Network Access Control – co to jest i jakie są jego zalety?

eskom.eu 2 lat temu

Jak monitorować dostęp do sieci i wydajnie nimi zarządzać? Jednym ze sposobów na skuteczne zabezpieczenie przed niepowołanym dostępem jest Network Access Control. Co to jest NAC, jak działa oraz dlaczego warto z niego korzystać?

Co to jest Network Access Control?

Network Access Control (NAC) to niezbędny element zapewnienia bezpieczeństwa każdej organizacji. To system, który odpowiada za uwierzytelnianie użytkowników i przydzielanie im uprawnień dostępu do sieci.

Stosowanie NAC zwalnia z konieczności statycznej konfiguracji VLAN na portach przełączników i eliminuje możliwość podłączenia do sieci urządzeń, które nie powinny się do niej dostać. W ten sposób znacznie podnosi bezpieczeństwo sieci oraz usprawnia jej konfigurację. Pracownik nie jest wówczas przypisany do żadnego konkretnego gniazdka sieciowego, ale jego VLAN przemieszcza się razem z nim. Dodatkowo zastosowanie NAC daje większą kontrolę nad działaniami użytkowników oraz urządzeń, które są do niej podłączone. To wszystko jest możliwe dzięki standardowi 802.1X, którego NAC jest częścią.

NAC a standard 802.1X

Jakie są komponenty standardu 802.1X?

  • suplikant – aplikacja instalowana na urządzeniu końcowym, która umożliwia uwierzytelnianie. System Windows ma wbudowany suplikant.
  • authenticator – urządzenie, które zapewnia kontrolę dostępu do sieci (najczęściej switch lub access point). Przekazuje ono prośbę o uwierzytelnienie do NAS i na podstawie otrzymanej odpowiedzi udziela lub zabrania dostępu.
  • NAS – serwer, który uwierzytelnia użytkowników i decyduje o nadaniu im dostępów (najczęściej jest to serwer Radius).

Jak to działa w praktyce? Kiedy urządzenie zostaje podłączone do sieci z włączonym uwierzytelnianiem 802.1X, dzięki suplikanta wysyła prośbę o uwierzytelnienie. Następnie authenticator przekazuje ją do serwera NAS, który decyduje o tym, czy udzielić dostępu danemu użytkownikowi oraz jakie nadać mu uprawnienia. Serwer przekazuje swoją odpowiedź z powrotem do authenticatora, który udziela odpowiednich dostępów.

Uwierzytelnienie może odbywać się z wykorzystaniem różnych protokołów. Klienci mogą uwierzytelniać się za pośrednictwem:

  • loginu i hasła
  • certyfikatu
  • MAB – uwierzytelnienie na podstawie adresu MAC, który wcześniej jest konfigurowany na serwerze NAS. Jest to metoda przeznaczona dla urządzeń, których z jakichś powodów nie można uwierzytelnić w inny sposób.

Aruba ClearPass jako system NAC

Przykładem systemu NAC jest Aruba ClearPass. Jest to system dostarczany w postaci fizycznego serwera lub wirtualnej maszyny, która umożliwia zarządzanie dostępem do sieci przewodowych i bezprzewodowych. Produkt Aruba to system AAA bazujący na standardach RADIUS i TACACS+, który oferuje całą gamę możliwych zastosowań i korzyści, między innymi:

  • autoryzację przewodową i bezprzewodową w sieciach firmowych
  • nadanie dostępu do gościom oraz użytkownikom korzystającym z własnego sprzętu (samoobsługowy dostęp do sieci)
  • integracja z systemami SIEM
  • obsługa Microsoft AD, LDAP SQL
  • wymuszanie polityk bezpieczeństwa
  • intuicyjną, scentralizowaną konfigurację i raportowanie
  • wysoką wydajność, niezawodność, skalowalność

Ponadto ClearPass umożliwia integrację z innymi produktami i urządzeniami sieci LAN i WLAN, także tymi pochodzącymi od różnych producentów. Występuje w kilku wariantach, np. ClearPass Guest (dla dostępu gościnnego), ClearPass Exchange czy ClearPass OnGuard.

Jeśli chciałbyś lepiej poznać możliwości systemu NAC lub wdrożyć go w swojej firmie, skontaktuj się z nami. Jako eksperci od infrastruktury IT doradzimy Ci najlepsze opcje i pomożemy Ci wybrać rozwiązania, które skutecznie zabezpieczą Twoją sieć przed niepożądanym dostępem.
Idź do oryginalnego materiału