Управление сетевым доступом (NAC) является важным компонентом
полнофункционального решения управления безопасностью. NAC защищает
вашу сеть от несанкционированного доступа, проникновения
злоумышленников, внешних нарушений безопасности, инициированных
вредоносными или зараженными устройствами, которые могут создать
существенные проблемы в вашей сети.
Приложение LANDesk Security Suite
содержит утилиту 802.1X NAC, созданную для поддержки и расширения
функций обеспечения безопасности, предлагаемых сервером 802.1X
Radius в вашей сети. Поддержка LANDesk 802.1X NAC позволяет
добавить к базовым средствам управления доступом 802.1X
дополнительные функции аутентификации и контроля соответствия.
ВАЖНО:Технические
знания и экспертиза, необходимые для установки управления сетевым
доступом
В этом разделе представлены все концепции и процедуры, необходимые
для установки, конфигурации и использования поддержки LANDesk
802.1X NAC. Помните, что для работы NAC необходима дополнительная
конфигурация аппаратных и программных средств, помимо установки
главного сервера. Поскольку эта дополнительная работа по установке
и настройке сложна с технической точки зрения, предполагается что
вы знакомы с конфигурацией сервера 802.1X Radius, аутентификацией и
проверкой состояния на базе 802.1X, а также с принципами
проектирования сложной сетевой инфраструктуры и управления ею. Вы
должны помнить, что для установки NAC вам может потребоваться
консультация представителя службы поддержки и/или системных
инженеров.
В сообществе пользователей LANDesk можно найти пользовательские
форумы и популярные методики для всех продуктов и технологий
LANDesk. Для получения
доступа к этому ценному ресурсу перейдите по адресу: http://community.landesk.com
В данном разделе дается общий обзор технологии NAC и служб, а
также описание предварительных условий и утилит.
Функция управления сетевым доступом (NAC) добавляет уровень
защиты вашей сети, предлагая вам возможность предотвращения
появления уязвимостей или поврежденных устройств, запрета их
доступа к сети, а также защиты важнейших сетевых ресурсов, которые
могут быть повреждены после подключения к ним опасных систем.
NAC усиливает периметр безопасности для конечных рабочих систем,
используя технологии и системы безопасности отраслевых стандартов.
Функция управления сетевым доступом предлагает гибкость в
реализации сетевого доступа с поддержкой общепринятых отраслевых
стандартов, таких как IEEE 802.1X.
Используя NAC, вы можете определять собственные политики
системной безопасности, сканировать устройства (управляемые и
неуправляемые) на соответствие политикам безопасности, проверять
состояние подключенных к сети устройств и отклонять или разрешать
доступ к важнейшим сетевым ресурсам на основании результатов
проверки соответствия устройств политикам безопасности. Исправным и
безопасным устройствам гарантируется полный сетевой доступ. Если
устройство определено, как опасное, его доступ в сеть блокируется,
и оно остается в виртуальном карантине, где будет исправлено с
помощью функций Security
Suite или ему будет предоставлен ограниченный доступ к
сети.
Используя функции NAC, вы можете оценивать параметры
безопасности любых устройств после того, как они попытаются
подключиться к вашей сети, при этом сравнивая их с политиками
безопасности, отслеживая состояние защиты уже подключенных
устройств, разрешая или отклоняя доступ к сети, помещая в карантин
после того, как устройства неудачно прошли проверку на соответствие
требованиям безопасности, и исправляя уязвимости, чтобы после
устранения проблем и повторного сканирования устройства могли
получить доступ к сети.
Преимущества и функции управления сетевым доступом
Используя NAC, можно выполнять следующее:
Создание и применение пользовательских политик
соответствия требованиям безопасности
Реализация усиленной, непрерывно действующей
корпоративной системы безопасности
Доступ к параметрам безопасности (состоянию)
подключенных устройств
Предотвращение доступа к сети инфицированных или
поврежденных устройств
Помещение устройств, не прошедших проверку, в
защищенную область карантина
Исправление инфицированных устройств для перевода их
в нормальное безопасное состояние
Уменьшение времени простоев вследствие вредоносных
атак
Защита сети, систем, приложений и данных от внешних
угроз
Расширение возможностей технологий и стандартов
безопасности
Политики
соответствия требованиям безопасности
Политики соответствия требованиям безопасности содержат правила,
которые устанавливают состояние устройства, проверяя его на
уязвимости (отсутствие необходимых исправлений или использование
устаревшей ОС, или приложений), обновления программного
обеспечения, антивирусные программы и файлы подписей, наличие и
настройки брандмауэров и шпионское программное обеспечение.
В следующих разделах представлены сведения об основных
компонентах реализации функций NAC и их взаимодействия.
Описания основных компонентов NAC
Компонент
Описание
Устройства, пытающиеся получить доступ к сети
Нерегулярное подключение или использование ноутбуков, посещение
подрядчиков и прием гостей, а также обычных пользователей, которые
пользуются корпоративной сетью.
Устройства с установленным доверенным агентом могут
взаимодействовать с сервером политики или сервером проверки
состояния для отправки и получения параметров системы безопасности
и могут быть исправлены сервером исправлений, если во время
сканирования на них будут обнаружены уязвимости.
Без доверенного агента устройство не может связываться с
сервером проверки состояния и не может быть исправлено. Когда
устройство без установленного доверенного агента впервые
сканируется, оно направляется на web-страницу со ссылками для
установки соответствующего доверенного агента.
Устройство управления
сетевым доступом
Устройство управления сетевым доступом работает как первая
"инстанция" при обращении запрашивающих устройств, которая начинает
проверку состояния и процесс аутентификации.
Сервер политики / проверки состояния (точка решения о
предоставлении сетевого доступа)
Специализированный сервер, также известный как сервер проверки
состояния, который оценивает параметры состояния (состояние
устройств, запрашивающих доступ) на основании правил соответствия
(политика безопасности, которая получена из главного сервера).
Отправляет ответ о проверке (безопасное, опасное и т.д.) через
устройство управления сетевым доступом.
Корпоративная сеть
Важная сетевая среда и ресурсы, которые охраняются NAC от
инфицирования вирусами или доступа устройств с выявленными
уязвимостями.
Виртуальная сеть карантина
Безопасная виртуальная сеть, содержащая устройства, не прошедшие
проверку соответствия, которые могут быть изолированы и исправлены,
повторно просканированы с последующим предоставлением доступа к
корпоративной сети, или которым может быть отказано в доступе к
сетевым ресурсам, например, к Интернету.
Основные компоненты NAC и
выполнение процесса
Устройства, пытающиеся
получить доступ к сети:
Устройство управления
сетевым доступом:
Сервер политики / принятия решения о предоставлении сетевого
доступа:
Корпоративная
сеть:
(Управляемые и неуправляемые устройства пользователей и/или
посетителей)
(Сетевой маршрутизатор или коммутатор)
(Служба проверки состояния, которая оценивает и применяет
политики соответствия требованиям безопасности)
(Сетевой доступ предоставляется для
проверенных и неопасных устройств)
Виртуальная сеть карантина:
(Безопасная виртуальная сеть, содержащая устройства,
не прошедшие проверку соответствия)
Предварительные
требования приложения Security Suite
Для использования функции NAC необходимо иметь действительную
лицензию для приложения Security Suite (активация главного
сервера).
Для работы NAC необходимы не только функции сканирования и
исправления утилиты исправления и проверки соответствия, но также и
оформленная подписка на данные приложения Security Suite, чтобы
иметь возможность получать определения уязвимостей, угроз для
системных конфигураций, шпионских программ и файлов описаний
вирусов, которые используются для создания разнообразных политик
соответствия требованиям безопасности.
В дерево утилиты исправления и проверки соответствия добавлена
группа с именем "Соответствие" (Compliance). Пользователи, имеющие
право исправлений и проверки соответствия, могут добавлять и
удалять определения типов безопасности из группы соответствия.
Определения безопасности, содержащиеся в группе соответствия,
содержат политику соответствия требованиям системы безопасности и
сканируются на подключенных к сети устройствах для определения их
состояния.
Для получения дополнительной информации о подписке на данные
комплекта приложения Security Suite см. раздел Типы данных безопасности и подписки.
Поддерживаемые
платформы устройств для сканирования на соответствие
Службы NAC работают на поддерживаемых приложением Management Suite платформах,
включая следующие операционные системы:
Windows NT (4.0 с пакетом обновления SP6a или более
поздней версии)
Windows 2000 SP4
Windows 2003
Windows XP с пакетом обновления SP1
Windows Vista
Macintosh (10.2 или новее)
Ролевое администрирование с LANDesk
802.1X NAC
Управление сетевым доступом работает на основе прав ролевого
администрирования.
Право исправления и проверки соответствия (Patch and Compliance
right)
Это право необходимо для открытия утилиты исправлений и проверки
соответствия и загрузки обновлений данных безопасности для создания
правил соответствия. Это право также необходимо для добавления или
удаления определений безопасности из группы соответствия.
Право Administrator
Это право требуется для конфигурации устройств с доверенными
агентами для сканирования на соответствие и конфигурации служб NAC
на консоли.
ПРИМЕЧАНИЕ: Право
LANDesk Administrator преобладает над всеми другими правами,
включая два упомянутых ранее права безопасности.
Реализация поддержки LANDesk
802.1X NAC
Решение LANDesk 802.1X NAC расширяет возможности существующего
окружения 802.1X NAC, используя учетные данные для аутентификации,
а также стандартные агенты на устройствах. Также можно выполнять
проверки соответствия состояния устройств требованиям политик
безопасности, помещать устройства в карантин и исправлять опасные
устройства.
Решение LANDesk 802.1X NAC работает с приложениями всех основных
поставщиков, которые поддерживают стандарт 802.1X. Прокси 802.1X
Radius может взаимодействовать со всеми существующими архитектурами
проверки идентификации AAA (аутентификация, авторизация и активация
учета) для пользователей и конечных рабочих систем, или работать
как независимый узел Radius в средах, требующих лишь проверки
соответствия конечных рабочих систем. Служба прокси Radius
выполняет переключение порта доступа в зависимости от результатов
аутентификации подключенного конечного узла.
