Network Access Control PDF Drukuj

Symantec Network Access Control
Co to jest i po co nam NAC ?
Z powodu coraz większej liczbie i złożoności robaków, wirusów i innego typu zagrożeń, administratorzy w dzisiejszych czasach nie mogą sobie pozwolić na pozostawienie sieci otwartych dla wszystkich nieautoryzowanych i niesprawdzonych urządzeń. Niestety poleganie tylko i wyłącznie na zabezpieczeniu sieci korporacyjnej zaporą ogniową nie sprawdza się i nawet jedna skompromitowana stacja wpięta do naszej infrastruktury sieciowej może narobić nam wiele problemów. Jak pokazują statystyki najwięcej przypadków utraty danych było spowodowane błędami użytkownika i właśnie zagrożeniami pochodzącymi z wnętrza sieci takimi jak laptop pracownika, komputer konsultanta czy gościa chcącego skorzystać z naszego Internetu.
Network Access Control to odpowiedź na tego typu problemy. NAC jest to rozwiązanie pozwalające na kontrolę dostępu do sieci, lub inaczej pozwalające na ochronę punktów końcowych sieci (ang. Endpoint Security) i jest uważana za jedną z najważniejszych technologii bezpieczeństwa sieciowego od czasu pojawienia się zapór ogniowych.
Główne cechy Symantec Network Access Control to:

  • Kontroluje kto i w jaki sposób dostaję się do naszej sieci
  • Upewnia się, że stacja z której się łączy użytkownik posiada odpowiednio zaktualizowany system operacyjny, czy jest włączony i zaktualizowane oprogramowanie AV etc.,
  • Naprawa i dostosowanie się do obowiązującej polityki przez mechanizmy naprawcze.

Ocena bezpieczeństwa punktu końcowego (ang. Endpoint) i definicja odpowiedniej polityki dostępu do sieci nie jest rzeczą prostą ale niewątpliwe korzyści płynące z niej stanowią największą motywację do wdrożenia NAC.
Network Access Control jest to proces który składa się z czterech kroków:4 kroki

  • Wykrycie – proces ten zachodzi wtedy gdy „punkt końcowy” łączy się do sieci. Przez połączenie nie rozumiemy jedynie wpięcia kabla w gniazdko ale również połączenia przez WiFi, WAN, zdalne poprzez VPN i inne dostępy do naszej sieci. Poprzez integrację z infrastrukturą sieciową i przy użyciu agenta NAC, administrator sieci ma pewność, że nowa stacja podłączająca się do sieci spełnia politykę bezpieczeństwa.
  • Wymuszenie – Pełny dostęp do sieci i zasobów jest przyznawany jeżeli urządzenie jest sprawdzone i spełnia wymagania określone w polityce. , które nie przeszły poprawnie weryfikacji przenoszone są do kwarantanny z ograniczonym dostępem do sieci.
  • Naprawa – Automatyczna naprawa urządzeń niespełniających wymagań zdefiniowanej polityki pozwala bez pomocy administratora uzyskać pełny dostęp do sieci. Proces ten może być całkowicie transparentny dla użytkownika lub też dostarczyć niezbędnych informacji co i jak zrobić aby spełniać wymagania polityki.
  • Monitorowanie – Administrator definiuje przedział czasowy co jaki czas stacja ma być ponownie sprawdzana. Jeżeli z jakiś powodów status weryfikacji zmieni się uprawnienia dostępu do sieci też zostaną zmienione.

Symantec Network Access Control może zostać wdrożony na wiele sposobów. W artykule tym chciałbym przedstawić w mojej opinii najbardziej naturalny i chyba najefektywniejszy sposób w połączeniu z 802.1x.
Do uwierzytelniania użytkowników i urządzeń sieciowych wykorzystywany jest standard 802.1x oraz mechanizmy NAC. Podejście takie powoduje, że tylko użytkownicy dopuszczeni przez administratora, ze stacji spełniających określone wymagania i tylko urządzenia dopuszczone przez administratora mogą wprowadzić do sieci jakikolwiek ruch. Kontrola dostępu do sieci LAN jest wykonywana na brzegu sieci i nie wymaga od użytkownika dodatkowego (ręcznego) potwierdzania tożsamości (integracja z ActiveDirectory).
Koncepcja :


Klient łącząc się do sieci wysyła login i hasło oraz stan zgodności z polityką. Następnie przełącznik przekazuje dane do Symantec LAN Enforcer’a , a ten sprawdza poprawność login’u i hasła w serwerze RADIUS (np. IAS w połączeniu z AD) oraz zgodność konfiguracji klienta z polityką zdefiniowaną w SEP Manager. Na podstawie wyników powyższych testów jest podejmowana decyzja o przyznaniu użytkownikowi dostępu do sieci.
W przypadku pozytywnej weryfikacji danych identyfikacyjnych RADIUS poza zgodą na dopuszczenie użytkownika do korzystania z sieci przekazuje dodatkowe parametry wynikające z atrybutów tego użytkownika takich jak nr VLAN’u, ACL czy QoS.
Każdy administrator powinien poważnie zastanowić się nad implementacją takiego rozwiązanie w swojej firmie. NAC w połączeniu z 802.1x oraz ochroną Symantec Endpoint Protection pozwala zbudować bardzo zaawansowany system bezpieczeństwa sieciowego.
Bardzo zachęcamy do implementacji środowiska testowego przy udziale naszych inżynierów aby zapoznać się z pełnymi możliwościami produktów Symantec.