mnajafi
پنج شنبه 06 خرداد 1389, 08:30 صبح
شايد شما براي سنجش اعتبار کاربر در شبکه و همچنين ارزيابي امنيت و کنترل دسترسي شبكه، راه کارهاي گوناگوني بهکار بردهايد. اما با فناوري Network Access Control) NAC) همه اين موارد در يک راه حل منفرد گرد هم ميآيد.
آشنايي با کنترل سطح دسترسي در شبکهNAC متشکل از سه بخش متمرکز بر کاربر، مبتني بر شبکه و کنترل دسترسي است. شرح اين مفاهيم بسيار مهم است به همين جهت در ادامه به توضيحاتي در رابطه با آنها ميپردازيم.
متمرکز بر کاربر
مفهوم متمركز بر كاربر، NAC را از ساير روشهاي کنترل دسترسي متمايز ميکند، مانند آنچه که شما در Firewall ممکن است به آن برخورد کرده باشيد. در ديوار آتش، کنترل دسترسي براي هدف نهايي طراحي شده است. به اين معني که چه کاري بايد انجام شود و چه کاري نبايد انجام شود، و اين که شما کي هستيد براي آن مهم نيست و مهم تنها فعاليتي است که شما ميخواهيد انجام دهيد و بررسي اين که براي انجام يک کار چه فعاليتي را ميخواهد انجام دهد. و زماني که سوالي در رابطه با آنكه شما کي هستيد در ديوار آتش مطرح ميشود، فقط از شما نشاني IP را ميخواهد.
NAC کاملا متفاوت است و تمرکز آن روي کاربر است و سياست امنيتي خود را براساس هويت کاربر تعريف ميکند.
بخش متمرکز بر کاربر ايجاب ميکند که حداقل کاربر معتبر و مجاز باشد.
بهعبارت ديگر سياست در NAC براي اجازه دادن به کاربر بر مبناي اين است که کاربر توسط يک مکانيسم تعيين شده، هويتش تاييد شود. يک راهحل NAC تکامل يافته، توانايي طرح چندين متد براي تعيين هويت کاربر را داراست. که اين طرحها شامل تکنولوژيهايي همچون 802.1x، اعتبارسازي براساس آدرس فيزيکي و غيره است.
قسمت دوم اين بخش در NAC، توانايي داشتن اطلاعات دستگاههاي کاربران بههمراه هويت کاربر است که رويهمرفته سياست کنترل دسترسي آنها است. پايگاه متمرکز بر کاربر، نيازمند ارزيابي وضعيت امنيتي دستگاههاي کاربران و گزارشهاي آن است. براي اين کار نرمافزاري بر دستگاه کاربر نصب ميشود. اين ارزيابيها شامل بررسي بهروز آنتيويروس کاربر و يا فعال بودن آن است، رويکردهاي ديگري همچون اسكن خارجي هم براي اين کار متداول است.
بخش نهايي، که بزرگترين قسمت از کنترل دسترسي متمرکز بر کاربر را شامل ميشود، اطلاعات محيطي است و شامل دادههاي جمعآوري شده توسط راهحل NAC در رابطه با محيط است. مانند متدهاي دسترسي (براي مثال بيسيم، سيمي و VPN)، مکان دسترسي، نوع ابزار و زمان است.
مبتني بر شبکه
مفهوم دوم در اين تعريف، مبتني بر شبکه است که بهمعناي هر راهحل NACاي است که بايد در شبکه قرار گيرد و ميتواند در درگاههاي ورودي شبکه (مانند سوييچ، يا تجهيزات VPN)، يا در سطوح بالاتر (مانند ديوارآتش) و يا در دستگاههاي امنيتي درون شبکهاي (مانند پل، و هسته شبکه) قرار گيرد. بايد توجه شود در هيچ جايي در كلاينت و يا ميزبان نهايي اين بخش از NAC جاي ندارد (اجزاي ديگر NAC در اين قسمت استفاده ميشوند).
کنترل دسترسي
آخرين مفهوم، کنترل دسترسي است و بدين معناست که شما به ميزبانها و سرويسهايي که براساس سياست مدير شبکه تعيين ميشود محدود هستيد، که اين کار با تاييد هويت کاربر و وضعيت امنيتي در نقطه پاياني است که بررسي ميشود.NAC ميتواند به سطوح مختلفي تقسيم شود و حتي ميتواند شامل ترکيبي از تکنولوژيها باشد که با هم کار ميکنند. متداولترين مکانيسم اجراي آن، go/no-go ، فيلتر بستهها، کنترل دسترسي VLAN، فايروال وضعيتها است. اين کنترلها ميتوانند در جهت دسترسي به منابع و يا در راه حلهاي اصلي ديگري بهکار روند.
عناصر توسعه NAC
مهمترين قسمت در فهميدن پروژه NAC قبل از اعمال هر تغييري در شبکه پاسخ دادن به 5 پرسش آورده شده در زير است. تا زماني که فرد به اين سوالها پاسخ ندهد، نميتواند به يک متدولوژي براي انجام توسعه دست يابد، پاسخ دادن به اين سوالها مسير را براي يک توسعه موفق هموار ميکند. پيش از اجراي يک طرح NAC به اين سوالها بهطور حتم بايد پاسخ داده شود:
- سياست امنيتي شما چيست؟
- اين قوانين چقدر براي شما مهم هستند؟
- وضعيت سطوح مختلف کاربران کاملا مشخص شده است؟
- چه دستگاههايي (لپتاپ، ابزارهاي سيار و....) کانون توجه توسعه NAC در سيستم شما است؟
- ميخواهيد از چه روشي براي اعتبارسنجي استفاد كنيد؟
- با موارد نامعتبر چگونه برخورد ميکنيد؟
- چگونه سياست امنيتي براي تعيين هويت کاربر و کنترل دسترسيها را اعمال ميکنيد؟
- ويژگيهاي امنيتي مربوط به کاربران نهايي مورد نظر شما چيست؟
- چطور کاربران و دستگاههايي (مانند مهمانها يا چاپگرها) که نميتوان بررسي کرد را اداره ميکنيد؟
- ميخواهيد اين بررسي بهشکل پيوسته ادامه پيدا کند يا فقط در زمان login کردن؟
- چگونه NAC با شبکه فعلي شما يکپارچه گردد؟
- با چه روشهايي ميتوان NAC را بهصورت آرام و بدون قطعي شبکه به سيستم افزود؟
- چگونه يک جامعيت يکپارچه فيزيکي برقرار شود
آشنايي با کنترل سطح دسترسي در شبکهNAC متشکل از سه بخش متمرکز بر کاربر، مبتني بر شبکه و کنترل دسترسي است. شرح اين مفاهيم بسيار مهم است به همين جهت در ادامه به توضيحاتي در رابطه با آنها ميپردازيم.
متمرکز بر کاربر
مفهوم متمركز بر كاربر، NAC را از ساير روشهاي کنترل دسترسي متمايز ميکند، مانند آنچه که شما در Firewall ممکن است به آن برخورد کرده باشيد. در ديوار آتش، کنترل دسترسي براي هدف نهايي طراحي شده است. به اين معني که چه کاري بايد انجام شود و چه کاري نبايد انجام شود، و اين که شما کي هستيد براي آن مهم نيست و مهم تنها فعاليتي است که شما ميخواهيد انجام دهيد و بررسي اين که براي انجام يک کار چه فعاليتي را ميخواهد انجام دهد. و زماني که سوالي در رابطه با آنكه شما کي هستيد در ديوار آتش مطرح ميشود، فقط از شما نشاني IP را ميخواهد.
NAC کاملا متفاوت است و تمرکز آن روي کاربر است و سياست امنيتي خود را براساس هويت کاربر تعريف ميکند.
بخش متمرکز بر کاربر ايجاب ميکند که حداقل کاربر معتبر و مجاز باشد.
بهعبارت ديگر سياست در NAC براي اجازه دادن به کاربر بر مبناي اين است که کاربر توسط يک مکانيسم تعيين شده، هويتش تاييد شود. يک راهحل NAC تکامل يافته، توانايي طرح چندين متد براي تعيين هويت کاربر را داراست. که اين طرحها شامل تکنولوژيهايي همچون 802.1x، اعتبارسازي براساس آدرس فيزيکي و غيره است.
قسمت دوم اين بخش در NAC، توانايي داشتن اطلاعات دستگاههاي کاربران بههمراه هويت کاربر است که رويهمرفته سياست کنترل دسترسي آنها است. پايگاه متمرکز بر کاربر، نيازمند ارزيابي وضعيت امنيتي دستگاههاي کاربران و گزارشهاي آن است. براي اين کار نرمافزاري بر دستگاه کاربر نصب ميشود. اين ارزيابيها شامل بررسي بهروز آنتيويروس کاربر و يا فعال بودن آن است، رويکردهاي ديگري همچون اسكن خارجي هم براي اين کار متداول است.
بخش نهايي، که بزرگترين قسمت از کنترل دسترسي متمرکز بر کاربر را شامل ميشود، اطلاعات محيطي است و شامل دادههاي جمعآوري شده توسط راهحل NAC در رابطه با محيط است. مانند متدهاي دسترسي (براي مثال بيسيم، سيمي و VPN)، مکان دسترسي، نوع ابزار و زمان است.
مبتني بر شبکه
مفهوم دوم در اين تعريف، مبتني بر شبکه است که بهمعناي هر راهحل NACاي است که بايد در شبکه قرار گيرد و ميتواند در درگاههاي ورودي شبکه (مانند سوييچ، يا تجهيزات VPN)، يا در سطوح بالاتر (مانند ديوارآتش) و يا در دستگاههاي امنيتي درون شبکهاي (مانند پل، و هسته شبکه) قرار گيرد. بايد توجه شود در هيچ جايي در كلاينت و يا ميزبان نهايي اين بخش از NAC جاي ندارد (اجزاي ديگر NAC در اين قسمت استفاده ميشوند).
کنترل دسترسي
آخرين مفهوم، کنترل دسترسي است و بدين معناست که شما به ميزبانها و سرويسهايي که براساس سياست مدير شبکه تعيين ميشود محدود هستيد، که اين کار با تاييد هويت کاربر و وضعيت امنيتي در نقطه پاياني است که بررسي ميشود.NAC ميتواند به سطوح مختلفي تقسيم شود و حتي ميتواند شامل ترکيبي از تکنولوژيها باشد که با هم کار ميکنند. متداولترين مکانيسم اجراي آن، go/no-go ، فيلتر بستهها، کنترل دسترسي VLAN، فايروال وضعيتها است. اين کنترلها ميتوانند در جهت دسترسي به منابع و يا در راه حلهاي اصلي ديگري بهکار روند.
عناصر توسعه NAC
مهمترين قسمت در فهميدن پروژه NAC قبل از اعمال هر تغييري در شبکه پاسخ دادن به 5 پرسش آورده شده در زير است. تا زماني که فرد به اين سوالها پاسخ ندهد، نميتواند به يک متدولوژي براي انجام توسعه دست يابد، پاسخ دادن به اين سوالها مسير را براي يک توسعه موفق هموار ميکند. پيش از اجراي يک طرح NAC به اين سوالها بهطور حتم بايد پاسخ داده شود:
- سياست امنيتي شما چيست؟
- اين قوانين چقدر براي شما مهم هستند؟
- وضعيت سطوح مختلف کاربران کاملا مشخص شده است؟
- چه دستگاههايي (لپتاپ، ابزارهاي سيار و....) کانون توجه توسعه NAC در سيستم شما است؟
- ميخواهيد از چه روشي براي اعتبارسنجي استفاد كنيد؟
- با موارد نامعتبر چگونه برخورد ميکنيد؟
- چگونه سياست امنيتي براي تعيين هويت کاربر و کنترل دسترسيها را اعمال ميکنيد؟
- ويژگيهاي امنيتي مربوط به کاربران نهايي مورد نظر شما چيست؟
- چطور کاربران و دستگاههايي (مانند مهمانها يا چاپگرها) که نميتوان بررسي کرد را اداره ميکنيد؟
- ميخواهيد اين بررسي بهشکل پيوسته ادامه پيدا کند يا فقط در زمان login کردن؟
- چگونه NAC با شبکه فعلي شما يکپارچه گردد؟
- با چه روشهايي ميتوان NAC را بهصورت آرام و بدون قطعي شبکه به سيستم افزود؟
- چگونه يک جامعيت يکپارچه فيزيکي برقرار شود