Funkcje NAC
Systemy kontroli dostępu do sieci mogą różnić się w zależności od rodzaju wdrożenia i wykorzystanych lub dostępnych funkcji. NAC w podstawowej funkcjonalności, najczęściej bez zainstalowanego agenta na końcówce, pozwala na kontrolę dostępu opartą o adresy MAC. Pozwala również kontrolować ruch sieciowy za pomocą firewall oraz wykrywać malware na sieciowych systemach wykrywania włamań tzw. NIDS (ang. Network Intrusion Detection System). Zazwyczaj podstawowa funkcjonalność takiego systemu kontroli dostępu nie umożliwia weryfikacji zgodności podłączanej końcówki pod względem np. aktualności poprawek bezpieczeństwa czy stanu systemu antywirusowego. Wdrożony system w takiej formie możemy nazwać reaktywnym, ponieważ pozwala na reakcję po pojawieniu się i uwierzytelnieniu końcówki w sieci. Ponadto nasze działania ukierunkowane są na weryfikację już działającego hosta, a nie tzw. remediację przed zezwoleniem na komunikację z segmentami produkcyjnymi sieci wewnętrznej.
System kontroli dostępu do sieci może być również wdrożony z bardziej zaawansowanymi funkcjami. Wymaga to najczęściej zastosowania agenta realizującego funkcje wymagające odpowiednich uprawnień na końcówce użytkownika. Ponadto uzupełniająco do weryfikacji i śledzenia hosta, systemy kontroli na tym poziomie funkcjonalnym umożliwiają weryfikację oraz podążania za użytkownikiem. Za pomocą oprogramowania agenta na końcówce możliwe są do przeprowadzenia testy zarówno przed, jak i po połączeniu z siecią wewnętrzną. Pozwalają ponadto na niewielki zakres funkcji remediacji oraz monitorowania działania końcówki. Zakres funkcji oraz sposób działania można w takiej konfiguracji nazwać proaktywnym, ukierunkowanym na podstawowe zapobieganie oraz rozwiazywanie problemów z bezpieczeństwem końcówki.
Najwyższy poziom funkcjonalny oferuje system kontroli dostępu do sieci posiadający możliwość definiowania granularnych zasad dla poszczególnych kategorii końcówek oraz użytkowników. Agent pozwala na zaawansowane funkcje kontroli zachowania hosta. Zasady zależne są od kilku kryteriów, w tym użytkownika, lokalizacji, rodzaju dostępu np. VPN, WLAN, przewodowy LAN. Ponadto w takich systemach kontrolę opartą o identyfikację MAC zamienia się na weryfikację wykorzystującą protokół 802.1X. Szeroki zakres funkcji remediacji i testowania pozwalają na weryfikację oraz wymuszania zgodności końcówek uzyskujących dostęp do szczególnie wrażliwych części sieci. Ważnym elementem funkcjonalności NAC jest integracja z usługami autoryzującymi oraz uwierzytelniającymi użytkownika. Niektóre z rozwiązań natywnie integruje się z Active Directory, LDAP, RADIUS, Kerberos i innymi usługami uwierzytelniającymi. Ponadto obsługa single sign-on (pojedynczego logowania) pozwala na integrowanie uwierzytelniania i klientów VPN, klientów WLAN i domen Windows Active Directory.
Protokół 802.1X pozwala na kontrolę dostępu do sieci przewodowej oraz bezprzewodowej. Tę technologię możemy uruchomić na większości switchy zarządzalnych, ale musimy pamiętać o konieczności posiadania zewnętrznego serwera uwierzytelniającego. 802.1X działa na zasadzie blokady komunikacji z portu, do którego jest podpięty komputer lub inne urządzenie sieciowe do momentu właściwego uwierzytelnienia w serwerze uwierzytelniajacycm np. RADIUS. Usługa serwera autentykującego może znajdować się na różnych systemach operacyjnych, dedykowanych appliance lub wirtualnych serwerach NAC. W Linuksie możemy uruchomić darmowy pakiet o nazwie FreeRADIUS, pozwalający na uwierzytelnianie za pomocą wewnętrznej bazy.
Rozwiązania NAC
Rozwiązania typu kontroli dostępu do sieci dostarcza wiele firm. Umożliwiają tworzenie i wymuszanie zasad dostępu do sieci dla całej organizacji w celu uwierzytelniania i autoryzacji żądań połączeń końcówek. Serwery NAC pozwalają na scentralizowane uwierzytelnianie, autoryzację i ewidencjonowanie aktywności dla połączeń bezprzewodowych, przełączników przewodowych, a także połączeń VPN. Rozwiązania oferują funkcje kontroli dostępu do sieci oraz bardziej zaawansowane funkcjw remediacji. Do zabezpieczenia sieci możemy użyć uwierzytelniania użytkowników co oceny i wymuszenia na urządzeniu zgodności z polityką przed zezwoleniem na dostęp do sieci. Jednocześnie różnicować dostęp w oparciu o zdefiniowane role, a także przeprowadzać audyt i raportowanie hostów w sieci.
Uwierzytelnienie urządzenia i zezwolenie na dostęp do określonych zasobów sieci za wykonywane jest w NAC za pomocą zdefiniowanych reguł. Przydatną opcją jest weryfikacja zgodności końcówki i ograniczenie dostępu dla tych, które wymagają dostosowania. W przypadku niezgodnych końcówek istnieje możliwość przeniesienia ich do kwarantanny. Poddawanie kwarantannie umożliwia serwerom naprawczym dostarczanie poprawek i aktualizacji systemu operacyjnego oraz najnowszych definicji wirusów.
Rozwiązania klasy network access control zapewniają warstwę ochrony na wejściu do sieci. Działają zarówno proaktywnie, jak i podczas realizacji połączenia z usługami sieciowymi. Integracja z uwierzytelnianiem domenowym oraz single sign-on ułatwiają użytkownikom korzystanie z zasobów niezależnie od sposobu połączenia. Ważną cechą jest również podążanie reguł dostępu za użytkownikiem, co szczególnie jest istotne w środowiskach z pracownikami mobilnymi. Bez tych rozwiązań trudno sobie wyobrazić organizowanie dostępu dla częstych odwiedzin konsultantów czy gości, którzy nie posiadając zaufanych końcówek z monitorującymi agentami, również powinni posiadać prawidłowy poziom uprawnień do usług sieciowych zależny od np. miejsca połączenia.
Podsumowanie: przykłady funkcji rozwiązań NAC
- Uwierzytelnienie końcówki.
- Weryfikowanie tożsamości nie tylko urządzenia, ale również użytkownika.
- Przekierowywanie nieuwierzytelnionych urządzeń do osobnego VLAN lub blokada dostępu.
- Zapobieganie rozprzestrzenianiu się malware poprzez kwarantannę niezgodnych lub zainfekowanych urządzeń.
- Automatyczna instalacja brakujących poprawek oraz sygnatur wirusów.
- Kontrola dostępu poprzez LAN, WLAN, WAN, and VPN.
- Dostęp dla użytkowników spoza zaufanej infrastruktury za pomocą uwierzytelnienia w portalu WWW.
- Integracja z usługami uwierzytelniającymi np. Active Directory, LDAP, RADIUS.
- Monitorowanie urządzeń w sieci.
- Alerty dotyczące wykrytych intruzów.
Autor: Artur Cieślik