+7 (495) 234-32-12
пн-пт с 9.30 до 18.00

Корзина пуста

Все системы безопасности в одном центре
Продажа Доставка по России Монтаж Обслуживание
Поиск по каталогу

Контроль доступа в сеть Network Admission Control (Nac) – обеспечение защиты сети

Вирусы, черви и шпионские программы, угрожающие безопасности сетей, наносят ущерб клиентам и отнимают у компаний деньги, производственные ресурсы и выгодные возможности. Повсеместное распространение мобильных компьютеров только увеличило масштаб этой угрозы. Мобильные пользователи могут подключаться к сети Интернет и к офисным сетям, находясь дома или в общественных местах. Они легко и зачастую неосознанно подхватывают вирусы и переносят их в корпоративную рабочую среду, заражая всю сеть.

Контроль доступа в сеть (Network Admission Control, NAC) был специально разработан для того, чтобы обеспечить достаточную защиту всех конечных устройств (ПК, лэптопов, серверов, смартфонов и КПК), получающих доступ к сетевым ресурсам, от угроз безопасности, которые присутствуют в сети. Передовые решения по NAC приняты на вооружение ведущими разработчиками антивирусных, программ управления и обеспечения безопасности и привлекают интерес прессы, аналитиков и компаний самого разного размера.

В этой статье описана исключительно важная роль, которую может сыграть NAC как элемент стратегии безопасности, основанной на правилах политики, описаны и охарактеризованы доступные подходы к NAC.

Преимущества NAC

Хотя разработка технологий обеспечения безопасности ведется не первый год, и на их реализацию затрачены миллионы долларов, вирусы, черви, шпионские и другие злоумышленные программы, по данным отчета о безопасности CSI/FBI за 2005 год, остаются на сегодняшний основной проблемой, с которой сталкиваются компании. Значительное количество возникающих инцидентов приводит к существенным финансовым убыткам из-за вынужденных простоев, недополученных прибылей, повреждения или уничтожения информации и снижения производительности.

Вывод очевиден: для решения этой проблемы недостаточно традиционных решений по обеспечению безопасности. Cisco Systems разработала комплексное решение по обеспечению безопасности, в котором объединены лучшие инструменты борьбы с вирусами, безопасности и управления. Это гарантирует соблюдение политики безопасности всеми устройствами, находящимися в сетевой среде. NAC дает вам возможность проанализировать и проконтролировать все устройства, обращающиеся к вашей сети. Следя за тем, чтобы на каждом конечном устройстве соблюдалась корпоративная политика безопасности (например, за тем, чтобы на этих устройствах действовали обновленные и наиболее подходящие ресурсы обеспечения безопасности), компании могут существенно сократить или вообще свести к нулю количество конечных устройств, которые становятся традиционным источником заражения или взлома сетей.

Существенное повышение уровня безопасности

Хотя в большинстве компаний для аутентификации пользователей применяется управление идентификацией, авторизации и аудита (ААА) и авторизации сетевых привилегий, фактически отсутствует способ аутентификации профиля безопасности конечного устройства, на котором работает пользователь. Без точного способа оценки “состояния здоровья” устройства даже самый надежный пользователь может неумышленно подвергнуть остальных пользователей сети значительному риску, который возникает из-за присутствия инфицированного или недостаточно защищенного от инфекций устройства.

NAC – это набор технологий и решений, фундаментом которых служит общеотраслевая инициатива, реализуемая под патронажем Cisco Systems.

NAC использует инфраструктуру сети для контроля над соблюдением политики безопасности на всех устройствах, стремящихся получить доступ к ресурсам сети.

Этим путем снижается ущерб, который могут причинить возникающие угрозы безопасности. Используя NAC, клиенты получают возможность предоставлять сетевой доступ только соблюдающим предписанные требования, безопасным конечным устройствам (например, компьютерам, серверам и КПК) и ограничивать доступ для устройств, не соответствующим требованиям.

NAC – уникальная технология, поскольку она предназначена для интеграции в инфраструктуру сети. Почему контроль над соблюдением правил политик и стратегию верификации следует реализовывать именно в сети?

  1. Практически каждый бит информации, которая представляет для компании интерес или ценность, прямо или косвенно присутствует в сети.
  2. Практически каждое устройство, которое представляет для компании интерес или ценность, соединено с этой же сетью.
  3. Внедрение контроля доступом в сеть дает компании возможность развернуть наиболее полномасштабное решение по обеспечению безопасности, которое охватывает максимальное количество связанных с сетью устройств.
  4. Эта стратегия использует существующую инфраструктуру и ресурсы компании в области безопасности и управления, поэтому она накладывает на ресурсы ИТ минимальную дополнительную нагрузку.
После внедрения NAC при каждой попытке конечного устройства соединиться с сетью устройство сетевого доступа (LAN, WAN, беспроводного или удаленного доступа) автоматически запрашивает профиль безопасности конечного устройства, который выдается посредством инсталлированного клиента или инструментов экспертной оценки. Затем эта профильная информация сопоставляется с сетевой политикой безопасности, и уровень соответствия устройства этим политикам определяет реакцию сети на запрос доступа. Сеть может просто разрешать доступ или отказывать в нем или же ограничивать доступ, переадресуя устройство в сегмент сети, в котором ограничен контакт с потенциально уязвимыми узлами. Не соответствующее требованиям устройство также можно поместить в карантин путем переадресации на корректировочный сервер, где в него будут внесены обновления, которые обеспечат соблюдение политик.

В частности, NAC может выполнять следующие проверки соблюдения политики безопасности:

  • Работает ли на устройстве авторизованная версия операционной системы.
  • Внесены ли в ОС надлежащие программные исправления или получены ли самые последние обновления.
  • Инсталлировано ли на устройстве антивирусное программное обеспечение и имеется ли новейший набор файлов сигнатур.
  • Активированы ли антивирусные ресурсы и запускались ли они в недавнее время.
  • Инсталлированы ли и правильно ли конфигурирован персональный межсетевой экран, инструменты предотвращения вторжений или иное программное обеспечение безопасности ПК.
  • Вносились ли модификации или несанкционированные изменения в корпоративный образ устройства.
Ответы на эти и аналогичные вопросы, связанные с профилем безопасности, затем используются для вынесения логически-обоснованных, основанных на политике решений по доступу в сеть.

Внедрение NAC обеспечивает, в частности, следующие преимущества:

  1. Существенно возрастает уровень безопасности в любой сети, независимо от ее размера или сложности структуры. NAC помогает проследить за соблюдением политики безопасности на всех пользовательских сетевых устройствах. За счет превентивной защиты от червей, вирусов, шпионских и других злоумышленных программ компании получают возможность сосредоточить усилия на профилактике, а не на ответных мерах.
  2. Благодаря широкому признанию, применению и интеграции с продуктами ведущих разработчиков более эффективно осваиваются существующие инвестиции в сетевую инфраструктуру Cisco, а также в программные средства борьбы с вирусами, безопасности и управления.
  3. Возрастает стабильность работы компаний и масштабируемость, поскольку есть возможность инспектирования и контроля всех устройств, соединяющихся с сетью, независимо от того, какой метод доступа они используют (в частности, маршрутизаторы, коммутаторы, беспроводной, коммутируемый доступ, VPN).
  4. Не отвечающие предписанным требованиям и неуправляемые конечные устройства не могут повлиять на доступность сети и производительность работы пользователей.
  5. Сокращаются эксплуатационные расходы, связанные с идентификацией и санацией не отвечающих требованиям, неуправляемых и зараженных систем.

Варианты внедрения NAC

Cisco предлагает подходы к внедрению NAC на базе устройств и на базе архитектуры, которые отвечают функциональным и операционным запросам любой компании. При этом компаниям может быть необходима как самая простая политика безопасности, так и поддержка комплексных структур безопасности, в которых инструменты обеспечения безопасности разных разработчиков объединены с корпоративным решением по управлению настольными устройствами.

Устройство NAC (NAC Appliance), реализованное в линейке продуктов Cisco Clean Access, обеспечивает быстрое развертывание с сервисами автономной экспертизы конечных узлов, управления политикой и санации. В дополнение к этому, Архитектура NAC (NAC Framework) объединяет интеллектуальную сетевую инфраструктуру с решениями более 50 разработчиков ведущих программных средств борьбы с вирусами, безопасности и управления.

Устройство контроля доступа в сеть (NAC Appliance)

Продукты NAC Appliance, входящие в линейку продуктов Cisco Clean Access, обеспечивают быстрое развертывание с сервисами автономной экспертизы конечных узлов, управления политикой и санации. Эта быстро внедряемое “коробочное решение”("solution-in-a-box"), автоматически выявляет, изолирует и очищает инфицированные или уязвимые проводные или беспроводные конечные точки, пытающиеся получить доступ в сеть.

Cisco Clean Access выполняет три важнейшие функции защиты:

  • Распознает пользователей, их устройства, их роль в сети и точку авторизации, аутентификации.
  • Оценивает статус безопасности конечных узлов, используя технологию сканирования и анализа или легкую программу-агент для более глубокой экспертизы статуса и проверки уязвимостей.
  • Реализует политику безопасности в сети, блокируя, помещая на карантин и проводя санацию конечных узлов, не отвечающих требованиям политик.

Cisco Clean Access так же предоставляет следующие преимущества при развертывании:

  • Масштабируемость - Cisco Clean Access можно развернуть немедленно для решения существующих проблем входа в сеть, а затем продолжить доработку и оценку архитектуры NAC, поскольку элементы Cisco Clean Access можно интегрировать в более широкую архитектуру NAC.
  • Быстрое развертывание - Cisco Clean Access – это компактное, “готовое к употреблению” решение, в котором предусмотрена поддержка обновлений ресурсов борьбы с вирусами, шпионскими программами и обновлений Microsoft.
  • Гибкость - Cisco Clean Access поддерживает разнородную сетевую инфраструктуру с различными настольными операционными системами.

Характеристики сети, идеальные для внедрения Cisco Clean Access:

  • Сеть LAN не поддерживающие протокол 802.1x.
  • Беспроводные, филиальные, удаленные или простые рабочие LAN.
  • Централизованная рабочая среда и управление ИТ.
  • Доступ к сети неуправляемых компьютеров (например, посетителей, подрядчиков или учащихся).
  • Неоднородная (включающая продукты многих вендоров) сетевая инфраструктура.

Архитектура контроля доступа в сеть (NAC Framework Solution)

NAC так же предлагается как архитектура, которая дополнительно укрепляет существующие основы, сложенные из сетевых технологий Cisco и внедренные решения других разработчиков в области управления и обеспечения безопасности. В решении NAC Framework заложены следующие преимущества:

  • Полномасштабный контроль за счет оценки всех конечных узлов и охвата всех методов доступа, включая LAN, беспроводной, удаленный доступ и WAN.
  • Видимость конечных узлов и контроль над ними для гарантии соблюдения корпоративной политики безопасности на управляемых, неуправляемых, гостевых и поврежденных устройствах.
  • В течение всего жизненного цикла обеспечена поддержка ресурсов контроля на конечных узлах, которые автоматизируют оценку, аутентификацию, авторизацию конечных узлов и принятие коррективных мер.
  • Объединение централизованного управления политикой, интеллектуальных сетевых устройств и сетевых сервисов с решениями десятков разработчиков в области борьбы с вирусами, обеспечения безопасности и управления для детализированного контроля доступа в сеть.
  • Поддержка богатой “экосистемы” партнеров и технологий за счет, стандартов и гибких API, которые дают сторонним разработчикам возможность внести свою лепту в общее решение.

Следующие характеристики сети оптимальны для внедрения архитектуры NAC:

  • Крупномасштабные корпоративные структуры.
  • Комплексная рабочая среда с LAN/WAN/беспроводными ресурсами.
  • Инфраструктура LAN/WAN/беспроводных ресурсов, полностью или в основном основанная на технологиях Cisco.
  • Операционная совместимость с решениями партнеров по NAC в области обеспечения безопасности и управления.
  • Внедрение ресурсов IP-телефонии или планируемые внедрения.
  • Внедрение ресурсов стандарта 802.1X или планируемые внедрения.

Защита инвестиций

Cisco предлагает наиболее полный набор продуктов и решений по контролю доступа в сеть, способный удовлетворить функциональные потребности любой компании. Поскольку потребности многих компаний со временем меняются, составные части продукта Cisco Clean Access, которые инсталлированы сейчас, можно будет использовать для поддержки последующего внедрения архитектуры NAC.

Независимо от того, какой подход, по вашему мнению, подходит для вашей рабочей среды, технологии Cisco NAC служат для защиты ваших инвестиций в соответствующую сетевую технологию. Одновременно с этим, возможность совместной работы и функциональная совместимость помогают обеспечить плавный переход от Cisco Clean Access к архитектуре NAC, которая предлагает дополнительные возможности и преимущества.

Планирование, разработка и внедрение эффективного решения по NAC

Для того чтобы развернутое решение Cisco NAC было эффективным, отдел обслуживания Cisco Advanced Services предлагает следующие услуги по анализу потребностей, планированию, разработке и внедрению:

  • Оценка готовности к NAC – Анализ требований, предъявляемых к развертыванию, и экспертиза готовности ваших сетевых устройств, процессов и архитектуры к поддержке NAC.
  • Ограниченное развертывание NAC – Инсталляция и конфигурирование ограниченного решения, которое дает вашим специалистам возможность испытать NAC и получить опыт работы с ним.
  • Проработка NAC – Помощь вашим специалистам в детальной проработке для интеграции NAC в вашу сетевую инфраструктуру.
  • Инженерная поддержка внедрения NAC – Помощь вашим специалистам в полномасштабном внедрении: разработка подробных планов по инсталляции, конфигурированию, интеграции и управлению и выполнение инсталляции, конфигурирования и тестирования на вашем объекте. Это обеспечит плавную интеграцию внедряемых ресурсов в вашу производственную среду.
После развертывания NAC вы можете обратиться в отдел технического сопровождения Cisco, чтобы получить дополнительную поддержку и обеспечить эффективную работу и высокую готовность продуктов Cisco и применять только обновленное системное программное обеспечение.

Технология NAC

Компоненты устройства NAC (NAC Appliance)

Cisco Clean Access включает следующие элементы:

  • Cisco Clean Access Server выполняет экспертизу устройств и вводит привилегии доступа, основанные на соблюдении предписанных требований на конечных узлах.
  • Cisco Clean Access Manager обеспечивает централизованное управление решением Cisco Clean Access, включая сервисы контроля соблюдения правил политик и принятия коррективных мер.
  • Cisco Clean Access Agent – опциональная бесплатная клиентская программа, которая обеспечивает более жесткую экспертизу соблюдения правил политик в конечных узлах и оптимизированные коррективные меры в управляемых и в неуправляемых рабочих средах.

В Cisco Clean Access обеспечена поддержка беспроводного доступа с применением следующих технологий:

  • Все точки доступа 802.11 Wi-Fi, включая точки доступа Cisco Aironet.
  • Любые клиентские устройства Wi-Fi с супликантом IEEE 802.1X, который поддерживает NAC.

Компоненты архитектуры NAC (NAC Framework)

NAC Framework обеспечивает следующую технологическую поддержку:

  • Широкая поддержка сетевых устройств для LAN коллективного пользования, WAN, VPN и точек беспроводного доступа.
  • Возможность соединения со сторонними инструментами экспертизы хостов для работы с устройствами, действующими без оператора, без программ-агентов и с другими не реагирующими устройствами (nonresponsive devices), и возможность применения различных правил политики к каждому конкретному устройству.
  • Широкая поддержка платформ для Cisco Trust Agent.
  • Расширение интеграции продуктов различных разработчиков с проверками статуса приложений и операционных систем, которые выходят далеко за рамки антивирусных обновлений и базовых программных исправлений для операционных систем.

Архитектура NAC поддерживается следующими технологиями:

  • Маршрутизаторы Cisco: маршрутизаторы с интегрированными сервисами серий Cisco 83x, 18xx, 28xx и 38xx; модульные маршрутизаторы доступа 1701, 1711, 1712, 1721, 1751, 1751-V и 1760; мульти-сервисные маршрутизаторы доступа 2600XM, 2691, 3640 и 3660-ENT; маршрутизаторы серии 72xx.
  • Коммутаторы Cisco:
    • Cisco Catalyst 6500 Series Supervisor Engine 2, 32, и 720, с Cisco Catalyst OS, Cisco IOS® Software, или гибридные варианты (поддержка Cisco IOS Software на Supervisor Engine 32 и 720)
    • Cisco Catalyst 4000 Series Supervisor Engine II+, II+TS, IV, V, и V-10GE, с Cisco IOS Software
    • Cisco Catalyst 4948 и 4948-10GE
    • Cisco Catalyst 3550, 3560, 3750 c Cisco IOS c IP-Base and IP-Services
    • Cisco Catalyst 2940, 2950, 2955, 2960, 2970
  • Беспроводной доступ Cisco: точки доступа Cisco Aironet, упрощенные точки доступа Cisco Aironet, соединенные с контроллером беспроводных LAN Cisco, сервисный модуль беспроводной LAN (WLSM) Cisco Catalyst серии 6500 и все устройства Cisco Aironet, Cisco Compatible, и клиентские Wi-Fi устройства с супликантом IEEE 802.1X, который поддерживает NAC.
  • Концентраторы Cisco VPN серии 3000.
  • Программа-агент Cisco Trust Agent.
  • Сервер контроля безопасного доступа Cisco ACS.
  • Программное обеспечение сторонних разработчиков.
  • Рекомендуемые элементы:
    • Программа-агент безопасности Cisco Security Agent.
    • Система мониторинга, анализа и ответных мер по обеспечению безопасности Cisco Security Monitoring, Analysis and Response System (MARS).
    • Решение Cisco по безопасному управлению информацией CiscoWorks Security and Information Management Solution (SIMS).

Есть вопросы?
Обращайтесь в "АйТиМаксима", чтобы узнать подробности и получить именно то, что вам требуется.

Чтобы связаться с нашими менеджерами, Вы можете:
сделать заказ, задать любой вопрос
позвонить по телефону (495) 234-3212 (многоканальный)