Kontrola dostępu do sieci
Network Admission Control ( NAC ) odnosi się do wersji Cisco Network Access Control , która ogranicza dostęp do sieci na podstawie tożsamości lub poziomu bezpieczeństwa. Gdy urządzenie sieciowe ( przełącznik , router , bezprzewodowy punkt dostępowy , DHCP serwer itp.) jest skonfigurowany dla NAC, może wymusić uwierzytelnienie użytkownika lub urządzenia przed udzieleniem dostępu do sieci. Ponadto dostęp dla gości może zostać przyznany do obszaru kwarantanny w celu rozwiązania wszelkich problemów, które mogły spowodować niepowodzenie uwierzytelniania. Jest to wymuszane przez wbudowane niestandardowe urządzenie sieciowe, zmiany w istniejącym przełączniku lub routerze lub ograniczoną DHCP . Typowe (niewolne) WiFi jest formą NAC. Użytkownik musi przedstawić jakieś dane uwierzytelniające (lub kartę kredytową), zanim uzyska dostęp do sieci.
W początkowej fazie funkcja Cisco Network Admission Control (NAC) umożliwia routerom Cisco wymuszanie uprawnień dostępu, gdy punkt końcowy próbuje połączyć się z siecią. Decyzja o dostępie może zostać podjęta na podstawie informacji o urządzeniu końcowym, takich jak jego aktualny stan antywirusowy. Stan antywirusa zawiera informacje, takie jak wersja oprogramowania antywirusowego, definicje wirusów i wersja silnika skanowania.
Systemy kontroli dostępu do sieci umożliwiają odmowę dostępu niezgodnym urządzeniom, umieszczenie ich w obszarze kwarantanny lub ograniczenie dostępu do zasobów obliczeniowych, zapobiegając w ten sposób zainfekowaniu sieci przez niezabezpieczone węzły.
Kluczowym elementem programu Cisco Network Admission Control jest Cisco Trust Agent, który znajduje się w systemie końcowym i komunikuje się z routerami Cisco w sieci. Cisco Trust Agent zbiera informacje o stanie zabezpieczeń, takie jak używane oprogramowanie antywirusowe, i przekazuje te informacje do routerów Cisco. Informacje są następnie przekazywane do Cisco Secure Access Control Server (ACS), gdzie podejmowane są decyzje dotyczące kontroli dostępu. Usługa ACS nakazuje routerowi Cisco wykonanie wymuszenia na punkcie końcowym.
Ten produkt Cisco został oznaczony jako End of Life od 30 listopada 2011 r., co jest terminologią firmy Cisco dla produktu, który nie jest już rozwijany ani wspierany.
Ocena postawy
Poza uwierzytelnianiem użytkownika, autoryzacja w NAC może opierać się na sprawdzaniu zgodności. Ta ocena postawy jest oceną bezpieczeństwa systemu na podstawie aplikacji i ustawień, z których korzysta dany system. Mogą to być rejestru systemu Windows lub obecność agentów bezpieczeństwa, takich jak program antywirusowy lub zapora osobista . Produkty NAC różnią się mechanizmami sprawdzającymi:
- Protokół uwierzytelniania rozszerzonego 802.1x
- Uwierzytelnianie domeny Microsoft Windows AD — poświadczenia logowania
- Cisco NAC Appliance L2 lub uwierzytelnianie L3
- Preinstalowany agent bezpieczeństwa
- Internetowy agent bezpieczeństwa
- Sygnatury lub anomalie pakietów sieciowych
- Zewnętrzny skaner luk w zabezpieczeniach sieci
- Zewnętrzna baza danych znanych systemów
Bezagentowa ocena postawy
Większość dostawców NAC wymaga zainstalowania suplikanta 802.1x (klienta lub agenta). Niektóre, w tym NetBeat NAC firmy Hexis, Trustwave i Enterasys, oferują kontrolę postawy bez agenta. Ma to na celu obsługę scenariusza „ Przynieś własne urządzenie ” lub „BYOD” w celu:
- Wykrywaj i pobieraj odciski palców wszystkich urządzeń podłączonych do sieci, zarówno przewodowych, jak i bezprzewodowych
- Ustal, czy te urządzenia mają wspólne luki w zabezpieczeniach i zagrożenia (inaczej „CVE”)
- Poddaj kwarantannie nieuczciwe urządzenia, a także zainfekowane nowym złośliwym oprogramowaniem
Podejście bezagentowe działa heterogenicznie w prawie wszystkich środowiskach sieciowych i ze wszystkimi typami urządzeń sieciowych.
Zobacz też
- Kontrola dostępu
- Ochrona dostępu do sieci
- Urządzenie Cisco NAC
- Kontrola dostępu do sieci
- PacketFence
Linki zewnętrzne
- Kontrola dostępu do sieci — Cisco Systems
- Bezagentowa kontrola dostępu do sieci — NetClarity, Inc.
- FastNAC NAC nowej generacji