Контроль доступа к сети

Контроль доступа к сети ( NAC ) — это подход к компьютерной безопасности, который пытается унифицировать технологии безопасности конечных точек (такие как антивирус, предотвращение вторжений хоста и оценку уязвимостей), аутентификацию пользователя или системы и обеспечение безопасности сети. ^[1]^[2]

Описание [ править ]

Контроль доступа к сети — это решение для компьютерных сетей , которое использует набор протоколов для определения и реализации политики, описывающей, как защитить доступ устройств к сетевым узлам при первоначальной попытке доступа к сети. ^[3] NAC может интегрировать процесс автоматического исправления (исправление несоответствующих узлов перед разрешением доступа) в сетевые системы, позволяя сетевой инфраструктуре, такой как маршрутизаторы, коммутаторы и межсетевые экраны, работать вместе с серверами бэк-офиса и вычислительным оборудованием конечных пользователей для обеспечения безопасности информационной системы. работает безопасно до того, как будет разрешено взаимодействие. Базовой формой NAC является стандарт 802.1X .

Целью контроля доступа к сети является именно то, что следует из названия — контроль доступа к сети с помощью политик, включая проверку политики безопасности конечных точек перед допуском и контроль после допуска над тем, куда пользователи и устройства могут подключаться к сети и что они могут делать.

Пример [ править ]

Когда компьютер подключается к компьютерной сети, ему не разрешается получить доступ ни к чему, если это не соответствует политике, определенной бизнесом; включая уровень антивирусной защиты, уровень обновления и конфигурацию системы. Пока компьютер проверяется предварительно установленным программным агентом, он может получить доступ только к ресурсам, которые могут исправить (разрешить или обновить) любые проблемы. Как только политика будет соблюдена, компьютер сможет получить доступ к сетевым ресурсам и Интернету в рамках политик, определенных системой NAC. NAC в основном используется для проверки работоспособности конечных точек, но он часто привязан к доступу на основе ролей. Доступ к сети будет предоставлен согласно профилю человека и результатам проверки осанки/здоровья. Например, на предприятии отдел кадров может получить доступ только к файлам отдела кадров, если и роль, и конечная точка соответствуют минимальным требованиям антивирусной защиты.

Цели НАК [ править ]

NAC — это новая категория продуктов безопасности, определение которой является одновременно развивающимся и противоречивым. Общие цели этой концепции можно свести к следующим:

Аутентификация, авторизация и учет сетевых подключений.
- В то время как обычные IP-сети применяют политики доступа с точки зрения IP-адресов , среды NAC пытаются применять политики доступа на основе аутентифицированных идентификаторов пользователей, по крайней мере, для конечных станций пользователей, таких как ноутбуки и настольные компьютеры.
Применение политики
- Решения NAC позволяют сетевым операторам определять политики, такие как типы компьютеров или роли пользователей, которым разрешен доступ к областям сети, и применять их в коммутаторах, маршрутизаторах и сетевых промежуточных устройствах .
Проверка состояния безопасности подключаемых устройств.
- Основное преимущество решений NAC заключается в предотвращении доступа к сети конечных станций, на которых отсутствует антивирус, исправления или программное обеспечение для предотвращения вторжений, и подвергания других компьютеров риску перекрестного заражения компьютерными червями .

Концепции [ править ]

До госпитализации и после госпитализации [ править ]

В NAC преобладают две схемы, основанные на том, применяются ли политики до или после того, как конечные станции получат доступ к сети. В первом случае, называемом NAC перед допуском , конечные станции проверяются перед тем, как им будет разрешено подключение к сети. Типичным вариантом использования NAC перед допуском является предотвращение взаимодействия клиентов с устаревшими антивирусными сигнатурами с конфиденциальными серверами. Альтернативно, NAC после допуска принимает решения о принудительном исполнении на основе действий пользователей после того, как этим пользователям был предоставлен доступ к сети.

Агент против безагента [ править ]

Фундаментальная идея NAC заключается в том, чтобы позволить сети принимать решения по контролю доступа на основе информации о конечных системах, поэтому способ информирования сети о конечных системах является ключевым проектным решением. Ключевое различие между системами NAC заключается в том, требуют ли они агентского программного обеспечения для сообщения о характеристиках конечной системы или используют методы сканирования и инвентаризации сети для удаленного определения этих характеристик.

По мере развития NAC разработчики программного обеспечения, такие как Microsoft, приняли этот подход, предоставляя свой агент защиты доступа к сети (NAP) как часть своих выпусков Windows 7, Vista и XP, однако, начиная с Windows 10, Microsoft больше не поддерживает NAP. Существуют также агенты, совместимые с NAP, для Linux и Mac OS X, которые обеспечивают одинаковый интеллект для этих операционных систем.

Внеполосное и встроенное [ править ]

В некоторых внеполосных системах агенты распределяются по конечным станциям и передают информацию на центральную консоль, которая, в свою очередь, может управлять коммутаторами для обеспечения соблюдения политики. Напротив, встроенные решения могут представлять собой единые решения, которые действуют как внутренние межсетевые экраны для сетей уровня доступа и обеспечивают соблюдение политики. Преимущество внеполосных решений заключается в повторном использовании существующей инфраструктуры; Встраиваемые продукты легче развертывать в новых сетях, и они могут предоставлять более продвинутые возможности обеспечения безопасности сети, поскольку они непосредственно контролируют отдельные пакеты в сети. Однако существуют продукты, которые не требуют агентов и обладают преимуществами более простого и менее рискованного внеполосного развертывания, но при этом используют методы, обеспечивающие оперативную эффективность для несоответствующих устройств, где требуется соблюдение требований.

, карантин и Исправление переносные порталы

Сетевые операторы развертывают продукты NAC, ожидая, что некоторым законным клиентам будет отказано в доступе к сети (если бы у пользователей никогда не было устаревших уровней исправлений, NAC был бы не нужен). По этой причине решения NAC требуют механизма устранения проблем конечных пользователей, которые лишают их доступа.

Двумя распространенными стратегиями исправления являются карантинные сети и закрытые порталы :

Карантин: Карантинная сеть — это ограниченная IP-сеть, которая предоставляет пользователям маршрутизируемый доступ только к определенным хостам и приложениям. Карантин часто реализуется посредством назначения VLAN ; Когда продукт NAC определяет, что конечный пользователь устарел, его порт коммутатора назначается VLAN, которая маршрутизируется только на серверы исправлений и обновлений, а не на остальную часть сети. Другие решения используют методы управления адресами (такие как протокол разрешения адресов (ARP) или протокол обнаружения соседей (NDP)) для карантина, избегая накладных расходов на управление карантинными VLAN.
Плененные порталы: Captive-портал перехватывает HTTP- доступ к веб-страницам, перенаправляя пользователей в веб-приложение, которое предоставляет инструкции и инструменты для обновления их компьютера. Пока их компьютер не пройдет автоматическую проверку, никакое использование сети, кроме авторизованного портала, запрещено. Это похоже на то, как работает платный беспроводной доступ в точках общего доступа.

Внешние Captive Portals позволяют организациям разгружать беспроводные контроллеры и коммутаторы с хостинговых веб-порталов. Единый внешний портал, размещенный на устройстве NAC, для беспроводной и проводной аутентификации устраняет необходимость создания нескольких порталов и консолидирует процессы управления политиками.

Мобильный NAC [ править ]

Использование NAC в мобильном развертывании, где сотрудники в течение рабочего дня подключаются через различные беспроводные сети , сопряжено с проблемами, которых нет в среде проводной локальной сети . Когда пользователю отказывают в доступе из соображений безопасности , продуктивное использование устройства теряется, что может повлиять на возможность выполнения задания или обслуживания клиента. Кроме того, автоматическое исправление, которое занимает всего несколько секунд при проводном соединении, может занять несколько минут при более медленном беспроводном соединении для передачи данных, что приводит к зависанию устройства. ^[4] Мобильное решение NAC дает системным администраторам больший контроль над тем, когда и как устранять проблемы безопасности. ^[5] Проблема более низкого уровня, например устаревшие антивирусные сигнатуры, может привести к простому предупреждению пользователя, а более серьезные проблемы могут привести к помещению устройства в карантин. ^[6] Политики могут быть настроены таким образом, чтобы автоматические исправления, такие как установка и применение исправлений и обновлений безопасности, откладывались до тех пор, пока устройство не будет подключено через Wi-Fi или более быстрое соединение, или после рабочего времени. ^[4] Это позволяет администраторам наиболее оптимально сбалансировать потребность в безопасности с целью поддержания продуктивности сотрудников. ^[6]

См. также [ править ]

Ссылки [ править ]

^ «IEEE 802.1: 802.1X-REV — Редакция 802.1X-2004 — Управление доступом к сети на основе портов» . ieee802.org .
^ Учебное пособие: Управление доступом к сети (NAC). Архивировано 28 ноября 2015 г. в Wayback Machine. Майк Фратто, Network Computing, 17 июля 2007 г.
^ Матиас, Джон; Гарай, Джокин; Мендиола, Алаитц; Толедо, Нерея; Джейкоб, Эдуардо (2014). «FlowNAC: управление доступом к сети на основе потоков» . 2014 Третий европейский семинар по программно-конфигурируемым сетям . стр. 79–84. дои : 10.1109/EWSDN.2014.39 . ISBN 978-1-4799-6919-7 . S2CID 1892809 .
^ Перейти обратно: ^а ^б «Контроль доступа к мобильной сети: распространение корпоративной политики безопасности на мобильные устройства» (PDF) . Архивировано из оригинала 5 октября 2011 года . Проверено 28 мая 2011 г. {{cite web}}: CS1 maint: bot: исходный статус URL неизвестен ( ссылка )
^ «Модуль контроля доступа к сети». Архивировано 3 сентября 2011 г. на Wayback Machine.
^ Перейти обратно: ^а ^б «Полевые технологии онлайн» . Архивировано из оригинала 14 марта 2012 года . Проверено 28 мая 2011 г. {{cite web}}: CS1 maint: bot: исходный статус URL неизвестен ( ссылка )

Внешние ссылки [ править ]

Booz Allen Hamilton оставил 60 тысяч незащищенных файлов на сервере Министерства обороны США

[1] «IEEE 802.1: 802.1X-REV — Редакция 802.1X-2004 — Управление доступом к сети на основе портов» . ieee802.org .

[2] Учебное пособие: Управление доступом к сети (NAC). Архивировано 28 ноября 2015 г. в Wayback Machine. Майк Фратто, Network Computing, 17 июля 2007 г.

[3] Матиас, Джон; Гарай, Джокин; Мендиола, Алаитц; Толедо, Нерея; Джейкоб, Эдуардо (2014). «FlowNAC: управление доступом к сети на основе потоков» . 2014 Третий европейский семинар по программно-конфигурируемым сетям . стр. 79–84. дои : 10.1109/EWSDN.2014.39 . ISBN 978-1-4799-6919-7 . S2CID 1892809 .

[paper-4] Перейти обратно: ^а ^б «Контроль доступа к мобильной сети: распространение корпоративной политики безопасности на мобильные устройства» (PDF) . Архивировано из оригинала 5 октября 2011 года . Проверено 28 мая 2011 г. {{cite web}}: CS1 maint: bot: исходный статус URL неизвестен ( ссылка )

[5] «Модуль контроля доступа к сети». Архивировано 3 сентября 2011 г. на Wayback Machine.

[field-6] Перейти обратно: ^а ^б «Полевые технологии онлайн» . Архивировано из оригинала 14 марта 2012 года . Проверено 28 мая 2011 г. {{cite web}}: CS1 maint: bot: исходный статус URL неизвестен ( ссылка )

[1]

[2]

[3]

[4]

[5]

[6]