Control acces rețea

Controlul accesului la rețea ( NAC ) este o abordare de securitate cibernetică care încearcă să unifice tehnologia de securitate a punctelor finale (cum ar fi antivirusul , prevenirea intruziunii computerului și evaluarea vulnerabilității), autentificarea utilizatorului sau a sistemului și aplicarea securității rețelei. ^[1] ^[2]

Descriere

Controlul accesului la rețea (NAC) este o soluție pentru rețelele de calculatoare care utilizează un set de protocoale care definesc și implementează politici care descriu modul în care dispozitivele pot accesa în siguranță nodurile de rețea atunci când încearcă să acceseze rețeaua. NAC ar putea integra procesul de fixare automată (repararea nodurilor neconforme înainte de a permite accesul) în sistemele de rețea, permițând infrastructurii de rețea, cum ar fi routere, switch-uri și firewall-uri, să colaboreze cu servere și echipamente back office. Procesarea utilizatorului final asigurându-se că sistemul funcționează în siguranță înainte de interoperabilitatea permisă. O formă de bază a NAC este standardul 802.1X .

Acesta își propune să facă exact ceea ce implică numele: controlul accesului la o rețea cu politici, inclusiv verificări ale politicii de securitate a punctului final de pre-admitere și verificări post-admitere cu privire la locul în care utilizatorii și dispozitivele pot intra într-o rețea și ce pot face.

Exemplu

Atunci când un computer dorește să se conecteze la o rețea de calculatoare, nu are voie să acceseze nimic decât dacă respectă politicile definite ale companiei; inclusiv nivelul de protecție antivirus, nivelul de actualizare a sistemului și configurația. În timp ce computerul este controlat de software preinstalat, acesta poate accesa doar resurse care pot rezolva orice probleme. Odată ce politicile sunt îndeplinite, computerul poate accesa resursele de rețea și Internetul, respectând în același timp politicile definite în sistemul NAC. NAC este utilizat în principal pentru controalele de sănătate ale punctelor finale, dar și pentru a defini diferite niveluri de acces.

De exemplu, într-o companie, departamentul de resurse umane poate accesa fișiere de resurse umane numai dacă rolul și punctul final îndeplinesc cerințele minime antivirus.

Obiectivele NAC

Deoarece NAC reprezintă o categorie emergentă de produse de securitate, definiția sa este atât în evoluție, cât și controversată. Obiectivele generale ale conceptului pot fi descrise în:

Atenuarea atacurilor non -zero

Autorizarea, autentificarea și contabilitatea conexiunilor de rețea.

Criptarea traficului prin rețeaua fără fir sau prin cablu utilizând protocoale pentru 802.1X, cum ar fi EAP-TLS, EAP-PEAP sau EAP-MSCHAP.

Controale bazate pe rolul utilizatorului, dispozitivul, aplicația sau politica de securitate.

Automatizarea cu alte instrumente pentru a defini rolul în rețea pe baza altor informații, cum ar fi vulnerabilitățile cunoscute, starea jailbreak etc.
- Principalul beneficiu al soluțiilor NAC este de a preveni accesul la rețea a dispozitivelor fără antivirus, patch sau software de prevenire a intruziunilor gazdei, care să pună alte computere în pericol de contaminare încrucișată cu viermi .

Aplicarea politicii.
- Soluțiile NAC permit operatorilor de rețea să definească politici, cum ar fi tipurile de computere sau rolurile utilizatorilor care sunt autorizați să acceseze zone ale rețelei și să le aplice pe comutatoare de rețea, rute și cutii medii .
Managementul identității și accesului
- În cazul în care rețelele IP convenționale impun politici de acces în ceea ce privește adresele IP , mediile NAC încearcă să facă acest lucru pe baza identității autentificate a utilizatorului, cel puțin pentru dispozitivele utilizatorului, cum ar fi laptopurile și computerele desktop.

Concepte

Pre-admitere și post-admitere

Există două modele predominante de NAC, bazate pe dacă politicile sunt puse în aplicare înainte sau după ce dispozitivele au acces la rețea. În primul caz, numit NAC de pre-admitere , dispozitivele sunt inspectate înainte de a li se permite accesul la rețea. Un caz tipic de utilizare a NAC de pre-admitere ar fi acela de a împiedica clienții cu semnături antivirus învechite să vorbească cu servere sensibile. Alternativ, NAC post-admitere ia decizii pe baza acțiunilor utilizatorilor, după ce utilizatorii au accesat rețeaua.

Agent versus agentless

Ideea fundamentală din spatele NAC este de a permite rețelei să ia decizii de control al accesului pe baza informațiilor despre dispozitiv, deci modul în care rețeaua este informată despre acestea este o decizie de proiectare cheie. O diferență cheie între sistemele NAC este dacă acestea necesită software-ul agentului pentru a raporta caracteristicile dispozitivului sau dacă folosesc tehnici de scanare și inventariere a rețelei pentru a discerne aceste caracteristici de la distanță.

Pe măsură ce NAC s-a maturizat, dezvoltatorii de software precum Microsoft au adoptat această abordare, oferind agentul lor de protecție a accesului la rețea (NAP) ca parte a versiunilor Windows 7, Vista și XP. Există, de asemenea, agenți de protecție a accesului la rețea pentru Linux și Mac OS X care oferă aceleași informații pentru aceste sisteme de operare.

Out-of-band versus inline

În unele sisteme în afara benzii, agenții sunt distribuiți pe dispozitive și raportează informații către o consolă centrală, care la rândul său poate controla comutatoarele pentru a aplica politicile. În schimb, soluțiile online pot fi soluții single-box care acționează ca firewall-uri interne pentru stratul de acces al rețelelor și aplică politica. Soluțiile în afara benzii au avantajul reutilizării infrastructurii existente; produsele online pot fi mai ușor de implementat pe rețele noi și pot oferi capabilități mai avansate de aplicare a rețelei, deoarece acestea controlează direct pachetele individuale de pe cablu. Cu toate acestea, există produse fără agenți și ambele au avantajele inerente ale unei implementări în afara benzii mai simple și mai puțin riscante.

Recuperare, carantină și portal captiv

Operatorii de rețea distribuie produse NAC cu așteptarea că anumitor clienți legitimi li se va refuza accesul la rețea (dacă utilizatorii nu au avut niciodată patch-uri de securitate învechite, NAC-urile nu ar fi necesare). Din acest motiv, soluțiile NAC necesită un mecanism pentru a remedia problemele utilizatorilor finali, refuzându-le accesul.

Două strategii comune de remediere sunt rețelele de carantină și portalurile captive :

Patruzeci

O rețea de carantină este o rețea IP limitată care oferă utilizatorilor acces doar la anumite gazde și aplicații. Carantina este adesea implementată în ceea ce privește atribuirea VLAN ; atunci când un produs NAC determină că un dispozitiv este depășit, portul de comutare este atribuit unei VLAN care este direcționată numai către serverele de patch-uri și actualizări, nu restul rețelei. Alte soluții utilizează tehnici de gestionare a adreselor (cum ar fi Protocolul de rezoluție a adreselor (ARP) sau Protocolul de descoperire a vecinilor (NDP)) pentru carantină, evitând cheltuielile generale de gestionare a VLAN-urilor de carantină.

Portal captiv

Un portal captiv interceptează accesul HTTP la paginile web, redirecționând utilizatorii către o aplicație web care oferă instrucțiuni și instrumente pentru actualizarea computerului lor. Până când computerul nu trece inspecția automată, nu li se permite să folosească rețeaua dincolo de portalul captiv. Acest lucru este similar cu modul în care funcționează accesul wireless plătit la punctele de acces publice.

Portalurile captive externe permit organizațiilor să evite controlerele fără fir și comutatoarele de la găzduirea portalurilor web. Un singur portal extern găzduit de un dispozitiv NAC pentru autentificare fără fir și prin cablu elimină necesitatea de a crea mai multe portaluri și consolidează procesele de gestionare a politicilor.

NAC mobil

Utilizarea NAC într-o implementare mobilă, în care lucrătorii se conectează prin diferite rețele wireless pe parcursul zilei de lucru, aduce provocări care nu sunt prezente într-un mediu LAN cu fir . Când unui utilizator i se refuză accesul din motive de securitate , se pierde utilizarea productivă a dispozitivului, ceea ce poate afecta capacitatea de a finaliza o lucrare sau de a servi un client. De asemenea, reparația automată care durează doar câteva secunde la o conexiune prin cablu poate dura câteva minute la o conexiune de date wireless mai lentă, împiedicând dispozitivul. ^[3] O soluție NAC mobilă oferă administratorilor de sistem un control mai mare asupra lor, când și cum să rezolve problemele de securitate. O problemă de nivel inferior, cum ar fi semnăturile antivirus depășite, poate duce la o simplă avertizare pentru utilizator, în timp ce probleme mai grave pot face ca dispozitivul să fie pus în carantină. ^[4] Politicile pot fi setate astfel încât remedierea automată, cum ar fi extinderea și aplicarea patch- urilor și actualizărilor de securitate , să fie reținută până când dispozitivul este conectat printr-o conexiune Wi-Fi sau mai rapidă sau după orele de lucru. Acest lucru permite administratorilor să echilibreze în mod adecvat nevoia de securitate cu scopul de a menține productivitatea lucrătorilor. ^[4]

Notă

^ ( RO ) IEEE 802.1: 802.1X-REV - Revizuirea 802.1X-2004 - Control acces acces rețea bazat pe port , la www.ieee802.org . Adus la 20 decembrie 2017 .
^ (EN) Tutorial: Network Access Control (NAC) , în Network Computing, 17 iulie 2007. Accesat la 20 decembrie 2017 (depus de „Adresa URL originală 28 noiembrie 2015).
^ Wayback Machine ( PDF ), netmotionwireless.com , 5 octombrie 2011. Adus la 20 decembrie 2017 (arhivat din original la 5 octombrie 2011) .
^ ^a ^b Cartea albă: Controlul accesului la rețeaua mobilă: extinderea companiei , pe fieldtechnologiesonline.com , 14 martie 2012. Accesat la 20 decembrie 2017 (arhivat din original la 14 martie 2012) .

Elemente conexe

Portal IT : accesați intrările Wikipedia care se ocupă cu IT

[1] ( RO ) IEEE 802.1: 802.1X-REV - Revizuirea 802.1X-2004 - Control acces acces rețea bazat pe port , la www.ieee802.org . Adus la 20 decembrie 2017 .

[2] (EN) Tutorial: Network Access Control (NAC) , în Network Computing, 17 iulie 2007. Accesat la 20 decembrie 2017 (depus de „Adresa URL originală 28 noiembrie 2015).

[3] Wayback Machine ( PDF ), netmotionwireless.com , 5 octombrie 2011. Adus la 20 decembrie 2017 (arhivat din original la 5 octombrie 2011) .

[A-4] Cartea albă: Controlul accesului la rețeaua mobilă: extinderea companiei , pe fieldtechnologiesonline.com , 14 martie 2012. Accesat la 20 decembrie 2017 (arhivat din original la 14 martie 2012) .

[1]

[2]

[3]

[4]