Ağ Erişim Kontrolü - Network Access Control

Ağ Erişim Kontrolü ( NAC ), uç nokta güvenlik teknolojisini ( antivirüs , ana bilgisayar izinsiz giriş önleme ve güvenlik açığı değerlendirmesi gibi ), kullanıcı veya sistem kimlik doğrulamasını ve ağ güvenliği uygulamasını birleştirmeye çalışan bilgisayar güvenliğine yönelik bir yaklaşımdır .

Açıklama

Ağ Erişim Kontrolü (NAC), ağ düğümlerine ilk olarak ağa erişmeye çalıştıklarında cihazlar tarafından ağ düğümlerine erişimin nasıl güvenli hale getirileceğini açıklayan bir ilkeyi tanımlamak ve uygulamak için bir dizi protokol kullanan bir bilgisayar ağı çözümüdür . NAC, yönlendiriciler, anahtarlar ve güvenlik duvarları gibi ağ altyapısının, bilgi sistemini sağlamak için arka ofis sunucuları ve son kullanıcı bilgi işlem ekipmanı ile birlikte çalışmasına izin vererek, otomatik iyileştirme sürecini (erişime izin vermeden önce uyumlu olmayan düğümleri sabitleyerek) ağ sistemlerine entegre edebilir. birlikte çalışabilirliğe izin verilmeden önce güvenli bir şekilde çalışıyor. Temel bir NAC biçimi, 802.1X standardıdır.

Ağ Erişim Kontrolü, tam olarak adından da anlaşılacağı gibi , kullanıcıların ve cihazların bir ağ üzerinde nereye gidebilecekleri ve neler yapabilecekleri konusunda giriş öncesi uç nokta güvenlik politikası kontrolleri ve kabul sonrası kontroller dahil olmak üzere politikalarla bir ağa erişimi kontrol etmeyi amaçlar .

Misal

Bir bilgisayar bir bilgisayar ağına bağlandığında, iş tanımlı bir politikaya uymadıkça hiçbir şeye erişmesine izin verilmez; anti-virüs koruma seviyesi, sistem güncelleme seviyesi ve konfigürasyon dahil. Bilgisayar önceden yüklenmiş bir yazılım aracısı tarafından kontrol edilirken, yalnızca sorunları giderebilecek (çözebilecek veya güncelleyebilecek) kaynaklara erişebilir. Politika karşılandığında, bilgisayar NAC sistemi tarafından tanımlanan politikalar dahilinde ağ kaynaklarına ve İnternet'e erişebilir. NAC, esas olarak uç nokta sağlık kontrolleri için kullanılır, ancak genellikle Rol Tabanlı Erişim'e bağlıdır. Ağa erişim, kişinin profiline ve duruş/sağlık kontrolünün sonuçlarına göre verilecektir. Örneğin, bir kuruluşta İK departmanı, hem rol hem de uç nokta anti-virüs minimumlarını karşılıyorsa yalnızca İK departmanı dosyalarına erişebilir.

NAC'ın Hedefleri

NAC, gelişmekte olan bir güvenlik ürünleri kategorisini temsil ettiğinden, tanımı hem gelişmekte hem de tartışmalıdır. Konseptin kapsayıcı hedefleri şu şekilde damıtılabilir:

• Sıfır gün saldırılarının azaltılması
• Ağ bağlantılarının yetkilendirilmesi, Doğrulanması ve Hesaplanması.
• EAP-TLS, EAP-PEAP veya EAP-MSCHAP gibi 802.1X protokollerini kullanarak kablosuz ve kablolu ağa giden trafiğin şifrelenmesi.
• Kimlik doğrulama sonrası kullanıcı, cihaz, uygulama veya güvenlik duruşunun rol tabanlı kontrolleri.
• Bilinen güvenlik açıkları, jailbreak durumu vb. gibi diğer bilgilere dayalı olarak ağ rolünü tanımlamak için diğer araçlarla otomasyon.
  • NAC çözümlerinin ana yararı, virüsten koruma, yamalar veya ana bilgisayar izinsiz giriş önleme yazılımı olmayan uç istasyonların ağa erişmesini ve diğer bilgisayarları bilgisayar solucanlarının çapraz bulaşma riskine sokmasını önlemektir .
• Politika uygulaması
  • NAC çözümleri, ağ operatörlerinin, ağ alanlarına erişmesine izin verilen bilgisayar türleri veya kullanıcıların rolleri gibi ilkeleri tanımlamasına ve bunları anahtarlarda, yönlendiricilerde ve ağ orta kutularında zorlamasına olanak tanır .
• Kimlik ve erişim yönetimi
  • Geleneksel IP ağlarının, IP adresleri açısından erişim ilkelerini zorunlu kıldığı durumlarda , NAC ortamları , en azından dizüstü bilgisayarlar ve masaüstü bilgisayarlar gibi kullanıcı uç istasyonları için, kimliği doğrulanmış kullanıcı kimliklerine dayalı olarak bunu yapmaya çalışır.

kavramlar

Kabul öncesi ve kabul sonrası

NAC'de, politikaların uç istasyonların ağa erişim kazanmasından önce mi yoksa sonra mı uygulanacağına bağlı olarak iki geçerli tasarım vardır. Kabul öncesi NAC olarak adlandırılan ilk durumda, uç istasyonlar ağda izin verilmeden önce denetlenir. Giriş öncesi NAC'nin tipik bir kullanım durumu, güncel olmayan virüsten koruma imzalarına sahip istemcilerin hassas sunucularla konuşmasını önlemek olabilir. Alternatif olarak, kabul sonrası NAC, bu kullanıcılara ağa erişim sağlandıktan sonra, kullanıcı eylemlerine dayalı olarak yaptırım kararları verir.

Aracısıza karşı aracı

NAC'nin arkasındaki temel fikir, ağın uç sistemler hakkında istihbarata dayalı erişim kontrolü kararları vermesine izin vermektir, bu nedenle ağın uç sistemler hakkında bilgilenme şekli önemli bir tasarım kararıdır. NAC sistemleri arasındaki temel fark, son sistem özelliklerini raporlamak için aracı yazılıma ihtiyaç duyup duymadıkları veya bu özellikleri uzaktan ayırt etmek için tarama ve ağ envanteri tekniklerini kullanıp kullanmadıklarıdır.

NAC olgunlaştıkça, Microsoft gibi yazılım geliştiricileri , Windows 7, Vista ve XP sürümlerinin bir parçası olarak ağ erişim koruması (NAP) aracılarını sağlayarak bu yaklaşımı benimsediler . Linux ve Mac OS X için bu işletim sistemleri için eşit zeka sağlayan NAP uyumlu aracılar da vardır.

Bant dışı ve satır içi

Bazı bant dışı sistemlerde, aracılar uç istasyonlara dağıtılır ve bilgileri merkezi bir konsola rapor eder, bu da sırayla politikayı uygulamak için anahtarları kontrol edebilir. Buna karşılık, satır içi çözümler, erişim katmanı ağları için dahili güvenlik duvarları görevi gören ve politikayı uygulayan tek kutulu çözümler olabilir . Bant dışı çözümler, mevcut altyapıyı yeniden kullanma avantajına sahiptir; satır içi ürünlerin yeni ağlarda dağıtılması daha kolay olabilir ve doğrudan kablo üzerindeki bireysel paketlerin kontrolünde oldukları için daha gelişmiş ağ zorlama yetenekleri sağlayabilir. Ancak, aracısız olan ve hem daha kolay, hem de daha az riskli bant dışı konuşlandırmanın doğal avantajlarına sahip olan, ancak yaptırımın gerekli olduğu durumlarda uyumlu olmayan cihazlar için hat içi etkinlik sağlamak için teknikleri kullanan ürünler vardır.

İyileştirme, karantina ve esir portalları

Ağ operatörleri, bazı meşru istemcilerin ağa erişiminin reddedileceği beklentisiyle NAC ürünlerini dağıtır (kullanıcıların hiçbir zaman güncel olmayan yama düzeyleri olmasaydı, NAC gereksiz olurdu). Bu nedenle, NAC çözümleri, erişimlerini engelleyen son kullanıcı sorunlarını gidermek için bir mekanizma gerektirir.

İyileştirme için iki yaygın strateji, karantina ağları ve bağımlı portallardır :

Karantina

Karantina ağı, kullanıcılara yalnızca belirli ana bilgisayarlara ve uygulamalara yönlendirilmiş erişim sağlayan kısıtlı bir IP ağıdır. Karantina genellikle VLAN ataması açısından uygulanır ; bir NAC ürünü, bir son kullanıcının güncel olmadığını belirlediğinde, anahtar bağlantı noktası, ağın geri kalanına değil, yalnızca yama ve güncelleme sunucularına yönlendirilen bir VLAN'a atanır. Diğer çözümler , karantina için Adres Yönetimi tekniklerini ( Adres Çözümleme Protokolü (ARP) veya Komşu Keşif Protokolü (NDP) gibi) kullanır ve karantina VLAN'larını yönetme ek yükünü ortadan kaldırır.

Tutsak portallar

Tutsak portal , web sayfalarına HTTP erişimini engeller ve kullanıcıları bilgisayarlarını güncellemek için talimatlar ve araçlar sağlayan bir web uygulamasına yönlendirir. Bilgisayarları otomatik denetimden geçene kadar, sabit portal dışında hiçbir ağ kullanımına izin verilmez. Bu, ücretli kablosuz erişimin genel erişim noktalarında çalışma şekline benzer.

Harici Tutsak Portallar, kuruluşların kablosuz denetleyicileri ve anahtarları barındırma web portallarından boşaltmasına olanak tanır. Kablosuz ve kablolu kimlik doğrulama için bir NAC cihazı tarafından barındırılan tek bir harici portal, birden çok portal oluşturma ihtiyacını ortadan kaldırır ve ilke yönetimi süreçlerini birleştirir.

Mobil NAC

NAC'yi , çalışanların iş günü boyunca çeşitli kablosuz ağlar üzerinden bağlandığı bir mobil dağıtımda kullanmak, kablolu LAN ortamında bulunmayan zorlukları içerir . Bir güvenlik endişesi nedeniyle bir kullanıcının erişimi reddedilirse , cihazın verimli kullanımı kaybolur ve bu da bir işi tamamlama veya bir müşteriye hizmet verme yeteneğini etkileyebilir. Ek olarak, kablolu bir bağlantıda yalnızca saniyeler süren otomatik düzeltme, daha yavaş bir kablosuz veri bağlantısı üzerinden dakikalar alabilir ve aygıtı tıkayabilir. Bir mobil NAC çözümü, sistem yöneticilerine güvenlik sorununun çözülüp çözülmeyeceği, ne zaman ve nasıl çözüleceği konusunda daha fazla kontrol sağlar. Güncel olmayan antivirüs imzaları gibi daha düşük dereceli bir endişe , kullanıcıya basit bir uyarı verilmesine neden olabilirken, daha ciddi sorunlar cihazın karantinaya alınmasına neden olabilir. Politikalar, güvenlik yamalarının ve güncellemelerinin dışarı itilmesi ve uygulanması gibi otomatik düzeltmenin, cihaz bir Wi-Fi veya daha hızlı bağlantı üzerinden bağlanana kadar veya çalışma saatlerinden sonra durdurulacak şekilde ayarlanabilir . Bu, yöneticilerin güvenlik ihtiyacını, çalışanları üretken tutma hedefiyle en uygun şekilde dengelemesine olanak tanır.

Ayrıca bakınız

• Ağ Erişim Koruması
• Ağ Kabul Kontrolü
• Güvenilir Ağ Bağlantısı

Referanslar

Dış bağlantılar

• NAC: Ne yanlış gitti?
• Booz Allen Hamilton, DOD sunucusunda 60 bin güvenli olmayan dosya bırakıyor