Rola jaką odgrywają systemy NAC w całościowym zabezpieczeniu sieci i dlaczego teraz są potrzebne jak nigdy wcześniej?
Co to jest NAC?
Network Access Control (NAC), czyli system kontroli dostępu odpowiedzialny jest za sprawdzanie, czy urządzenia mogą łączyć się z siecią. W wyniku takiego działania urządzenia mogą otrzymać dostęp lub odmowę dostępu do sieci. Taką kontrolę dostępu zapewnia standard 802.1X, którego głównymi funkcjami jest uwierzytelnienie, autoryzacja i rozliczanie.
Uwierzytelnienie jest procesem, w którym weryfikowana jest legalność posiadania danej tożsamości. Do tego zwykle wykorzystywany jest login i hasło użytkownika. Innych przypadkach może wykorzystywany być adres MAC lub certyfikat.
Autoryzacja określa, do jakich zasobów sieciowych jest przyznany dostęp oraz podejmowanie jakich działań jest dozwolone przez posiadacza tożsamości - po jego uwierzytelnieniu w ramach systemu kontroli dostępu.
Rozliczanie to dokładne rejestrowanie tego, co dana "tożsamość" robi lub próbuje robić w poszczególnych obszarach ochrony. Pozwala na tworzenie raportów dotyczących dostępu do zasobów sieci. Dzięki nim wiemy, kto używał urządzenia, kiedy, gdzie i jak (zapisywany jest np. każdy fakt połączenia się z serwerem czy korzystania z usług).
Ewolucja systemów NAC.
Rozwój rynku systemów NAC możemy podzielić na cztery fazy:
Pierwsza generacja systemów NAC opierała się na uwierzytelnianiu opartym o technologię 802.1X. Kiedy urządzenie próbowało połączyć się z portem na przełączniku, lub punktem dostępowym sieci bezprzewodowej, wymagane było podanie nazwy użytkownika i hasła lub certyfikatu do zatwierdzenia przez serwer RADIUS. Taki podejście pozwalało przyznać lub odmówić dostępu na poziomie portu przełącznika lub bezprzewodowego punktu dostępowego. Ta metoda, choć skuteczna jest trudna do wdrożenia i nie zapewnia zgodności ze wszystkimi dostępnymi urządzeniami.
Druga generacja systemów NAC została rozbudowana o możliwość gromadzenia informacji z urządzeń sieciowych za pomocą protokołu SNMP. W tej generacji systemów NAC poprawiono również metody ochrony i monitorowania urządzeń wykorzystujących sieci bezprzewodowe. Przyczyniło się do tego większe wykorzystanie rozwiązań typu IoT oraz wzrost popularności trendu BYOD.
Trzecia generacja systemów NAC została rozszerzona o automatyzację. Skupiono się na utworzenie modelu bezpieczeństwa opartego na współpracy poprzez integrację z różnymi systemami bezpieczeństwa. Na przykład system bezpieczeństwa działający na styku sieć, taki jak IDS lub firewall, może być w stanie zidentyfikować zagrożenia, ale w najlepszym razie może tylko blokować ruch, który przez nią przepływa. Integracja z systemami NAC zapewnia możliwość odizolowywania złośliwych urządzeń z reszty sieci. Systemy NAC mogą także udostępniać szczegółowe informacje o punktach końcowych i użytkownikach innym systemom bezpieczeństwa poprawiając ich funkcjonowanie.
Czwarta generacja, a więc obecnie rozwijana generacja systemów NAC będzie wykorzystywać sztuczną inteligencję oraz uczenie maszynowe, aby jeszcze lepiej zabezpieczyć szybko zmieniające się środowisko sieciowe.
Jaki problemy rozwiązują systemy NAC?
Dostęp do sieci nieupoważnionych urządzeń
W sieci, w której nie funkcjonuje system NAC dostęp do niej może uzyskać każde urządzenie podłączone za pomocą portu sieciowego lub bezprzewodowego punktu dostępowego. Nawet jeśli funkcjonuje uwierzytelnianie za pomocą hasła użytkownik nadal może zalogować się z niezatwierdzonego urządzenia. Niesie to ze sobą znaczne ryzyko wprowadzenia złośliwego oprogramowania do sieci. System NAC może zabezpieczyć przed tymi zagrożeniami, odmawiając dostępu nieupoważnionym urządzeniom do sieci.
Brak szczegółowych informacji o adresie IP
Większość systemów bezpieczeństwa pozostawia informacje o adresie IP w dziennikach kontrolnych, ale może nie pozwolić nam to powiązanie tego adresu IP z konkretnym użytkownikiem lub urządzeniem. Oznacza to, że w środowiskach ze zmieniającymi się adresami IP trudno jest określić, które urządzenie lub użytkownik może być odpowiedzialny za naruszenie bezpieczeństwa. System NAC może śledzić wszystkie podłączone punkty końcowe poprzez ciągłe monitorowanie sieci i dostarczyć informacji o punktach końcowych korzystających z danych zasobów w przeszłości.
Trudność w zarządzaniu wszystkimi urządzeniami w sieci
Dzisiejsze środowisko IT jest znacznie bardziej złożone niż w przeszłości, wpływ na to ma między innymi popularność BYOD i IoT. Te warunki wymagają dokładnej oceny w celu właściwego zarządzania urządzeniami i zapewnienia zgodności z przepisami standardami. Jednak administratorom trudno jest dokładnie zidentyfikować zasoby informatyczne i sprawdzać ich status przez cały czas. Aby odciążyć administratorów, system NAC może podawać szczegółowe informacje o punkcie końcowym, takie jak producent, nazwa produktu, nazwa, lokalizacja (port przełącznika lub lokalizacja fizyczna), nazwa użytkownika, sposób połączenia do sieci itp.
Słaba ochrona sieci bezprzewodowych
Urządzenia mobilne, takie jak smartfony, rozprzestrzeniają się w środowiskach biznesowych, co znacznie przyczynia się do większego wykorzystanie sieci bezprzewodowych. Normą jest używanie wspólnego hasła do sieci bezprzewodowych, co wiąże się łatwością jego ujawnienia. Wynikiem czego jest, brak możliwości prześledzenia kto z niego skorzystał, ponieważ nie da się go powiązać z określonym użytkownikiem. Wspólne hasło WiFi powinno być co do zasady zmieniane, jeśli pracownik znający hasło opuści firmę. Jednak takie działanie przysparza wiele problemów administracyjnych, co w praktyce powoduje, że takie hasła pozostają długo niezmieniane. Rozwiązaniem tego problemu jest wdrożenie 802.1X, aby umożliwić uwierzytelnianie przy użyciu osobistego hasła podczas uzyskiwania dostępu do sieci bezprzewodowej. Domyślnie systemy NAC obsługuje 802.1X, co pozwala na lepsze ochrona bezprzewodową.
Ręczne zarządzanie adresacją IP
Zarządzanie przestrzenią adresów IP oraz niezbędnymi usługami takimi jak DNS i DHCP z jednej zintegrowanej konsoli to znaczne ułatwienie pracy dla administratorów. Umożliwia uproszczone dodawanie nowego urządzenia lub zmianę parametrów sieciowych dla obecnych urządzeń. Planowanie adresacji przy użyciu systemy NAC pozwala na zmianę polityki adresacji IP w ciągu kilku minut, nawet w dużych i rozproszonych organizacjach. Ponadto administratorzy mają możliwość łatwego dostępu do aktualnych danych związanych z administracją sieciową w jednym miejscu. System NAC umożliwia tworzenie złożonych polityk dla poszczególnych segmentów sieci lub typów urządzeń. Zintegrowane usługi DNS są w stanie zapewnić niezawodne działanie w sieciach rozproszonych z wieloma interfejsami. Wykorzystując elastyczność systemów NAC możliwa jest integracja obecnych usług DNS w organizacji na jednej platformie.
Niebezpieczne systemy operacyjne
Najważniejszą rzeczą dla bezpieczeństwa punktu końcowego jest zastosowanie najnowszej poprawki bezpieczeństwa systemu operacyjnego. NAC w sposób ciągły monitoruje urządzenia końcowe i izoluje niezaktualizowane urządzenia od sieci. System NAC działa inaczej od typowego oprogramowanie do zarządzania punktami końcowymi, ponieważ sterowanie działa na poziomie sieci, którą urządzenie końcowe osiągnęło. Dzięki kontroli sieci administratorzy mogą wprowadzić surowe polityki dostępu, których użytkownicy nie mogą ominąć.
Chcesz wiedzieć jak powyższe problemy rozwiązuje systemu NACVIEW napisz do nas na office@nacview.com lub zadzwoń pod numer +48 61 6397508.