NAC
Материал из Xgu.ru
NAC (Network Access Control) — комплекс технических средств и мер, обеспечивающий контроль доступа к сети на основании информации о пользователе и состоянии компьютера, получающего доступ в сеть, в частности на основе информации о его программном обеспечении.
[править] Основные понятия
[править] Терминология NAC
Network Admission Control – термин, который употребляется как синоним NAC (Network Access Control). Этот термин применяется Cisco Systems для их решений в области NAC.
Политика контроля доступа –
Проверка устройства – проверка соответствия устройства политике контроля доступа.
Pre-connection проверка – проверка до предоставления устройству доступа в сеть.
Post-connection проверка – периодическая проверка после предоставления устройству доступа в сеть.
[править] Что такое NAC
NAC обеспечивает контроль за тем, к каким участкам сети и к каким приложениям получит доступ пользователь на основании:
- информации о пользователе, который подключается;
- информации о состоянии компьютера (установленное программное обеспечение, наличие обновлений и др.);
- времени подключения;
- точки подключения.
Конкретные реализации NAC могут учитывать все эти критерии, часть из них, или учитывать какие-то дополнительные критерии.
Назначение правил контроля доступа специфических для конкретного пользователя, с учетом вышеперечисленных критериев, происходит как только он проходит все необходимые проверки (pre-connection). После применения правил контроля доступа происходят периодические повторные проверки соответствия политикам контроля доступа (post-connection).
Правила контроля доступа могут применяться с помощью:
- Назначения пользователя в VLAN;
- Применения ACL;
- Ограничений пропускной способности.
В различных решениях NAC могут быть такие дополнительные возможности как, например, функциональность систем предотвращения вторжений.
В зависимости от того, какое решение NAC используется, правила ограничения и контроля доступа могут применяться на различных устройствах:
- Сетевом оборудовании (например, коммутатор);
- Компьютерах, с помощью установленных агентов;
- Устройствах, которые обеспечивают функциональность NAC.
[править] Использование NAC
Решения обеспечивающие NAC сейчас очень популярны, однако за рекламой производителей не всегда понятно где и когда применять их решения и их реальные возможности.
[править] Архитектура решения Trusted Network Computing
[править] Архитектура решения HP ProCurve
- Основная страница: ProCurve Network Access Control
[править] Архитектура решения Cisco Network Admission Control
[править] Архитектура решения Microsoft Network Access Protection
NAP не предназначен для защиты сети от умышленных атак. Он разработан для того чтобы помочь администраторам автоматически поддерживать состояние "здоровья" компьютеров в сети. Например, если на компьютере установлено всё программное обеспечение и необходимые настройки, которые требует политика "здоровья", то компьютер получает неограниченный доступ в сеть.
Платформа NAP требует серверной части Windows Server 2008 и клиентов Windows Vista, Windows Server 2008, или Windows XP Service Pack 3.
[править] Компоненты NAP
NAP это платформа которая предоставляет компоненты инфраструктуры и API для добавления компонент, которые проверяют и оценивают "здоровье" компьютера и применяют различные типы доступа к сети или коммуникации.
System Health Agents и System Health Validators
Компоненты инфраструктуры NAP, известные как system health agents (SHA) и system health validators (SHV), обеспечивают сбор информации о состоянии "здоровья" и её оценку. В Windows Vista и Windows XP Service Pack 3 есть Windows Security Health Validator SHA, который мониторит настройки Windows Security Center. В Windows Server 2008 есть соответствующий Windows Security Health Validator SHV. NAP позволяет организовать взаимодействие с программным обеспеченим любого производителя, который предоставит SHA и SHV, которые используют NAP API.
[править] Компоненты и методы внедрения
Компоненты NAP известны как клиенты применения (enforcement clients, EC) и сервера применения (enforcement servers, ES) требуют проверки состояния "здоровья" и применения ограниченного доступа к сети к клиентам, которые не соответствуют требованиям.
Windows Vista, Windows XP Service Pack 3 и Windows Server 2008 поддерживают такие типы доступа для внедрения NAP:
- Internet Protocol security (IPsec)
- IEEE 802.1X
- VPN
- Dynamic Host Configuration Protocol (DHCP)
- Terminal Server (TS) Gateway
Эти типы доступа или коммуникаций известны также как методы применения NAP. Администраторы могут использовать их отдельно или вместе для ограничения доступа клиентам, которые не соответствуют требованиям политик контроля доступа.
Network Policy Server (NPS) в Windows Server 2008 работает как сервер политик здоровья (health policy server) для всех методов применения NAP.
[править] IPsec
В методе применения IPsec, компьютер должен соответствовать требованиям политики контроля доступа (быть "здоровым"), для того чтобы инициировать коммуникации с другими "здоровыми" компьютерами. Так как этот метод использует протокол IPsec, то администратор может определить требования для защищенных коммуникаций на основе адресов или портов.
Метод применения IPsec определяет коммуникации между "здоровыми" компьютерами после того как они успешно подключились к сети и получили насройки IP. Это самый безопасный метод в архитектуре NAP.
Компоненты метода применения IPsec состоят из Health Registration Authority (HRA) на Windows Server 2008 и IPsec Relying Party EC в Windows Vista, Windows XP Service Pack 3 и Windows Server 2008.
HRA выдает X.509 сертификаты для клиентов NAP после того как они доказали свое соответствие политикам контроля доступа. Затем эти сертификаты используются для аутентификации между клиентами NAP, когда они инициируют IPsec-соединение с другими клиентами NAP в локальной сети.
[править] 802.1X
В методе применения 802.1X, компьютер должен соответствовать требованиям политики контроля доступа, для того чтобы получить неограниченный доступ в сеть через аутентификатора (коммутатор или точку доступа). Для "нездоровых" компьютеров доступ к сети ограничивается с помощью ограниченного профайла доступа, который применяется на коммутаторе или точке доступа.
В профайле может содержаться ACL, который будет применен или VLAN, в который будет помещен компьютер. Требования политики доступа применяются каждый раз, когда компьютер пытается получить доступ к сети через устройство 802.1X. После подключения состояние "здоровья" активно отслеживается и в случае, если клиент более не соответствует политике контроля доступа, то к нему применяется профайл ограниченного доступа.
Компоненты метода применения 802.1X - это NPS в Windows Server 2008 и EAP Quarantine EC в Windows Vista и Windows Server 2008. Для Windows XP Service Pack 3 существуют отдельные EC для проводных и беспроводных соединений. Метод внедрения 802.1X обеспечивает надежный доступ в сеть для всех компьютеров, которые подключаются через устройства 802.1X.
[править] VPN
В методе применения VPN, компьютер должен соответствовать требованиям политики контроля доступа (быть "здоровым"), для того чтобы получить неограниченный доступ через удаленное соединение VPN.
Для компьютеров, которые не прошли проверку доступ в сеть ограничен с помощью применения ACL к соединениям на VPN-сервере. Требования политики доступа применяются каждый раз, когда компьютер пытается получить удаленный доступ к сети через VPN-сервер. После подключения состояние "здоровья" активно отслеживается и в случае, если клиент более не соответствует политике контроля доступа, то к его VPN-соединению применяется ACL для ограничения доступа.
Компоненты метода применения VPN - это NPS в Windows Server 2008 и Remote Access Quarantine EC в Windows Vista, Windows XP Service Pack 3 и Windows Server 2008. Метод внедрения VPN обеспечивает надежный доступ в сеть для всех компьютеров, которые подключаются в сеть через удаленные VPN-соединения.
[править] DHCP Enforcement
В методе применения DHCP, компьютер должен соответствовать требованиям политики контроля доступа (быть "здоровым"), для того чтобы получить IPv4 настройки с неограниченным доступом от DHCP-сервера.
Для компьютеров, которые не прошли проверку, доступ в сеть ограничен с помощью применения настроек IPv4, которые разрешают доступ только к ограниченной части сети.
Требования политики доступа применяются каждый раз, когда компьютер пытается получить или обновить настройки IPv4. После подключения состояние "здоровья" активно отслеживается и в случае, если клиент более не соответствует политике контроля доступа, то его IPv4 настройки обновляются для того чтобы клиент получил доступ в ограниченную сеть.
Компоненты метода применения DHCP - это DHCP ES, который является частью DHCP Server service в Windows Server 2008 и DHCP Quarantine EC в Windows Vista, Windows Server 2008 и Windows XP Service Pack 3.
Так как DHCP-метод основан на выдаче ограниченной IPv4 конфигурации, которая может быть переписана пользователем с правами администратора, то это самый слабый метод внедрения в NAP.
[править] Другие решения NAC
- McAfee
- Symantec
- ForeScout
[править] Дополнительная информация
- NAC Resources (англ.) — очень хорошая коллекция ссылок по теме Network Access Control. Тут есть как материал общего характера, так и ссылки на описание решений NAC от различных производителей. Ссылки по теме 802.1x и примеры конфигурационных файлов различных устройств (Aruba, Cisco, Enterasys, Extreme, HP, Juniper, NetScreen, Nortel)
- Secure Access Central (англ.) — информация о SSL VPNs, network admission control, network access control и identity-based access management
[править] Standard-based NAC
- Network Access Control (NAC) Initiative 2007 (англ.)
- NAC: Proceed with caution (англ.)
- NAC: Now or later? (англ.)
[править] Cisco NAC
- NAC competition: Cisco's network control (англ.)
- Контроль доступа в сеть
- Cisco going open source with NAC client (англ.) —
[править] Juniper Unified Access Control (UAC)
Unified Access Control (англ.) Описание технологии и продуктов, ее реализующих.
[править] Microsoft Network Access Protection (NAP)
В Windows Server 2008 появился новый сервер — Network Policy Sever, который пришёл на замену Internet Authentication Server (IAS). Одна из причин, почему его можно использовать — поддержка Network Access Protection (NAP).
- Understanding new Windows Server 2008 Network Policy Server (англ.) — что такое MS NPS
- Introduction to NAP (англ.) — что такое Network Access Protection (NAP) от MS и зачем он нужен
[править] Материалы по контролю доступа в сеть на Xgu.ru
- RADIUS
- DIAMETER
- 802.1X
- EAP
- 802.1X и RADIUS — детальное описание процедуры настройки коммутатора на использование 802.1X и RADIUS
- NAC
- ProCurve NAC 800 — контроллер доступа в сеть от ProCurve
- FreeNAC — свободная программная реализация NAC-контроллера
- Полигон по ProCurve NAC в УЦ Сетевые Технологии