Kontroll av nätverkstillträde

Network Admission Control ( NAC ) hänvisar till Ciscos version av Network Access Control , som begränsar åtkomst till nätverket baserat på identitet eller säkerhetsställning. När en nätverksenhet ( switch , router , trådlös åtkomstpunkt , DHCP- server, etc.) är konfigurerad för NAC, kan den tvinga fram användar- eller maskinautentisering innan åtkomst till nätverket beviljas. Dessutom kan gäståtkomst ges till ett karantänsområde för att åtgärda eventuella problem som kan ha orsakat autentiseringsfel. Detta upprätthålls genom en inline anpassad nätverksenhet, ändringar av en befintlig switch eller router eller en begränsad DHCP- klass. En typisk (icke-gratis) WiFi- anslutning är en form av NAC. Användaren måste visa upp någon form av inloggningsuppgifter (eller ett kreditkort) innan han beviljas åtkomst till nätverket.

I den inledande fasen gör Cisco Network Admission Control-funktionen (NAC) det möjligt för Cisco-routrar att upprätthålla åtkomstbehörigheter när en slutpunkt försöker ansluta till ett nätverk. Detta åtkomstbeslut kan baseras på information om slutpunktsenheten, såsom dess aktuella antivirustillstånd. Antivirustillståndet inkluderar information som version av antivirusprogramvara, virusdefinitioner och version av skanningsmotor.

Nätverkstillträdeskontrollsystem tillåter icke-kompatibla enheter att nekas åtkomst, placeras i ett område i karantän eller ges begränsad åtkomst till datorresurser, vilket hindrar osäkra noder från att infektera nätverket.

Nyckelkomponenten i Cisco Network Admission Control-programmet är Cisco Trust Agent, som finns i ett slutpunktssystem och kommunicerar med Cisco-routrar i nätverket. Cisco Trust Agent samlar in säkerhetstillståndsinformation, till exempel vilken antivirusprogramvara som används, och kommunicerar denna information till Cisco-routrar. Informationen vidarebefordras sedan till en Cisco Secure Access Control Server (ACS) där beslut om åtkomstkontroll tas. ACS dirigerar Cisco-routern att utföra verkställighet mot slutpunkten.

Denna Cisco-produkt har märkts som End of Life sedan den 30 november 2011, vilket är Ciscos terminologi för en produkt som inte längre utvecklas eller stöds.

Hållningsbedömning

Förutom användarautentisering kan auktorisering i NAC baseras på efterlevnadskontroll. Denna ställningsbedömning är en utvärdering av systemsäkerhet baserat på de applikationer och inställningar som ett visst system använder. Dessa kan inkludera Windows- registerinställningar eller närvaron av säkerhetsagenter som antivirus eller personlig brandvägg . NAC-produkter skiljer sig åt i sina kontrollmekanismer:

• 802.1x Extensibile Authentication Protocol
• Microsoft Windows AD-domänautentisering - inloggningsuppgifter
• Cisco NAC Appliance L2-switch eller L3-autentisering
• Förinstallerad säkerhetsagent
• Webbaserad säkerhetsagent
• Nätverkspaketsignaturer eller anomalier
• Extern nätverkssårbarhetsskanner
• Extern databas över kända system

Utvärdering av hållning utan agent

De flesta NAC-leverantörer kräver att 802.1x-leverantören (klient eller agent) installeras. Vissa, inklusive Hexis NetBeat NAC, Trustwave och Enterasys, erbjuder en agentfri kroppskontroll. Detta är utformat för att hantera scenariot " Bring Your Own Device " eller "BYOD" för att:

• Upptäck och fingeravtryck alla nätverksanslutna enheter, oavsett om de är trådbundna eller trådlösa
• Ta reda på om dessa enheter har vanliga sårbarheter och exponeringar (aka "CVEs")
• Placera falska enheter i karantän såväl som de som är infekterade med ny skadlig programvara

Det agentlösa tillvägagångssättet fungerar heterogent över nästan alla nätverksmiljöer och med alla nätverksenhetstyper.

Se även

• Åtkomstkontroll
• Nätverksåtkomstskydd
• Cisco NAC Appliance
• Nätverksåtkomstkontroll
• PacketFence

externa länkar

• Network Admission Control - Cisco Systems
• Agentless Network Admission Control - NetClarity, Inc.
• FastNAC Nästa generations NAC