраны, работать вместе с серверами вспомогательного офиса и вычислительным оборудованием конечных пользователей для обеспечения информационная система работает безопасно до того, как будет разрешена совместимость. Базовая форма NAC - это 802.1X стандарт.

Контроль доступа к сети направлен на то, чтобы делать именно то, что следует из названия, - управлять доступом к сеть с политиками, включая проверки политик безопасности конечных точек перед допуском и контроль за тем, где пользователи и устройства могут выходить в сети и что они могут делать.

пример

Когда компьютер подключается к компьютерной сети, ему не разрешается доступ к чему-либо, если он не соответствует политике, определенной бизнесом; включая уровень антивирусной защиты, уровень обновления системы и конфигурацию. Пока компьютер проверяется предустановленным программным агентом, он может получить доступ только к ресурсам, которые могут исправить (решить или обновить) любые проблемы. После выполнения политики компьютер получает доступ к сетевым ресурсам и Интернету в рамках политик, определенных системой NAC. NAC в основном используется для проверки работоспособности конечных точек, но часто связан с доступом на основе ролей. Доступ к сети будет предоставлен в соответствии с профилем человека и результатами осанки / проверки здоровья. Например, на предприятии отдел кадров может получить доступ только к файлам отдела кадров, если и роль, и конечная точка соответствуют антивирусным минимумам.

Цели НАК

Поскольку NAC представляет собой развивающуюся категорию продуктов безопасности, его определение является одновременно развивающимся и спорным. Основные цели концепции можно сформулировать следующим образом:

Смягчение атаки нулевого дня
Авторизация, аутентификация и учет сетевых подключений.
Шифрование трафика в беспроводной и проводной сети с использованием протоколов 802.1X, таких как EAP-TLS, EAP-PEAP или EAP-MSCHAP.
Ролевой контроль аутентификации пользователя, устройства, приложения или состояния безопасности.
Автоматизация с другими инструментами для определения сетевой роли на основе другой информации, такой как известные уязвимости, статус взлома и т. Д.
- Основным преимуществом решений NAC является предотвращение доступа к сети конечных станций, не имеющих антивируса, исправлений или программного обеспечения для предотвращения вторжений хоста, что подвергает другие компьютеры риску перекрестного заражения. компьютерные черви.
Применение политики
- Решения NAC позволяют операторам сети определять политики, такие как типы компьютеров или роли пользователей, которым разрешен доступ к областям сети, и применять их в коммутаторах, маршрутизаторах и сетевые промежуточные ящики.
Управление идентификацией и доступом
- Если обычные IP-сети применяют политики доступа с точки зрения IP-адреса, Среды NAC пытаются сделать это на основе аутентифицированный идентификаторы пользователей, по крайней мере, для конечных станций пользователей, таких как ноутбуки и настольные компьютеры.

Концепции

До и после поступления

В NAC преобладают две конструкции, в зависимости от того, применяются ли политики до или после того, как конечные станции получат доступ к сети. В первом случае называется предварительный прием NAC, конечные станции проверяются до того, как они будут разрешены в сети. Типичным вариантом использования NAC перед допуском является предотвращение разговоров клиентов с устаревшими сигнатурами антивируса с уязвимыми серверами. В качестве альтернативы, пост-прием NAC принимает принудительные решения на основе действий пользователя после того, как этим пользователям был предоставлен доступ к сети.

Агент против безагентного

Фундаментальная идея, лежащая в основе NAC, состоит в том, чтобы позволить сети принимать решения по управлению доступом на основе информации о конечных системах, поэтому способ, которым сеть информируется о конечных системах, является ключевым проектным решением. Ключевое различие между системами NAC заключается в том, требуют ли они агентское программное обеспечение для отчета о характеристиках конечной системы или о том, используют ли они методы сканирования и сетевой инвентаризации для удаленного определения этих характеристик.

По мере развития NAC разработчики программного обеспечения, такие как Microsoft, приняли этот подход, предоставив свои защита доступа к сети (NAP) агент как часть их выпусков Windows 7, Vista и XP. Существуют также агенты, совместимые с NAP для Linux и Mac OS X, которые обеспечивают одинаковый интеллект для этих операционных систем.

Внеполосное против встроенного

В некоторых внеполосных системах агенты распределяются по конечным станциям и передают информацию на центральную консоль, которая, в свою очередь, может управлять переключателями для обеспечения соблюдения политики. Напротив, встроенные решения могут быть комплексными решениями, которые действуют как внутренние межсетевые экраны для сети уровня доступа и обеспечить соблюдение политики. Внеполосные решения имеют преимущество повторного использования существующей инфраструктуры; Встроенные продукты легче развернуть в новых сетях, и они могут предоставить более продвинутые возможности принудительного применения сети, поскольку они непосредственно контролируют отдельные пакеты в проводной сети. Однако есть продукты, которые не содержат агентов и обладают как неотъемлемыми преимуществами, так и более простым и менее рискованным внеполосным развертыванием, но при этом используют методы, обеспечивающие оперативную эффективность для несовместимых устройств, где требуется принудительное применение.

Порталы реабилитации, карантина и захвата

Сетевые операторы развертывают продукты NAC, ожидая, что некоторым законным клиентам будет отказано в доступе к сети (если у пользователей никогда не было устаревших уровней исправлений, в NAC не было бы необходимости). Из-за этого решения NAC требуют механизма для устранения проблем конечных пользователей, которые запрещают им доступ.

Двумя общими стратегиями восстановления являются карантинные сети и плененные порталы:

Карантин: Карантинная сеть - это IP-сеть с ограниченным доступом, которая предоставляет пользователям маршрутизируемый доступ только к определенным хостам и приложениям. Карантин часто вводят в VLAN присвоение; когда продукт NAC определяет, что конечный пользователь устарел, его порт коммутатора назначается VLAN, которая маршрутизируется только для исправлений и обновлений серверов, а не для остальной сети. В других решениях используются методы управления адресами (например, Протокол разрешения адресов (ARP) или Протокол обнаружения соседей (NDP)) для карантина, что позволяет избежать накладных расходов на управление карантинными VLAN.
Захватывающие порталы: Плененный портал перехватывает HTTP доступ к веб-страницам, перенаправляющий пользователей к веб-приложению, которое предоставляет инструкции и инструменты для обновления их компьютера. Пока их компьютер не пройдет автоматическую проверку, использование сети, кроме адаптивного портала, запрещено. Это похоже на то, как работает платный беспроводной доступ в общественных точках доступа.

Внешние Captive Portals позволяют организациям выгружать беспроводные контроллеры и коммутаторы с хостинговых веб-порталов. Единый внешний портал, размещенный на устройстве NAC для беспроводной и проводной аутентификации, устраняет необходимость в создании нескольких порталов и объединяет процессы управления политиками.

Мобильный NAC

Использование NAC в мобильный развертывание, когда рабочие соединяются через различные беспроводные сети в течение рабочего дня возникают проблемы, которых нет в проводном LAN Окружающая среда. Когда пользователю отказано в доступе из-за безопасность беспокойство, продуктивное использование устройства потеряно, что может повлиять на способность выполнять работу или обслуживать клиента. Кроме того, автоматическое исправление, которое занимает всего секунды при проводном соединении, может занять несколько минут при более медленном беспроводном соединении для передачи данных, что приведет к остановке устройства.^[3] Мобильное решение NAC дает системным администраторам больший контроль над тем, нужно ли, когда и как решать проблему безопасности.^[4] Проблема более низкого уровня, например, устаревшая антивирус подписи могут привести к простому предупреждению для пользователя, тогда как более серьезные проблемы могут привести к карантину устройства.^[5] Политики могут быть настроены таким образом, чтобы автоматическое исправление, такое как выталкивание и применение безопасности патчи и обновления, удерживается до тех пор, пока устройство не будет подключено через Wi-Fi или более быстрое соединение, или в нерабочее время.^[3] Это позволяет администраторам наиболее подходящим образом сбалансировать потребность в безопасности с целью поддержания производительности сотрудников.^[5]

Смотрите также

использованная литература

^ «IEEE 802.1: 802.1X-REV - Версия 802.1X-2004 - Управление доступом к сети на основе портов». ieee802.org.
^ Учебник: Контроль доступа к сети (NAC) Майк Фратто, Network Computing, 17 июля 2007 г.
^ ^а ^б «Контроль доступа к мобильной сети: распространение политик корпоративной безопасности на мобильные устройства» (PDF). Архивировано 5 октября 2011 года.. Получено 2011-05-28.CS1 maint: BOT: статус исходного URL-адреса неизвестен (ссылка на сайт)
^ «Модуль контроля доступа к сети» В архиве 2011-09-03 на Wayback Machine
^ ^а ^б «Полевые технологии онлайн». Архивировано 14 марта 2012 года.. Получено 2011-05-28.CS1 maint: BOT: статус исходного URL-адреса неизвестен (ссылка на сайт)

внешние ссылки

[1] «IEEE 802.1: 802.1X-REV - Версия 802.1X-2004 - Управление доступом к сети на основе портов». ieee802.org.

[2] Учебник: Контроль доступа к сети (NAC) Майк Фратто, Network Computing, 17 июля 2007 г.

[paper-3] а ^б «Контроль доступа к мобильной сети: распространение политик корпоративной безопасности на мобильные устройства» (PDF). Архивировано 5 октября 2011 года.. Получено 2011-05-28.CS1 maint: BOT: статус исходного URL-адреса неизвестен (ссылка на сайт)

[4] «Модуль контроля доступа к сети» В архиве 2011-09-03 на Wayback Machine

[field-5] а ^б «Полевые технологии онлайн». Архивировано 14 марта 2012 года.. Получено 2011-05-28.CS1 maint: BOT: статус исходного URL-адреса неизвестен (ссылка на сайт)

[1]

[2]

[3]

[4]

[5]