Cisco Network Admission Control (Cisco NAC)

Контроль доступа к сети сегодня или "пустить нельзя блокировать"

Каждый раз, завязывая знакомство, мы проводим проверку кандидата на отношения по важным для нас критериям – длина волос, чувство юмора, размер груди, цвет глаз, длина ног и т.д. Эта проверка, осознанно или нет, происходит в голове каждого из нас, и мы определяем «свой» это человек, или «чужой», продолжать с ним взаимоотношения или нет. В конечном итоге, критерии выбора – это вопрос индивидуальный. Важно, что сравнение по критериям происходит всегда.

А что мы знаем о компьютерах, подключающихся к нашей сети? В случаях, когда, например,

• нашим гостям на переговорах требуется войти в интернет, чтобы продемонстрировать те или иные аспекты предложения,
• при оказании консультационных услуг требуется предоставить доступ консультантов к корпоративным данным,
• или нашим сотрудникам требуется предоставить удаленный доступ к сети в связи с их разъездным характером работы либо они работают вне офиса,
• да и просто по возвращении нашего сотрудника из командировки...

...иными словами, всякий раз, когда мы подключаем такой компьютер к сети - что мы знаем о его состоянии?

• Чист ли он или заражен всевозможными вирусами?
• Есть ли в нем вредоносные программы?
• Какая операционная система установлена на нем? и т.д.

Как правило, очень мало, а ведь на этих компьютерах может быть установлено что угодно, включая программы-шпионы, трояны и другую «малоприятную начинку».

И ведь самым малым риском такого «свидания вслепую» станет замедление работы корпоративной сети, а самым большим... обрушение сети, уничтожение данных, проникновение вирусов ВО ВСЕ компьютеры, подключенные к сети одновременно с «чужаком».

Как избежать этих рисков? Как защитить корпоративную сеть от нарушения работы и уничтожения данных?

Ответ очевиден – прежде чем допустить подключение компьютера к нашей сети, необходимо организовать его проверку по определенным критериям, например: что это за компьютер, каковы его параметры, какова актуальность установленного на нем антивируса, оценить его уязвимость.

Современные средства администрирования подключения (NAP, NAC и другие) обеспечивают такую возможность – от агентского сканирования с поиском требуемых «горячих» исправлений, антивирусов и другого ПО, до сетевого сканирования с выявлением вирусов и уязвимости портов.

В случае если параметры подключаемого компьютера не соответствуют заданным политикой критериям, допуск его в сеть блокируется. А далее на выбор – такая машина может быть допущена в изолированную карантинную область (на базе MAC и IP), пользователю может быть предоставлена возможность обеспечить соответствие машины требованиям безопасности (закачать обновление антивируса, скорректировать те или иные параметры), либо ей просто отказывается в подключении к сети.

В частности, решение компании Cisco Network Admission Control (Cisco NAC) позволяет:

• Проверять не только учетные данные пользователя, но и устройство, с которого осуществляется подключение.
• Осуществлять проверку до предоставления фактического доступа к ресурсам сети.
• Организовать специальное место в сети для лечения компьютеров пользователей, то есть приведения их в соответствие с политиками безопасности.
• Централизованно управлять политиками безопасности.

Кроме того, данное решение может быть дополнено специфическими компонентами, позволяющими в свою очередь:

• Анализировать весь трафик в сети для выявления аномалий или определения всех устройств, работающих в сети.
• Обеспечивать гостевой доступ, в том числе на определенный срок с оповещением о его истечении, управление таким доступом и отчетность - CiscoGuestServer.

Cisco NAC легко интегрируется в существующую сетевую инфраструктуру, особенно если она построена на оборудовании Cisco. Эта интеграция позволяет повысить уровень безопасности, так как доступ блокируется на порту коммутатора или другого устройства, к которому подключается пользователь.

Как работает CiscoNAC?

Пользователь подключает свое устройство к корпоративной сети. Это может быть локальная проводная сеть, беспроводная сеть, различные варианты удаленного доступа.

После физического подключения компьютер пользователя помещается в изолированное место (специальный VLAN) откуда ему предоставляется доступ только к необходимым сетевым сервисам, таким как: DHCP, DNS и сервер идентификации.

При попытке доступа к ресурсам вне этой изолированной сети, пользователю предлагается ввести свои учетные данные, которые вместе с информацией о компьютере пересылаются на сервер доступа Cisco NAC.

Информация о компьютере собирается специальным агентом – Cisco Access Agent, который существует в нескольких вариантах:

• приложение, устанавливаемое на проверяемый компьютер,
• либо WEB-приложение, которое пользователю предлагается запустить.

CiscoAccessAgent интегрируется с программным обеспечением от различных поставщиков. Благодаря этому он может собирать информацию не только об открытых портах, статусе персонального сетевого экрана и других, общих для всех систем параметрах, но и информацию об антивирусе, дате последнего сканирования и обновления.

Далее собранная с компьютера информация анализируется сервером и проверяется на соответствие политикам безопасности, заданным администратором сети.

Если проверяемое устройство не соответствует этим политикам, то оно помещается в специально отведенную зону (специальный VLAN), где пользователю предоставляются инструкции, для апргрейда машины под требования.

После того, как устройство будет приведено в соответствие с необходимыми политиками безопасности – ему предоставляется доступ к ресурсам сети. Причем уровень доступа может определяться на основании учетных данных или способа подключения к сети.

Вместо эпилога

Контроль за конечными сетевыми устройствами в компании – постоянная головная боль сразу трех отделов: ИТ, информационной безопасности и сетевого. Несмотря на то, что задачи у них разные, каждый должен убедиться, что подключаемые устройства безопасны и их конфигурации соответствуют правилам доступа к корпоративным ресурсам.

Задав параметры, без соответствия которым доступ компьютера в корпоративную сеть будет запрещен, и, задав правила, по которым администратор подключения будет автоматически определять, что и в каких случаях делать, мы обеспечиваем безопасность данных и надежность работы сети, а значит, и стабильность бизнеса.