Контроль доступа к сети ( NAC ) - это подход к компьютерной безопасности, который пытается объединить технологию безопасности конечных точек (например, антивирус , предотвращение вторжений на хост и оценку уязвимости ), аутентификацию пользователя или системы и обеспечение безопасности сети . [1] [2]
Описание
Контроль доступа к сети (NAC) - это компьютерное сетевое решение, которое использует набор протоколов для определения и реализации политики, описывающей, как устройства защитить доступ к сетевым узлам при первоначальной попытке доступа к сети. [ необходима цитата ] NAC может интегрировать процесс автоматического исправления (исправление несоответствующих узлов перед предоставлением доступа) в сетевые системы, позволяя сетевой инфраструктуре, такой как маршрутизаторы, коммутаторы и межсетевые экраны, работать вместе с серверами вспомогательного офиса и вычислительным оборудованием конечных пользователей для убедитесь, что информационная система работает безопасно, прежде чем будет разрешено взаимодействие. Базовая форма NAC - это стандарт 802.1X .
Контроль доступа к сети направлен на то, чтобы делать именно то, что подразумевается в названии, - управлять доступом к сети с помощью политик, включая проверки политик безопасности конечных точек перед допуском и средства контроля после допуска, определяющие, где пользователи и устройства могут выходить в сети и что они могут делать.
Пример
Когда компьютер подключается к компьютерной сети, ему не разрешается доступ ни к чему, если он не соответствует политике, определенной бизнесом; включая уровень антивирусной защиты, уровень обновления системы и конфигурацию. Пока компьютер проверяется предустановленным программным агентом, он может получить доступ только к ресурсам, которые могут исправить (решить или обновить) любые проблемы. После выполнения политики компьютер получает доступ к сетевым ресурсам и Интернету в рамках политик, определенных системой NAC. NAC в основном используется для проверки работоспособности конечных точек, но часто привязан к ролевому доступу. Доступ к сети будет предоставлен в соответствии с профилем человека и результатами осанки / проверки здоровья. Например, на предприятии отдел кадров может получить доступ только к файлам отдела кадров, если и роль, и конечная точка соответствуют антивирусным минимумам.
Цели НАК
Поскольку NAC представляет собой развивающуюся категорию продуктов безопасности, его определение является одновременно развивающимся и спорным. Основные цели концепции можно сформулировать следующим образом:
- Смягчение атак нулевого дня
- Авторизация, аутентификация и учет сетевых подключений.
- Шифрование трафика в беспроводной и проводной сети с использованием протоколов 802.1X, таких как EAP-TLS, EAP-PEAP или EAP-MSCHAP.
- Ролевые элементы управления аутентификацией пользователя, устройства, приложения или состояния безопасности.
- Автоматизация с другими инструментами для определения сетевой роли на основе другой информации, такой как известные уязвимости, статус взлома и т. Д.
- Основным преимуществом решений NAC является предотвращение доступа к сети конечных станций, не имеющих антивируса, исправлений или программного обеспечения для предотвращения вторжений хоста, что подвергает другие компьютеры риску перекрестного заражения компьютерными червями .
- Применение политики
- Решения NAC позволяют операторам сети определять политики, такие как типы компьютеров или роли пользователей, которым разрешен доступ к областям сети, и применять их в коммутаторах, маршрутизаторах и сетевых промежуточных ящиках .
- Управление идентификацией и доступом
- Там, где обычные IP-сети применяют политики доступа с точки зрения IP-адресов , среды NAC пытаются сделать это на основе аутентифицированных идентификаторов пользователей, по крайней мере, для конечных станций пользователей, таких как ноутбуки и настольные компьютеры.
Концепции
До и после поступления
В NAC преобладают две конструкции, в зависимости от того, применяются ли политики до или после того, как конечные станции получат доступ к сети. В первом случае, называемом NAC перед допуском , конечные станции проверяются до того, как им будет разрешено работать в сети. Типичным вариантом использования NAC перед допуском является предотвращение взаимодействия клиентов с устаревшими антивирусными сигнатурами с уязвимыми серверами. В качестве альтернативы, NAC после допуска принимает решения о принудительном применении на основе действий пользователя после того, как этим пользователям был предоставлен доступ к сети.
Агент против безагентного
Фундаментальная идея, лежащая в основе NAC, состоит в том, чтобы позволить сети принимать решения по управлению доступом на основе информации о конечных системах, поэтому способ, которым сеть информируется о конечных системах, является ключевым проектным решением. Ключевое различие между системами NAC заключается в том, требуется ли им программное обеспечение агента для отчета о характеристиках конечной системы или они используют методы сканирования и сетевой инвентаризации для удаленного определения этих характеристик.
По мере развития NAC разработчики программного обеспечения, такие как Microsoft, приняли этот подход, предоставив свой агент защиты доступа к сети (NAP) как часть своих выпусков Windows 7, Vista и XP. Существуют также агенты, совместимые с NAP, для Linux и Mac OS X, которые обеспечивают одинаковый интеллект для этих операционных систем.
Внеполосное против встроенного
В некоторых внеполосных системах агенты распределяются по конечным станциям и передают информацию на центральную консоль, которая, в свою очередь, может управлять переключателями для обеспечения соблюдения политики. Напротив, встроенные решения могут быть комплексными решениями, которые действуют как внутренние брандмауэры для сетей уровня доступа и обеспечивают соблюдение политики. Внеполосные решения имеют преимущество повторного использования существующей инфраструктуры; Встроенные продукты легче развернуть в новых сетях, и они могут предоставить более продвинутые возможности принудительного применения сети, поскольку они непосредственно контролируют отдельные пакеты в проводной сети. Однако есть продукты, которые не содержат агентов и обладают как неотъемлемыми преимуществами - более простым и менее рискованным внеполосным развертыванием, но и используют методы для обеспечения внутренней эффективности для несовместимых устройств, где требуется принудительное применение.
Ремонтные, карантинные и перехватывающие порталы
Сетевые операторы развертывают продукты NAC, ожидая, что некоторым законным клиентам будет отказано в доступе к сети (если бы у пользователей никогда не было устаревших уровней исправлений, в NAC не было бы необходимости). Из-за этого решения NAC требуют механизма для устранения проблем конечных пользователей, которые запрещают им доступ.
Двумя распространенными стратегиями восстановления являются карантинные сети и адаптивные порталы :
- Карантин
- Карантинная сеть - это IP-сеть с ограниченным доступом, которая предоставляет пользователям маршрутизируемый доступ только к определенным хостам и приложениям. Карантин часто реализуется с точки зрения назначения VLAN ; когда продукт NAC определяет, что конечный пользователь устарел, его порт коммутатора назначается VLAN, которая направляется только для исправлений и обновлений серверов, а не для остальной сети. В других решениях для карантина используются методы управления адресами (такие как протокол разрешения адресов (ARP) или протокол обнаружения соседей (NDP)), что позволяет избежать накладных расходов на управление карантинными VLAN.
- Захватывающие порталы
- Адаптивный портал перехватывает HTTP- доступ к веб-страницам, перенаправляя пользователей в веб-приложение, которое предоставляет инструкции и инструменты для обновления их компьютера. Пока их компьютер не пройдет автоматическую проверку, использование сети, кроме адаптивного портала, запрещено. Это похоже на то, как работает платный беспроводной доступ в общественных точках доступа.
- Внешние Captive Portals позволяют организациям выгружать беспроводные контроллеры и коммутаторы с хостинговых веб-порталов. Единый внешний портал, размещенный на устройстве NAC для беспроводной и проводной аутентификации, устраняет необходимость в создании нескольких порталов и объединяет процессы управления политиками.
Мобильный NAC
Использование NAC в мобильном развертывании, когда сотрудники подключаются к различным беспроводным сетям в течение рабочего дня, сопряжено с проблемами, которых нет в среде проводной локальной сети . Когда пользователю отказывают в доступе из соображений безопасности , продуктивное использование устройства теряется, что может повлиять на способность выполнять работу или обслуживать клиента. Кроме того, автоматическое исправление, которое занимает всего несколько секунд при проводном соединении, может занять несколько минут при более медленном беспроводном соединении для передачи данных, что приводит к сбоям в работе устройства. [3] Мобильное решение NAC дает системным администраторам больший контроль над тем, нужно ли, когда и как решать проблему безопасности. [4] Проблема более низкого уровня, такая как устаревшие сигнатуры антивируса, может привести к простому предупреждению для пользователя, в то время как более серьезные проблемы могут привести к помещению устройства в карантин. [5] Политики могут быть настроены таким образом, что автоматическое исправление, такое как выталкивание и применение исправлений и обновлений безопасности , откладывается до тех пор, пока устройство не будет подключено через Wi-Fi или более быстрое соединение, или в нерабочее время. [3] Это позволяет администраторам наиболее подходящим образом сбалансировать потребность в безопасности с целью поддержания продуктивности сотрудников. [5]
Смотрите также
Рекомендации
- ^ «IEEE 802.1: 802.1X-REV - Версия 802.1X-2004 - Контроль доступа к сети на основе портов» . ieee802.org .
- ^ Учебное пособие: Контроль доступа к сети (NAC) Майк Фратто, Сетевые вычисления, 17 июля 2007 г.
- ^ а б «Контроль доступа к мобильной сети: распространение политик корпоративной безопасности на мобильные устройства» (PDF) . Архивировано 5 октября 2011 года . Проверено 28 мая 2011 .CS1 maint: bot: исходный статус URL неизвестен ( ссылка )
- ^ "Модуль контроля доступа к сети". Архивировано 03 сентября 2011 г. на Wayback Machine.
- ^ а б «Полевые технологии онлайн» . Архивировано 14 марта 2012 года . Проверено 28 мая 2011 .CS1 maint: bot: исходный статус URL неизвестен ( ссылка )
Внешние ссылки
- НАК: Что пошло не так?
- Booz Allen Hamilton оставляет 60 тысяч незащищенных файлов на сервере DOD