Řízení přístupu do sítě - Network Admission Control

tento článek potřebuje další citace pro ověření. Prosím pomozte vylepšit tento článek podle přidávání citací ke spolehlivým zdrojům. Zdroj bez zdroje může být napaden a odstraněn. Najít zdroje: „Network Admission Control“  – zprávy  · noviny  · knihy  · učenec  · JSTOR (Duben 2012) (Zjistěte, jak a kdy odstranit tuto zprávu šablony)

Řízení přístupu do sítě (NAC) odkazuje na Cisco verze Řízení přístupu do sítě, který omezuje přístup do sítě na základě identity nebo polohy zabezpečení. Když je síťové zařízení (přepínač, router, bezdrátový přístupový bod, DHCP server atd.) je nakonfigurován pro NAC, může vynutit ověření uživatele nebo stroje před udělením přístupu k síti. Kromě toho lze do karanténní oblasti udělit přístup hosta k nápravě všech problémů, které mohly způsobit selhání ověřování. To je vynuceno prostřednictvím vloženého vlastního síťového zařízení, změn stávajícího přepínače nebo směrovače nebo omezení DHCP třída. Typický (nesvobodný) WiFi připojení je formou NAC. Uživatel musí před udělením přístupu k síti předložit určitý druh přihlašovacích údajů (nebo kreditní kartu).

V počáteční fázi umožňuje funkce Cisco Network Admission Control (NAC) směrovačům Cisco vynutit přístupová oprávnění, když se koncový bod pokusí připojit k síti. Toto rozhodnutí o přístupu může být na základě informací o koncovém zařízení, jako je například jeho aktuální stav antiviru. Stav antiviru zahrnuje informace, jako je verze antivirového softwaru, definice virů a verze skenovacího modulu.

Systémy pro řízení přístupu do sítě umožňují odepřít nevyhovujícím zařízením přístup, umístit je do oblasti v karanténě nebo získat omezený přístup k výpočetním prostředkům, čímž zabrání nezabezpečeným uzlům infikovat síť.

Klíčovou součástí programu Cisco Network Admission Control je Cisco Trust Agent, který je umístěn v koncovém systému a komunikuje se směrovači Cisco v síti. Agent důvěryhodnosti Cisco shromažďuje informace o stavu zabezpečení, například o tom, jaký antivirový software se používá, a sděluje tyto informace směrovačům Cisco. Informace se poté přenesou na server Cisco Secure Access Control Server (ACS), kde se přijímají rozhodnutí o řízení přístupu. ACS směruje směrovač Cisco k vynucování proti koncovému bodu.

Tento produkt Cisco má od 30. listopadu 2011 označení End of Life,^[1] což je terminologie společnosti Cisco pro produkt, který již není vyvíjen nebo podporován.

Posouzení polohy

Kromě ověřování uživatelů může být autorizace v NAC založena na kontrole souladu. Toto hodnocení polohy je vyhodnocení zabezpečení systému na základě aplikací a nastavení, které konkrétní systém používá. Mohou zahrnovat Registr Windows nastavení nebo přítomnost bezpečnostních agentů, jako je antivirový nebo osobní firewall. Produkty NAC se liší ve svých kontrolních mechanismech:

• 802.1x Extensibile Authentication Protocol
• Microsoft Windows Ověření domény AD - přihlašovací údaje
• Zařízení Cisco NAC Přepínač L2 nebo ověřování L3
• Předinstalovaný bezpečnostní agent
• Webový agent zabezpečení
• Síť balíček podpisy nebo anomálie
• Externí síť skener zranitelnosti
• Externí databáze známých systémů

Hodnocení držení těla bez agentů

Většina dodavatelů NAC vyžaduje, aby byl nainstalován žadatel 802.1x (klient nebo agent). Některé, včetně Hexis 'NetBeat NAC,^[2] Trustwave a Enterasys ^[3][4] nabídnout kontrolu držení těla bez agenta. Toto je navrženo tak, aby zvládlo „Přineste si vlastní zařízení „nebo„ BYOD “scénář pro:

• Detekujte a otiskujte prstem všechna síťová zařízení, ať už kabelová nebo bezdrátová
• Zjistěte, zda mají tato zařízení společné chyby zabezpečení a ohrožení (aka „CVE“)
• Umístěte nepoctivá zařízení do karantény i zařízení infikovaná novým malwarem

Přístup bez agentů funguje heterogenně téměř ve všech síťových prostředích a se všemi typy síťových zařízení.

Viz také

• Řízení přístupu
• Ochrana přístupu k síti
• Zařízení Cisco NAC
• Řízení přístupu do sítě
• PacketFence

Reference

externí odkazy

• Řízení přístupu do sítě - Systémy Cisco
• Řízení přístupu k síti bez agentů - NetClarity, Inc.