stringtranslate.com

Контроль доступа к сети

Контроль доступа к сети ( NAC ) — это подход к компьютерной безопасности, который пытается объединить технологию безопасности конечных точек (например, антивирус, предотвращение вторжений на хост и оценку уязвимостей), аутентификацию пользователей или систем и обеспечение сетевой безопасности. [1] [2]

Описание

Управление сетевым доступом — это решение для компьютерных сетей , которое использует набор протоколов для определения и внедрения политики, описывающей, как обеспечить безопасный доступ к сетевым узлам с помощью устройств при их первоначальной попытке доступа к сети. [3] NAC может интегрировать автоматический процесс исправления (исправление несоответствующих узлов перед разрешением доступа) в сетевые системы, позволяя сетевой инфраструктуре, такой как маршрутизаторы, коммутаторы и межсетевые экраны, работать вместе с серверами бэк-офиса и вычислительным оборудованием конечного пользователя, чтобы гарантировать безопасную работу информационной системы до того, как будет разрешено взаимодействие. Базовой формой NAC является стандарт 802.1X .

Контроль доступа к сети нацелен именно на то, что следует из названия — управление доступом к сети с помощью политик, включая проверки политик безопасности конечных точек до допуска и контроль после допуска, где пользователи и устройства могут находиться в сети и что они могут делать.

Пример

Когда компьютер подключается к компьютерной сети, ему не разрешается получать доступ к чему-либо, если это не соответствует определенной бизнес-политике; включая уровень антивирусной защиты, уровень обновления системы и конфигурацию. Пока компьютер проверяется предустановленным программным агентом, он может получить доступ только к тем ресурсам, которые могут устранить (решить или обновить) любые проблемы. После того, как политика будет выполнена, компьютер сможет получить доступ к сетевым ресурсам и Интернету в рамках политик, определенных системой NAC. NAC в основном используется для проверки работоспособности конечных точек, но часто привязан к ролевым доступам. Доступ к сети будет предоставлен в соответствии с профилем человека и результатами проверки состояния/работоспособности. Например, на предприятии отдел кадров может получить доступ только к файлам отдела кадров, если и роль, и конечная точка соответствуют минимальным требованиям антивирусной защиты.

Цели НАК

NAC — это новая категория продуктов безопасности, определение которой является как развивающимся, так и спорным. Основные цели этой концепции можно свести к следующему:

Концепции

До и после поступления

В NAC преобладают два варианта дизайна, основанные на том, применяются ли политики до или после того, как конечные станции получают доступ к сети. В первом случае, называемом NAC до допуска , конечные станции проверяются до того, как им будет разрешен доступ в сеть. Типичным вариантом использования NAC до допуска будет предотвращение взаимодействия клиентов с устаревшими антивирусными сигнатурами с конфиденциальными серверами. В качестве альтернативы NAC после допуска принимает решения о применении на основе действий пользователей после того, как этим пользователям был предоставлен доступ к сети

Агент против безагентности

Основная идея NAC заключается в том, чтобы позволить сети принимать решения по контролю доступа на основе разведданных о конечных системах, поэтому способ, которым сеть информируется о конечных системах, является ключевым решением при проектировании. Ключевое различие между системами NAC заключается в том, требуют ли они программного обеспечения агента для предоставления характеристик конечной системы или используют ли они методы сканирования и инвентаризации сети для удаленного распознавания этих характеристик.

По мере развития NAC разработчики программного обеспечения, такие как Microsoft, переняли этот подход, предоставив свой агент защиты сетевого доступа (NAP) в составе своих релизов Windows 7, Vista и XP, однако, начиная с Windows 10, Microsoft больше не поддерживает NAP. Существуют также совместимые с NAP агенты для Linux и Mac OS X, которые обеспечивают равный интеллект для этих операционных систем.

Внеполосный или встроенный

В некоторых системах out-of-band агенты распределены по конечным станциям и сообщают информацию на центральную консоль, которая, в свою очередь, может управлять коммутаторами для обеспечения соблюдения политики. В отличие от этого, встроенные решения могут быть одноблочными решениями, которые действуют как внутренние брандмауэры для сетей уровня доступа и обеспечивают соблюдение политики. Внеполосные решения имеют преимущество повторного использования существующей инфраструктуры; встроенные продукты могут быть проще в развертывании в новых сетях и могут предоставлять более продвинутые возможности сетевого обеспечения, поскольку они напрямую контролируют отдельные пакеты в сети. Однако существуют продукты, которые не имеют агентов и обладают как неотъемлемыми преимуществами более простого, менее рискованного внеполосного развертывания, так и методами обеспечения встроенной эффективности для несоответствующих устройств, где требуется обеспечение.

Восстановление, карантин и порталы захвата

Операторы сетей внедряют продукты NAC, ожидая, что некоторым законным клиентам будет отказано в доступе к сети (если бы у пользователей никогда не было устаревших уровней исправлений, NAC был бы не нужен). По этой причине решения NAC требуют механизма для устранения проблем конечных пользователей, которые отказывают им в доступе.

Две распространенные стратегии восстановления — это карантинные сети и порталы захвата :

Карантин
Карантинная сеть — это ограниченная IP-сеть, которая предоставляет пользователям маршрутизируемый доступ только к определенным хостам и приложениям. Карантин часто реализуется в терминах назначения VLAN ; когда продукт NAC определяет, что конечный пользователь устарел, его порт коммутатора назначается VLAN, которая маршрутизируется только на серверы исправлений и обновлений, а не на остальную часть сети. Другие решения используют методы управления адресами (такие как протокол разрешения адресов (ARP) или протокол обнаружения соседей (NDP)) для карантина, избегая накладных расходов на управление карантинными VLAN.
Захваченные порталы
Captive portal перехватывает HTTP- доступ к веб-страницам, перенаправляя пользователей на веб-приложение, которое предоставляет инструкции и инструменты для обновления их компьютера. Пока их компьютер не пройдет автоматическую проверку, никакое использование сети, кроме captive portal, не допускается. Это похоже на то, как работает платный беспроводной доступ в общественных точках доступа.
Внешние Captive Portals позволяют организациям разгрузить беспроводные контроллеры и коммутаторы от хостинга веб-порталов. Единый внешний портал, размещенный на устройстве NAC для беспроводной и проводной аутентификации, устраняет необходимость создания нескольких порталов и консолидирует процессы управления политиками.

Мобильный NAC

Использование NAC в мобильном развертывании, где работники подключаются через различные беспроводные сети в течение рабочего дня, влечет за собой проблемы, которые отсутствуют в проводной локальной сети. Когда пользователю отказывают в доступе из-за проблем безопасности , продуктивное использование устройства теряется, что может повлиять на возможность выполнения работы или обслуживания клиента. Кроме того, автоматическое исправление, которое занимает всего несколько секунд при проводном подключении, может занять несколько минут при более медленном беспроводном подключении, что приводит к зависанию устройства. [4] Мобильное решение NAC дает системным администраторам больший контроль над тем, следует ли, когда и как устранять проблему безопасности. [5] Менее серьезная проблема, такая как устаревшие антивирусные сигнатуры, может привести к простому предупреждению для пользователя, в то время как более серьезные проблемы могут привести к карантину устройства. [6] Политики могут быть установлены таким образом, чтобы автоматическое исправление, такое как отправка и применение исправлений и обновлений безопасности, откладывалось до тех пор, пока устройство не будет подключено по Wi-Fi или более быстрому соединению или после окончания рабочего времени. [4] Это позволяет администраторам наиболее целесообразно сбалансировать потребность в безопасности с целью поддержания производительности труда работников. [6]

Смотрите также

Ссылки

  1. ^ "IEEE 802.1: 802.1X-REV – Пересмотр 802.1X-2004 – Управление доступом к сети на основе портов". ieee802.org .
  2. Учебное пособие: Управление сетевым доступом (NAC). Архивировано 28 ноября 2015 г. на Wayback Machine. Майк Фратто, Сетевые вычисления, 17 июля 2007 г.
  3. ^ Matias, Jon; Garay, Jokin; Mendiola, Alaitz; Toledo, Nerea; Jacob, Eduardo (2014). "FlowNAC: управление доступом к сети на основе потока". Третий европейский семинар по программно-определяемым сетям 2014 года . стр. 79–84. doi :10.1109/EWSDN.2014.39. ISBN 978-1-4799-6919-7. S2CID  1892809.
  4. ^ ab "Управление доступом к мобильной сети: расширение корпоративных политик безопасности на мобильные устройства" (PDF) . Архивировано из оригинала 5 октября 2011 г. . Получено 28.05.2011 .{{cite web}}: CS1 maint: bot: original URL status unknown (link)
  5. ^ "Модуль управления сетевым доступом" Архивировано 03.09.2011 на Wayback Machine
  6. ^ ab "Field Technologies Online". Архивировано из оригинала 14 марта 2012 г. Получено 28.05.2011 .{{cite web}}: CS1 maint: bot: original URL status unknown (link)

Внешние ссылки