Letysite.ru

IT Новости с интернет пространства
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Network access control

Network access control

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

NAC (Network Access Control) — комплекс технических средств и мер, обеспечивающий контроль доступа к сети на основании информации о пользователе и состоянии компьютера, получающего доступ в сеть, в частности на основе информации о его программном обеспечении.

Содержание

[править] Основные понятия

[править] Терминология NAC

Network Admission Control – термин, который употребляется как синоним NAC (Network Access Control). Этот термин применяется Cisco Systems для их решений в области NAC.

Политика контроля доступа

Проверка устройства – проверка соответствия устройства политике контроля доступа.

Pre-connection проверка – проверка до предоставления устройству доступа в сеть.

Post-connection проверка – периодическая проверка после предоставления устройству доступа в сеть.

[править] Что такое NAC

NAC обеспечивает контроль за тем, к каким участкам сети и к каким приложениям получит доступ пользователь на основании:

  • информации о пользователе, который подключается;
  • информации о состоянии компьютера (установленное программное обеспечение, наличие обновлений и др.);
  • времени подключения;
  • точки подключения.

Конкретные реализации NAC могут учитывать все эти критерии, часть из них, или учитывать какие-то дополнительные критерии.

Назначение правил контроля доступа специфических для конкретного пользователя, с учетом вышеперечисленных критериев, происходит как только он проходит все необходимые проверки (pre-connection). После применения правил контроля доступа происходят периодические повторные проверки соответствия политикам контроля доступа (post-connection).

Правила контроля доступа могут применяться с помощью:

  • Назначения пользователя в VLAN;
  • Применения ACL;
  • Ограничений пропускной способности.

В различных решениях NAC могут быть такие дополнительные возможности как, например, функциональность систем предотвращения вторжений.

В зависимости от того, какое решение NAC используется, правила ограничения и контроля доступа могут применяться на различных устройствах:

  • Сетевом оборудовании (например, коммутатор);
  • Компьютерах, с помощью установленных агентов;
  • Устройствах, которые обеспечивают функциональность NAC.

[править] Использование NAC

Решения обеспечивающие NAC сейчас очень популярны, однако за рекламой производителей не всегда понятно где и когда применять их решения и их реальные возможности.

[править] Архитектура решения Trusted Network Computing

[править] Архитектура решения HP ProCurve

[править] Архитектура решения Cisco Network Admission Control

[править] Архитектура решения Microsoft Network Access Protection

NAP не предназначен для защиты сети от умышленных атак. Он разработан для того чтобы помочь администраторам автоматически поддерживать состояние «здоровья» компьютеров в сети. Например, если на компьютере установлено всё программное обеспечение и необходимые настройки, которые требует политика «здоровья», то компьютер получает неограниченный доступ в сеть.

Платформа NAP требует серверной части Windows Server 2008 и клиентов Windows Vista, Windows Server 2008, или Windows XP Service Pack 3.

[править] Компоненты NAP

NAP это платформа которая предоставляет компоненты инфраструктуры и API для добавления компонент, которые проверяют и оценивают «здоровье» компьютера и применяют различные типы доступа к сети или коммуникации.

System Health Agents и System Health Validators

Компоненты инфраструктуры NAP, известные как system health agents (SHA) и system health validators (SHV), обеспечивают сбор информации о состоянии «здоровья» и её оценку. В Windows Vista и Windows XP Service Pack 3 есть Windows Security Health Validator SHA, который мониторит настройки Windows Security Center. В Windows Server 2008 есть соответствующий Windows Security Health Validator SHV. NAP позволяет организовать взаимодействие с программным обеспеченим любого производителя, который предоставит SHA и SHV, которые используют NAP API.

[править] Компоненты и методы внедрения

Компоненты NAP известны как клиенты применения (enforcement clients, EC) и сервера применения (enforcement servers, ES) требуют проверки состояния «здоровья» и применения ограниченного доступа к сети к клиентам, которые не соответствуют требованиям.

Windows Vista, Windows XP Service Pack 3 и Windows Server 2008 поддерживают такие типы доступа для внедрения NAP:

  • Internet Protocol security (IPsec)
  • IEEE 802.1X
  • VPN
  • Dynamic Host Configuration Protocol (DHCP)
  • Terminal Server (TS) Gateway

Эти типы доступа или коммуникаций известны также как методы применения NAP. Администраторы могут использовать их отдельно или вместе для ограничения доступа клиентам, которые не соответствуют требованиям политик контроля доступа.

Network Policy Server (NPS) в Windows Server 2008 работает как сервер политик здоровья (health policy server) для всех методов применения NAP.

[править] IPsec

В методе применения IPsec, компьютер должен соответствовать требованиям политики контроля доступа (быть «здоровым»), для того чтобы инициировать коммуникации с другими «здоровыми» компьютерами. Так как этот метод использует протокол IPsec, то администратор может определить требования для защищенных коммуникаций на основе адресов или портов.

Метод применения IPsec определяет коммуникации между «здоровыми» компьютерами после того как они успешно подключились к сети и получили насройки IP. Это самый безопасный метод в архитектуре NAP.

Компоненты метода применения IPsec состоят из Health Registration Authority (HRA) на Windows Server 2008 и IPsec Relying Party EC в Windows Vista, Windows XP Service Pack 3 и Windows Server 2008.

HRA выдает X.509 сертификаты для клиентов NAP после того как они доказали свое соответствие политикам контроля доступа. Затем эти сертификаты используются для аутентификации между клиентами NAP, когда они инициируют IPsec-соединение с другими клиентами NAP в локальной сети.

[править] 802.1X

В методе применения 802.1X, компьютер должен соответствовать требованиям политики контроля доступа, для того чтобы получить неограниченный доступ в сеть через аутентификатора (коммутатор или точку доступа). Для «нездоровых» компьютеров доступ к сети ограничивается с помощью ограниченного профайла доступа, который применяется на коммутаторе или точке доступа.

В профайле может содержаться ACL, который будет применен или VLAN, в который будет помещен компьютер. Требования политики доступа применяются каждый раз, когда компьютер пытается получить доступ к сети через устройство 802.1X. После подключения состояние «здоровья» активно отслеживается и в случае, если клиент более не соответствует политике контроля доступа, то к нему применяется профайл ограниченного доступа.

Компоненты метода применения 802.1X — это NPS в Windows Server 2008 и EAP Quarantine EC в Windows Vista и Windows Server 2008. Для Windows XP Service Pack 3 существуют отдельные EC для проводных и беспроводных соединений. Метод внедрения 802.1X обеспечивает надежный доступ в сеть для всех компьютеров, которые подключаются через устройства 802.1X.

[править] VPN

В методе применения VPN, компьютер должен соответствовать требованиям политики контроля доступа (быть «здоровым»), для того чтобы получить неограниченный доступ через удаленное соединение VPN.

Для компьютеров, которые не прошли проверку доступ в сеть ограничен с помощью применения ACL к соединениям на VPN-сервере. Требования политики доступа применяются каждый раз, когда компьютер пытается получить удаленный доступ к сети через VPN-сервер. После подключения состояние «здоровья» активно отслеживается и в случае, если клиент более не соответствует политике контроля доступа, то к его VPN-соединению применяется ACL для ограничения доступа.

Компоненты метода применения VPN — это NPS в Windows Server 2008 и Remote Access Quarantine EC в Windows Vista, Windows XP Service Pack 3 и Windows Server 2008. Метод внедрения VPN обеспечивает надежный доступ в сеть для всех компьютеров, которые подключаются в сеть через удаленные VPN-соединения.

[править] DHCP Enforcement

В методе применения DHCP, компьютер должен соответствовать требованиям политики контроля доступа (быть «здоровым»), для того чтобы получить IPv4 настройки с неограниченным доступом от DHCP-сервера.

Для компьютеров, которые не прошли проверку, доступ в сеть ограничен с помощью применения настроек IPv4, которые разрешают доступ только к ограниченной части сети.

Требования политики доступа применяются каждый раз, когда компьютер пытается получить или обновить настройки IPv4. После подключения состояние «здоровья» активно отслеживается и в случае, если клиент более не соответствует политике контроля доступа, то его IPv4 настройки обновляются для того чтобы клиент получил доступ в ограниченную сеть.

Компоненты метода применения DHCP — это DHCP ES, который является частью DHCP Server service в Windows Server 2008 и DHCP Quarantine EC в Windows Vista, Windows Server 2008 и Windows XP Service Pack 3.

Так как DHCP-метод основан на выдаче ограниченной IPv4 конфигурации, которая может быть переписана пользователем с правами администратора, то это самый слабый метод внедрения в NAP.

[править] Другие решения NAC

  • McAfee
  • Symantec
  • ForeScout

[править] Дополнительная информация

  • NAC Resources (англ.) — очень хорошая коллекция ссылок по теме Network Access Control. Тут есть как материал общего характера, так и ссылки на описание решений NAC от различных производителей. Ссылки по теме 802.1x и примеры конфигурационных файлов различных устройств (Aruba, Cisco, Enterasys, Extreme, HP, Juniper, NetScreen, Nortel)
  • Secure Access Central (англ.) — информация о SSL VPNs, network admission control, network access control и identity-based access management

[править] Standard-based NAC

  • Network Access Control (NAC) Initiative 2007 (англ.)
  • NAC: Proceed with caution (англ.)
  • NAC: Now or later? (англ.)

[править] Cisco NAC

  • NAC competition: Cisco’s network control (англ.)
  • Контроль доступа в сеть
  • Cisco going open source with NAC client (англ.) —
Читать еще:  Access control request headers

[править] Juniper Unified Access Control (UAC)

Unified Access Control (англ.) Описание технологии и продуктов, ее реализующих.

[править] Microsoft Network Access Protection (NAP)

В Windows Server 2008 появился новый сервер — Network Policy Sever, который пришёл на замену Internet Authentication Server (IAS). Одна из причин, почему его можно использовать — поддержка Network Access Protection (NAP).

NAC — контроль доступа к сети

Контроль сетевого доступа (NAC) — это комплекс технических мер и средств, реализующий политики и правила доступа в сеть, который также обеспечивает защиту всех конечных устройств, имеющих к ней доступ, от присутствующих внутри угроз безопасности.

Для выполнения требований политик информационной безопасности на предприятиях ответственные сотрудники должны контролировать учетные данные подключившихся к сервисам пользователей, информацию об устройстве, с которого было произведено подключение, и какими именно приложениями сотрудник может воспользоваться в рамках установленной сессии. Системы NAC позволяют выполнять эту задачу и обеспечить централизованное управление и администрирование политик доступа сотрудников в информационную среду организации.

Действия NAC-системы заключаются в том, чтобы выяснить, безопасно ли устройство, предпринимающее попытку подключения к сети, и соответствует ли его конфигурация определенным правилам доступа. После процедуры идентификации система принимает решение о том, какой уровень доступа к системным ресурсам необходимо предоставить.

Параллельно с увеличением количества совершаемых внешних атак посредством вирусов, червей, а также шпионских программ, решения NAC продолжают набирать свою популярность. Особое внимание этому классу продуктов уделяют разработчики антивирусных средств, так как в первую очередь стоит рассматривать работающих удаленно пользователей как потенциальных, даже если и неумышленно, нарушителей.

При выборе NAC стоит обратить внимание на возможные особенности продуктов:

  • Необходимо ли применение политик до или после подключения устройства к защищаемой сети.
  • Будет ли установлен агент NAC или будет использоваться решение без агента.
  • Внешнее исполнение или встроенные компоненты системы.

Зачастую компании, планирующие использовать NAC как средство защиты от внешних угроз, приходят к выводу, что для обеспечения всех внутренних требований к такой системе и соответствия внутренним политикам информационной безопасности необходимо настраивать два решения параллельно. Это зависит в первую очередь от количества и особенностей уже имеющихся систем информационных технологий внутри корпоративной сети.

Сравнение продуктов в категории NAC — контроль доступа к сети

Сравниваем: Контроль доступа к сети (NAC)

ARUBA ClearPass

Cisco ISE (Identity Services Engine)

FORESCOUT CounterACT

PORTNOX CORE

Легкость внедрения

Форма продукта

Гетерогенные сети

Централизованное управление

VLAN Сегментация

Стандартный API

Ролевые политики

Без агентов

Работа без 802.1X

Требуемые изменения в топологии сети

Масштабируемость

Подключение удаленных локаций

Поддержка Wi-Fi

Обнаружение устройств

Обнаружение приложений

Обнаружение и контроль IOT

Видимость сети

Реагирование на инциденты

Управление гостевым доступом

Наиболее популярные продукты категории NAC — контроль доступа к сети Все продукты категории

Поставщики NAC — контроль доступа к сети

Cisco

ForeScout

Patriot Technologies

F.A.Q NAC — контроль доступа к сети

По определению Forrester Research, «NAC представляет собой сочетание аппаратной и программной технологии, которая динамически контролирует доступ клиентской системы к сетям на основе их соответствия политике». Но поставщики, стремящиеся войти в моду NAC, часто используют метку NAC для продуктов, которые на самом деле являются только периферийными для процесса контроля доступа.

Каковы основные инициативы NAC?

Архитектура сетевого контроля доступа Cisco; программа Trusted Computing Group (TCG) Trusted Network Connect (TNC); и архитектура защиты доступа к сети (NAP) от Microsoft.

Cisco и Microsoft хорошо работат вместе?

Архитектура NAP от Microsoft является основным фактором во вселенной NAC из-за распространенности серверного и настольного программного обеспечения компании. Однако на данный момент ключевые компоненты недоступны, что делает невозможным тестирование взаимодействия за пределами ограниченных бета-версий платформ Microsoft NAP. С другой стороны, 75 поставщиков обязались обеспечить совместимость своего оборудования с компонентами Microsoft NAP, когда они станут доступны. Это включает в себя Cisco, с которой Microsoft разрабатывает совместимость NAP и Cisco-NAC. Cisco, которая продвигает IETF для стандартов NAC, но не участвует в TCG, имеет около 30 партнеров, поставляющих Cisco NAC-совместимое оборудование, и еще 27 разрабатывают такие продукты.

Существуют ли какие-либо стандарты NAC?

TCG разрабатывает стандарты NAC для обеспечения совместимости между поставщиками. IETF создала рабочую группу для разработки стандартов NAC, и Cisco, которая не участвует в TCG, поддерживает усилия IETF.

Есть ли на рынке отдельные продукты NAC?

Cisco, Microsoft и TCG перечисляют десятки партнеров, чье оборудование вписывается в их схемы NAC и может претендовать на роль поставщиков NAC. Кроме того, Juniper имеет свою унифицированную среду контроля доступа. Покупатель NAC должен выяснить, что вендор подразумевает под «поддержкой NAC», но отдельные устройства, отвечающие требованиям NAC, включают продукты от ConSentry Networks, Nevis Networks, StillSecure и Vernier Networks. Другие поставщики NAC, такие как Lockdown Networks и Mirage Networks, работают совместно с партнерами. Это не полный список.

Какие типы функций безопасности являются частью среды NAC?

Аутентификация; сканирование конечных точек; политика
проверка соответствия; создание политики, обеспечение соблюдения и управление.

Как NAC работает на практике?

Продукты NAC сканируют компьютеры и другие устройства до того, как они попадают в сеть, чтобы определить, имеют ли они положение безопасности в соответствии с корпоративной политикой. Является ли антивирусное программное обеспечение современным? Операционная система исправлена? Используется ли персональный брандмауэр? Для этого процесса требуется механизм, способный сопоставлять результаты сканирования с политиками, чтобы определить, подходит ли устройство для получения доступа. И это влечет за собой устройства, которые могут реализовать решение механизма политики: заблокировать доступ, ограничить доступ к определенным ресурсам или разрешить доступ только к изолированному сегменту сети, где функции безопасности могут быть обновлены.

Могут ли другие типы продуктов безопасности играть роль в среде NAC?

Да. Например, антивирусное и антишпионское программное обеспечение CA eTrust работает в среде NAC Cisco, предоставляя информацию о состоянии доверенному агенту Cisco. Агент собирает данные из программного обеспечения CA и другого программного обеспечения на настольных компьютерах и ноутбуках, чтобы разработать профиль компьютеров, пытающихся получить доступ к сети. Аналогичным образом, IBM Tivoli Security Compliance Manager совместим с Cisco NAC, поскольку он сканирует компьютеры, поступающие в сеть. Само по себе это не может обеспечить, получает ли устройство доступ; ей нужна инфраструктура от Cisco или какого-либо другого поставщика для реализации политики.

Российский опыт применения NAC

Контроль за конечными сетевыми устройствами в компании — постоянная головная боль сразу трех отделов: ИТ, информационной безопасности и сетевого. Несмотря на то что задачи у них разные, каждый должен убедиться, что подключаемые к сети пользовательские устройства безопасны и их конфигурации соответствуют установленным правилам доступа к корпоративным ресурсам.

Для этой цели существует технология . На российском рынке данная технология представлена в основном в решениях Cisco Network Admission Control (Cisco NAC), Symantec Network Access Control (Symantec NAC), Microsoft Network Access Protection (Microsoft NAP) и Juniper Networks Unified Access Control. Постараемся объяснить на конкретных примерах её суть.

Идея NAC проста. Мы хотим получить информацию о любом устройстве, которое подключается к сети (ноутбук, принтер, IP-телефон, МФУ и т. п.) из любой точки и любым способом (Ethernet, Wi-Fi, VPN и пр.), и в автоматическом режиме принять решение по данному устройству или пользователю: пустить/не пустить/пустить с ограничениями. На этом этапе возникают вопросы, связанные с проверкой устройства на соответствие корпоративным политикам доступа в сеть.
Схема применения NAC приведена на рисунке. Рассмотрим порядок работы системы.

  • Устройство подключается к сети. Сервер принятия решений получает уведомление о новом сетевом устройстве.
  • Сервер принятия решений инициирует процесс проверки устройства на соответствие правилам безопасности.
  • Устройство пересылает запрошенные сервером данные.
  • Полученные данные сервер принятия решений пересылает на внутренние серверы (LDAP, антивирус, сервер обновлений ПО) и от каждого из них получает решение о степени соответствия.
  • Устройству передаётся результат проверки. Применяются правила или на самом устройстве, или на устройстве применения политик.
  • Устройство получает доступ к сети — полный, ограниченный или только к серверам обновлений.

Сценарии использования NAC в корпоративной сети

Самым простым вариантом использования NAC является запрет на доступ в сеть устройств, не соответствующих политике безопасности. Допустим, в компании требуется, чтобы на всех компьютерах, работающих под управлением Windows, были установлены последние критические обновления ОС, корпоративный антивирус и т. д. Если хотя бы одно их этих требований не выполнено, то компьютер в сеть допущен не будет. Этот вариант обычно комбинируется с другими.

В следующем примере рассмотрим более распространенный случай. В больших компаниях сеть часто бывает разделена на сегменты по подразделениям и отделам. Такое сегментирование, как правило, выполняется с помощью виртуальных сетей (VLAN). Технология NAC позволяет по принадлежности сотрудника к тому или иному подразделению подключить его в соответствующий сегмент VLAN. Для этого используется корпоративная служба каталогов, скажем, Microsoft Active Directory.
Другим примером контроля доступа является разделение корпоративной сети на рабочий и карантинный сегменты.

Читать еще:  Размер слайда в powerpoint

Карантинный сегмент предназначен для компьютеров, которые по каким-то пунктам не соответствуют установленным политикам; он содержит серверы обновлений, чтобы компьютеры пришли в состояние, требуемое политикой безопасности сети. В этом случае с помощью NAC можно не только проверить пользовательские устройства на соответствие политикам безопасности, но и заставить выполнять эти политики. NAC поможет компьютеру обновить ОС, антивирус, включить межсетевой экран и т. п. После этого компьютер опять подвергается проверке и в случае выполнения всех условий помещается в рабочий сегмент сети.

Разделение сети на рабочий и карантинный сегменты — это не самый сложный вариант, сегментов может быть столько, сколько необходимо. С помощью технологии NAC можно организовать контроль доступа в корпоративную сеть партнёров, сотрудников филиалов и гостей: на основании информации, полученной от компьютера партнёра/сотрудника/гостя, им предоставляется доступ к необходимым внутренним ресурсам.

Помимо перечисленных примером технология NAC позволяет контролировать состояние устройств, подключаемых удалённо. При дистанционном подключении к корпоративной сети через VPN тоже проводится проверка состояния компьютера на соответствие политикам сети и принимается соответствующее решение.

Рассмотрим компоненты NAC. Самым сложным в схеме решения NAC, на наш взгляд, является среда применения политик. Наиболее распространённые варианты такой среды приведены в табл. 1. Возможные варианты клиентов, запрашивающих доступ в сеть, сведём в табл. 2. В качестве сервера принятия решений выступают продукты разных вендоров, например Cisco NAC Appliance, Cisco ACS, Microsoft NPS, Symantec SEPM и т. п.

Основные причины неудачных внедрений

О внедрении решений с применением технологии NAC думают многие компании, однако реально работающих систем в нашей стране мало. Мы можем назвать ряд причин этого обстоятельства.

На рынке много предложений от разных вендоров, из которых трудно выбрать наиболее подходящее. Одни вендоры (например, Cisco, Juniper, Microsoft) утверждают, что возможности их решений практически безграничны и с ними можно интегрировать все ИТ-системы заказчика. Другие (скажем, Trend Micro, Sophos) упирают на то, что их решение идеально интегрируется именно с их продуктами, и хотя возможности этих решений ограничены, они позволяют оперативно справиться с любой конкретной задачей.

В первом случае возможности действительно велики, но нужно убедиться, что все устройства и сервисы заказчика, которые придется интегрировать с NAC-решением, поддерживаются его поставщиком. Показательно, что на данный момент Cisco Systems не является партнёром Microsoft по NAP (реализация технологии NAC, предлагаемая Microsoft), однако это не мешает использовать NAP в сетях, построенных на оборудовании Cisco. Во втором случае заказчик становится заложником ограниченного функционала и решений от одного вендора, но зато задача в целом упрощается и решается в более короткие сроки.

Хотя технология NAC лежит на стыке интересов служб ИТ и ИБ, основным ее заказчиком и потребителем построенных на ней решений должен быть отдел, отвечающий за ИТ-инфраструктуру, а не за безопасность. Отдел информационной безопасности должен выступать в роли консультанта, например, при разработке политик доступа к сети. Но, как показывает опыт, каждая компания решает данный вопрос, как может. Это сильно зависит от той роли и тех полномочий, которыми обладают ИТ-отдел и отдел безопасности в той или иной конкретной организации.

NAC — всегда гибрид

Мы считаем, что в России есть три лидирующих решения NAC (наша оценка связана не столько с функциональными возможностями продуктов, сколько с позицией вендора и возможностью получить помощь при внедрении и сопровождении продукта). Это Cisco NAC, Symantec NAC и Microsoft NAP. Практически всегда мы приходили к схеме использования решения как минимум двух вендоров (а иногда и трех), и всегда одним из них была компания Microsoft. Дело в том, что в Vista и XP SP3 встроен клиент для работы с NAC. (На текущий момент существуют клиенты и для других операционных систем, например для Linux и для Mac OS, но они пока не так функциональны, как клиенты для Windows). А про cвои продукты лучше всего знает сама Microsoft, поэтому потребуется NPS (Network Police Server). С другой стороны, применение политик на уровне сетевых устройств — не самое сильное место в Microsoft NAP. Поэтому приходится смотреть в сторону Cisco или Symantec.

Network Security – Access Control

Network access control is a method of enhancing the security of a private organizational network by restricting the availability of network resources to endpoint devices that comply with the organization’s security policy. A typical network access control scheme comprises of two major components such as Restricted Access and Network Boundary Protection.

Restricted Access to the network devices is achieved through user authentication and authorization control which is responsible for identifying and authenticating different users to the network system. Authorization is the process of granting or denying specific access permissions to a protected resource.

Network Boundary Protection controls logical connectivity into and out of networks. For example, multiple firewalls can be deployed to prevent unauthorized access to the network systems. Also intrusion detection and prevention technologies can be deployed to defend against attacks from the Internet.

In this chapter, we will discuss the methods for user identification and authentication for network access followed by various types of firewalls and intrusion detection systems.

Securing Access to Network Devices

Restricting access to the devices on network is a very essential step for securing a network. Since network devices comprise of communication as well as computing equipment, compromising these can potentially bring down an entire network and its resources.

Paradoxically, many organizations ensure excellent security for their servers and applications but leave communicating network devices with rudimentary security.

An important aspect of network device security is access control and authorization. Many protocols have been developed to address these two requirements and enhance network security to higher levels.

User Authentication and Authorization

User authentication is necessary to control access to the network systems, in particular network infrastructure devices. Authentication has two aspects: general access authentication and functional authorization.

General access authentication is the method to control whether a particular user has “any” type of access right to the system he is trying to connect to. Usually, this kind of access is associated with the user having an “account” with that system. Authorization deals with individual user “rights”. For example, it decides what can a user do once authenticated; the user may be authorized to configure the device or only view the data.

User authentication depends up on factors that include something he knows (password), something he has (cryptographic token), or something he is (biometric). The use of more than one factor for identification and authentication provides the basis for Multifactor authentication.

Password Based Authentication

At a minimum level, all network devices should have username-password authentication. The password should be non-trivial (at least 10 character, mixed alphabets, numbers, and symbols).

In case of remote access by the user, a method should be used to ensure usernames and passwords are not passed in the clear over the network. Also, passwords should also be changed with some reasonable frequency.

Centralized Authentication Methods

Individual device based authentication system provides a basic access control measure. However, a centralized authentication method is considered more effective and efficient when the network has large number of devices with large numbers of users accessing these devices.

Traditionally, centralized authentication was used to solve problems faced in remote network access. In Remote Access Systems (RAS), the administration of users on the network devices is not practical. Placing all user information in all devices and then keeping that information up-to-date is an administrative nightmare.

Centralized authentication systems, such as RADIUS and Kerberos, solve this problem. These centralized methods allow user information to be stored and managed in one place. These systems can usually be seamlessly integrated with other user account management schemes such as Microsoft’s Active Directory or LDAP directories. Most RADIUS servers can communicate with other network devices in the normal RADIUS protocol and then securely access account information stored in the directories.

For example, Microsoft’s Internet Authentication Server (IAS) bridges RADIUS and Active Directory to provide centralized authentication for the users of devices. It also ensures that the user account information is unified with the Microsoft domain accounts. The above diagram shows a Windows Domain controller operating as both an Active Directory server and a RADIUS server for network elements to authenticate into an Active Directory domain.

Читать еще:  Java nio file accessdeniedexception

Access Control Lists

Many network devices can be configured with access lists. These lists define hostnames or IP addresses that are authorized for accessing the device. It is typical, for instance, to restrict access to network equipment from IPs except for the network administrator.

This would then protect against any type of access that might be unauthorized. These types of access lists serve as an important last defense and can be quite powerful on some devices with different rules for different access protocols.

Контроль доступа к сети — Network Access Control

Контроль доступа к сети ( NAC ) является подходом к компьютерной безопасности , которая пытается объединить конечную точку безопасности технологии (например, антивирус , система предотвращения вторжений хозяина и оценки уязвимости ), пользователь или системы аутентификации и безопасность сети органам.

содержание

Описание

Контроль доступа к сети (NAC) является компьютерной сетью решением , которое использует набор протоколов для определения и реализации политики , которая описывает , как обеспечить доступ к сетевым узлам с помощью устройств , когда они сначала пытаются получить доступ к сети. НСС может интегрировать автоматический процесс исправления (фиксации несоответствующих узлов , прежде чем разрешить доступ) в сетевых системах, позволяя сетевой инфраструктуры , таких как маршрутизаторы, коммутаторы и межсетевые экраны работать вместе с задними офисных серверов и конечного пользователя вычислительного оборудования для обеспечения информационной системы надежно работает перед тем совместимость допускается. Основная форма NAC является 802.1X стандартом.

Контроль доступа к сети стремится сделать именно то , что доступ следует из названия-управления к сети с политикой, в том числе догоспитальной проверки политики безопасности конечных точек и управления после приема более , где пользователи и устройства могут пойти в сети и что они могут сделать.

пример

Когда компьютер подключается к компьютерной сети, не разрешен доступ, если ничего не соответствует бизнес-определенной политики; включая уровень антивирусной защиты, уровень обновления системы и настройки. Пока компьютер проверяется с помощью предварительно установленного программного агента, он может получить доступ только к ресурсам, которые могут устранять (разрешать или обновить) любые вопросы. После того, как политика соблюдена, компьютер может получить доступ к сетевым ресурсам и Интернету, в рамках политики, определенной в рамках системы NAC. NAC в основном используется для проверки состояния здоровья конечных точек, но это часто связанно с ролевым доступом. Доступ к сети будет предоставлен в соответствии с профилем личности и результатами проверки осанки / здоровья. Например, на предприятии отдел кадров может иметь доступ только к файлам отдел кадров, если и роль и конечная точка отвечают антивирусные минимумы.

Цели NAC

Поскольку NAC представляет вытекая категорию безопасности продуктов его определение как развивается и противоречивые. Общие цели концепции можно перегнать, как:

  • Смягчение не-атак нулевого дня
  • Авторизация, аутентификация и учет сетевых соединений.
  • Шифрование трафика в беспроводной и проводной сети с использованием протоколов 802.1X, таких как EAP-TLS, EAP-PEAP или EAP-MSCHAP.
  • На основе ролей управления пользователя, устройства или приложения после аутентификации осанки безопасности.
  • Автоматизация с помощью других инструментов, чтобы определить сетевую роль на основе другой информации, такой как известные уязвимости, джейлбрейк статус и т.д.
    • Основное преимущество решений NAC является предотвращение конечных станций , которые не имеют антивирус, патчи, или программное обеспечение предотвращения вторжений от доступа к сети и размещения других компьютеров на риске перекрестного заражения компьютерных червей .
  • правоприменительная политика
    • Решения NAC позволяют операторам сети определять политику, такие как типы компьютеров или ролей пользователей , которым разрешен доступ областей сети, и обеспечить их соблюдение в коммутаторах, маршрутизаторах и сетевое middleboxes .
  • Управление идентификацией и доступом
    • Там , где обычные IP — сети применять политику доступа с точки зрения IP — адресов , NAC среды пытаются сделать это , основываясь на прошедших проверку подлинности идентификаторами пользователей, по крайней мере , для пользователей конечных станций , таких как ноутбуки и настольные компьютеры.

Концепции

Предварительное признание и пост-прием

Есть два преобладающие конструкция в NAC, в зависимости от того, применяется политика до или после того, как конечные станции получают доступ к сети. В первом случае, называется предварительно прием NAC, конечные станции проверяются до того , допускается по сети. Типичный случай использования предварительного допуска NAC будет препятствовать клиентам неприменяющейся антивирусных сигнатур от разговоров к конфиденциальным серверам. С другой стороны , после допуска NAC делает правоприменительные решения , основанные на действиях пользователя, после того, как те пользователи , которые были обеспечены доступом к сети

Агент против Безагентного

Основная идея заключается в NAC позволяет сеть принимать решение контроля доступа на основе разведки о конечных системах, так что порядок , в котором сеть информируется о конечных системах является ключевым дизайнерским решением. Основное различие между NAC системами требуют ли они программное обеспечения агента сообщать конечные характеристики системы, или они используют сканирование и сеть инвентаризации методы различать эти характеристики дистанционно.

Как NAC созрел, разработчики программного обеспечения , такие как Microsoft приняли подход, обеспечивая их защиту доступа к сети (NAP) агента в качестве части их Windows 7, Vista и XP отпускает. Есть также NAP совместимых агентов для Linux и Mac OS X , которые обеспечивают равный интеллект для этих операционных систем.

Из внеполосных по сравнению с инлайн

В некоторых системах вне-группа, агенты распределены на конечных станциях и сообщать информацию в центральную консоль, которая , в свою очередь , может контролировать переключатели для обеспечения соблюдения политики. В отличии от инлайн решение может быть одно- коробкой решением , которые действуют в качестве внутренних брандмауэров для сетей уровня доступа и обеспечить соблюдение политики. Из-внеполосных решения имеют преимущество повторного использования существующей инфраструктуры; встроенные продукты могут быть проще в развертывание новых сетей, и могут обеспечить более расширенные возможности сетевого принуждения, потому что они находятся непосредственно в управлении отдельных пакетов на проводе. Тем не менее, есть продукты, которые Безагентные и имеют как преимущества , присущие более легкое, менее рискованное развертывания вне полосы, но и использовать методы , чтобы обеспечить эффективность инлайна для несоответствующих устройств, где требуются исполнение.

Рекультивация, карантин и пленные порталы

Сетевые операторы развертывание продуктов NAC с ожиданием того, что некоторые законные клиенты будут лишен доступом к сети (если пользователи никогда не были устарелыми уровнями патча, NAC будет ненужным). Из-за этого, NAC решения требуется механизм для устранения проблем конечных пользователей, которые лишают их доступ.

Две общих стратегий реабилитации карантинные сети и пленные порталы :

карантинный Карантинная сеть запретной IP сеть , которая предоставляет пользователям маршрутизируемого доступ только к определенным хостам и приложениям. Карантин часто реализуется через VLAN задания; когда продукт NAC определяет , что конечный пользователь устарелым, их порт коммутатора назначается VLAN , который направляется только патч и обновления серверов, а не к остальной части сети. Другие решения используют методы управления адресов (например, Address Resolution Protocol (ARP) или протокол NDP (НДП)) на карантин, избегая накладные расходы на управление карантином сетями VLAN. Пленница порталы Адаптивный портал перехватывает HTTP доступ к веб — страницам, перенаправляя пользователей на веб — приложение , которое предоставляет инструкции и средства для обновления своего компьютера. Пока их компьютер не проходит автоматизированный контроль, не использование сети помимо пленного портала не допускается. Это похоже на то , как оплачиваемую работу беспроводного доступа в точках общественного доступа. Внешние Пленница порталы позволяют организациям разгрузить беспроводные контроллеры и коммутаторы от хостинга веб-порталов. Единый внешний портал размещается в оповещателях для беспроводной и проводной аутентификации устраняет необходимость создания нескольких порталов, и объединяет процессы управления политиками.

Мобильный NAC

Использование NAC в мобильном развертывании, где рабочие подключения через различные беспроводные сети на протяжении всего рабочего дня, включает в себя проблемы, которые не присутствуют в проводной локальной среде. Когда пользователь будет отказано в доступе из — за безопасности концерна, производительное использование устройства теряется, что может повлиять на способность завершить работу или обслуживать клиента. Кроме того, автоматизированное восстановление , что занимает всего несколько секунд на проводное подключении может занять несколько минут , в течение более медленного подключения к беспроводной сети передачи данных, срывание устройства. Мобильное решение NAC предоставляет системным администраторам больший контроль над ли, когда и как устранять беспокойство безопасности. Меньший класс относится такие , как устарелые антивирусные сигнатуры могут привести к простому предупреждению для пользователя, в то время как более серьезные проблемы могут привести к отфильтровывая устройства. Политика может быть установлена таким образом, что автоматизированное восстановление, например, выталкивая и применение безопасности патчи и обновления, удерживаются до тех пор , пока устройство подключено через Wi-Fi или быстрое соединение, или после окончания рабочего дня. Это позволяет администраторам наиболее соответствующим образом сбалансировать необходимость защиты от цели сохранения рабочих продуктивным.

Ссылка на основную публикацию
Adblock
detector