Контроль доступа к сети - Network Admission Control

Контроль доступа к сети (НАК) относится к Cisco версия Контроль доступа к сети, который ограничивает доступ к сети в зависимости от личности или состояния безопасности. Когда сетевое устройство (выключатель, маршрутизатор, беспроводная точка доступа, DHCP сервер и т. д.) настроен для NAC, он может принудительно выполнять аутентификацию пользователя или компьютера перед предоставлением доступа к сети. Кроме того, гостевой доступ может быть предоставлен в зону карантина для устранения любых проблем, которые могли вызвать сбой аутентификации. Это обеспечивается с помощью встроенного настраиваемого сетевого устройства, изменений в существующем коммутаторе или маршрутизаторе или ограниченного DHCP учебный класс. Типичный (платный) Вай фай соединение - это форма NAC. Пользователь должен предоставить какие-то учетные данные (или кредитную карту), прежде чем ему будет предоставлен доступ к сети.

На начальном этапе функция Cisco Network Admission Control (NAC) позволяет маршрутизаторам Cisco применять права доступа, когда конечная точка пытается подключиться к сети. Это решение о доступе может быть основано на информации об устройстве конечной точки, например о его текущем состоянии антивируса. Состояние антивируса включает такую ​​информацию, как версия антивирусного программного обеспечения, описания вирусов и версия ядра сканирования.

Системы контроля доступа к сети позволяют отказать в доступе несовместимым устройствам, поместить их в карантинную зону или предоставить ограниченный доступ к вычислительным ресурсам, тем самым предотвращая заражение сети небезопасными узлами.

Ключевым компонентом программы Cisco Network Admission Control является Cisco Trust Agent, который находится в системе конечных точек и взаимодействует с маршрутизаторами Cisco в сети. Cisco Trust Agent собирает информацию о состоянии безопасности, например, какое антивирусное программное обеспечение используется, и передает эту информацию маршрутизаторам Cisco. Затем информация передается на сервер Cisco Secure Access Control Server (ACS), где принимаются решения по управлению доступом. ACS предписывает маршрутизатору Cisco выполнить принудительное применение к конечной точке.

Этот продукт Cisco был отмечен знаком End of Life с 30 ноября 2011 г.[1] это терминология Cisco для продукта, который больше не разрабатывается и не поддерживается.

Оценка осанки

Помимо аутентификации пользователя, авторизация в NAC может быть основана на проверке соответствия. Эта оценка состояния - это оценка безопасности системы на основе приложений и настроек, которые использует конкретная система. Они могут включать Реестр Windows настройки или наличие агентов безопасности, таких как антивирус или же персональный брандмауэр. Продукты NAC различаются механизмами проверки:

Безагентная оценка осанки

Большинство поставщиков NAC требуют, чтобы был установлен соискатель 802.1x (клиент или агент). Некоторые, включая NetBeat NAC от Hexis,[2] Trustwave и Enterasys [3][4] предложить проверку осанки без участия агента. Это предназначено для обработки "Принеси свое устройство »или« BYOD »для:

  • Обнаружение и сканирование всех подключенных к сети устройств, проводных или беспроводных
  • Определите, есть ли в этих устройствах общие уязвимости и уязвимости (также известные как «CVE»).
  • Помещать в карантин несанкционированные устройства, а также устройства, зараженные новым вредоносным ПО

Безагентный подход работает неоднородно практически во всех сетевых средах и со всеми типами сетевых устройств.

Смотрите также

Рекомендации

внешняя ссылка