Контроль доступа к сети (NAC): управление неавторизованными компьютерами
Контроль доступа к сети (NAC):управление неавторизованными компьютерами | ||
| ||
Доклад Sophos | Апрель 2007 |
NAC:Управление неавторизованными компьютерами |
ОбзорНаличие корпоративной стратегии по соблюдению соответствия регулирующим требованиям в области безопасности и контроля доступа к сети играют существенную роль для защиты организации от потенциальных угроз. Базовая инфраструктура и сетевые ресурсы должны охраняться с помощью многочисленных средств защиты, установленных в различных точках доступа в масштабах всего предприятия. Надлежащим образом интегрированные многоуровневые системы безопасности являются наилучшим средством контроля угроз, направленных на сетевые ресурсы.
Эффективные корпоративные решения NAC основаны на способности сети обеспечивать соответствие нормативным требованиям безопасности и эффективно блокировать доступ к сети или помещать на карантин неавторизованные компьютеры.Решения для контроля доступа к сети (NAC) позволяют организациям снизить число уязвимостей за счет определения и управления политиками безопасности, использования функций оценки рисков и мер защиты по контролю доступа к сети. Наилучшие решения NAC регулируют доступ известных и безопасных (т.е. соответствующих требованиям безопасности) компьютеров, одновременно отключая или контролируя на этих компьютерах работу приложений высокой степени риска. Кроме того, передовые решения NAC можно конфигурировать для предотвращения или наложения карантина на доступ к сети со стороны неавторизованных или неизвестных компьютеров. Хотя большая часть пользователей не являются злоумышленниками, неавторизованные компьютеры представляют серьезную угрозу для безопасности организаций. |
Ключевым требованием к полному решению NAC является способность идентифицировать и блокировать неконтролируемые компьютеры, например компьютеры пользователей, которые намеренно обходят стандартные методы подключения к сети и могут действовать со злым умыслом.
Как NAC поступает с неконтролируемыми компьютерамиРешения NAC обеспечивают доступ авторизованных компьютеров к сети путем оценки их состояния и принудительной установки статуса безопасности на основе анализа соответствия требованиям политики безопасности предприятия. Компьютерам оконечных точек сети разрешен доступ к сетевым ресурсам, если они удовлетворяют требованиям политики; и доступ запрещается или временно блокируется, если они не удовлетворяют этим требованиям. Указанные функции наиболее эффективно реализуются при использовании мер безопасности, основанных на комбинации сетевых средств, таких как DHCP, 802.1X, беспроводные локальные сети, SSL или IPSec VPN, и средств на пользовательских компьютерах. |
Когда в сети нет принудительных мер защитыСценарии, при которых сетевые меры безопасности не обеспечивают 100% защиты, включают сети, работающие на основе протокола динамической конфигурации хоста (DHCP) или когда компьютеры оконечных точек используют локальные, статистически назначаемые IP-адреса для доступа к сети, а также и случаи, когда карантинный агент не установлен на компьютере. Хотя предприятие может использовать DHCP для присвоения комбинации динамических и статистических IP-адресов, рассматриваемый сценарий касается тех клиентов, которые не используют DHCP для получения этих адресов. Организациям следует защищать свои сети от продвинутых пользователей, которые намеренно пытаются избежать мер безопасности при доступе к сетевым ресурсам.В этом случае повышается риск со стороны интеллектуальных пользователей, пытающихся намеренно избежать принудительных мер безопасности при доступе к сетевым ресурсам. Количество неавторизованных компьютеров, пытающихся получить доступ к сети, составляет лишь небольшую часть от всех пользователей сети, но, учитывая именно скрытый способ доступа и неясность их намерений, администраторы вынуждены быть начеку, чтобы снизить риск. Ущерб, нанесенный сети со стороны всего лишь одного неконтролируемого компьютера, может быть поистине невообразимым. Установка NAC в обычной средеПосле принятия предприятием решения о необходимости использования продукта NAC, его внедрения и развертывания для всех или части своих конечных пользователей, становятся очевидными те дополнительные требования, которые касаются защиты от доступа со стороны неавторизованных компьютеров, пытающихся подключится к сети.
• Обеспечивать всестороннюю поддержку стратегий безопасности предприятия и иметь средства для создания и управления политиками безопасности, подкрепляющих эти стратегии. |
• Обеспечивать достаточную гибкость для удовлетворения требований новых стратегий безопасности по мере их неизбежного появления. • Предоставлять средства, выходящие за рамки традиционных сетевых мер безопасности, идентифицировать и защищать сеть от любых пользователей, пытающихся войти в сеть, будь то известных или неизвестных. Хотя стандарт 802.1X в состоянии обеспечить надежную защиту, многие сетевые коммутаторы сегодня не поддерживают 802.1X, а организации настроены негативно по отношению к предстоящему простою и расходам на модернизацию. Более того, 802.1X должен применяться ко всей базе пользователей – любой участок сети без принудительных мер защиты будет оставаться уязвимым. Большинство организаций сейчас хотят получить максимальный результат от уже имеющегося у них механизма принудительной защиты, которым в большинстве случаев является протокол DHCP. Наибольшую опасность в этом случае представляет неконтролируемый компьютер, который использует статический IP-адрес для доступа к сети. Решение NAC, обеспечивающее принудительное применение политики безопасности в рамках существующей инфраструктуры сети, способствует значительному снижению рисков, однако, именно добавление средств идентификации и остановки неавторизованных компьютеров является решающим для внедрения полного NAC на предприятии. |
Идеальное решение NACПолное решение NAC расширяет возможности мер защиты на базе протокола DHCP, обеспечивая следующее:
• Возможность применения на предприятиях разного масштаба, т.е. наличие встроенной избыточности для повышения уровня безопасности и надежности. • Централизованный, упрощенный механизм администрирования, позволяющий администраторам изолировать проблемные компьютеры по указанному MAC-адресу или префиксу, или по IP-адресу, подсети или диапазону. • Интеграция с сетевыми мерами защиты для автоматизации процесса доступа со стороны известных и удовлетворяющих требованиям безопасности компьютеров. • Комплексная отчетность, облегчающая каждодневное администрирование, включающая разнообразные отчеты о неконтролируемых конечных соединениях, исключенных адресах и сигналах тревоги. Решение должно пассивно контролировать сеть без нарушения нормального обмена данными, своевременно обнаруживая и предупреждая администратора о попытках доступа со стороны неавторизованных компьютеров. Низкоуровневый мониторинг по протоколу разрешения низкоуровневых адресов (ARP) позволяет обнаруживать все IP-соединения. Даже если компьютер уклоняется от сетевых мер защиты DHCP или 802.1X, то он не сможет обмениваться данными и инфицировать сеть без использования ARP. За счет мониторинга ARP, на основе идентификации компьютеров, пытающихся подключиться через IP-соединения, и сопоставления этих компьютеров со списком разрешенных, авторизованных и зарегистрированных компьютеров, можно обнаружить любое подключение неавторизованного компьютера к сети. |
После обнаружения неконтролируемого компьютера администратор получает предупреждение о его MAC- или IP-адресах. Далее администратор может определить положение компьютера и применить соответствующие меры безопасности. РезюмеОрганизациям необходим полный контроль доступа к сети, и не только для приведения известных компьютеров, будь то управляемых или неуправляемых, в согласие с требованиями безопасности, но и для того, чтобы для неавторизованных компьютеров закрыть доступ к сети. Полное решение NAC должно быть совместимым с существующей сетевой структурой и поддерживать инициативы безопасности по мере их развития. За счет применения гибкой и динамичной стратегии предприятие может справиться с нынешними угрозами и остаться неуязвимым в отношении возможных в будущем атак. Решение от компании SophosSophos NAC Informant сочетает пассивный мониторинг сети и продвинутые системы сопоставления и предупреждения, позволяющие на ранней стадии предупреждать о попытках подключения к сети неизвестных или неавторизованных компьютеров, предоставляя администраторам время и критически важные данные, чтобы изолировать такие компьютеры.
Sophos NAC и Sophos NAC Informant вместе обеспечивают полную защиту в отношении всех классов компьютеров, которые могут подключаться к сети, в том числе управляемых, неуправляемых и неавторизованных компьютеров.
Чтобы узнать больше о продуктах компании Sophos, посетите сайт www.DialogNauka.ru компании «ДиалогНаука» – официального партнера компании Sophos в России.
|
Смотрите также: |
|
О компании SophosSophos является мировым лидером в области ИТ-безопасности и средств контроля. Компания предлагает комплексные системы защиты и контроля для корпоративного сектора, образовательных и правительственных учреждений – обеспечивая защиту от известных и неизвестных вредоносных программ, шпионского ПО, хакерских вторжений, нежелательных приложений, спама, нарушений политик безопасности и неконтролируемого доступа в корпоративные сети (NAC). Надежные и простые в эксплуатации продукты Sophos применяют для своей защиты более 100 миллионов пользователей более чем в 150 странах. Имея за плечами 20-летний опыт работы и глобальную сеть аналитических центров, компания быстро реагирует на возникающие угрозы и заслужила всеобщее одобрение в отрасли за высочайший уровень удовлетворения потребностей клиентов. Компания Sophos является компанией мирового масштаба, ее штаб-квартиры располагаются в Бостоне, шт. Массачусетс, США и Оксфорде, Великобритания. |
|
Бостон, США • Майнц, Германия • Милан, Италия • Оксфорд, Великобритания • Париж, Франция Сингапур • Сидней, Австралия • Ванкувер, Канада • Иокогама, Япония |
|
© Copyright 2007. Sophos Plc. | |
Sophos признает все зарегистрированные торговые марки и авторские права их владельцев. Запрещено воспроизводить, хранить в системах поиска информации или передавать в любой форме и любыми средствами какие-либо части данного документа без предварительного письменного согласия со стороны издателей. |