تالیف:مهندس سیامک گودرزی

آشنایی با کنترل سطح دسترسی در شبکه (Network Access Control)

شاید شما برای سنجش اعتبار کاربر در شبکه، همچنین ارزیابی امنیت و کنترل دسترسی راه کارهای گوناگونی به کار ببرید اما با NAC همه این موارد در یک راه حل منفرد گرد هم می آید.
NAC متشکل از سه بخش متمرکزبر کاربر( user-focused) ، مبتنی بر شبکه (network-based) وکنترل دسترسی ( (access control می باشد.شرح این مفاهیم بسیار مهم است به همین جهت در ادامه به توضیحاتی در رابطه با انها می پردازیم.
متمرکز بر کاربر (user-focused)
این مفهوم NAC را از سایر روشهای کنترل دسترسی متمایز می کند ، مانند آنچه که شما در firewall به آن ممکن است برخورد کرده با شید. در firewall ،کنترل دسترسیl برای هدف نهایی طراحی شده است به این معنی که چه کاری باید انجام شود و چه کاری نباید انجام شود ، و این که شما کی هستید برای آن مهم نیست و مهم تنها فعالیتی است که شما می خواهید انجام دهید و بررسی این که برای انجام یک کار چه فعالیتی را می خواهد انجام دهد. و زمانی که سوالی در رابطه با شما کی هستید در firewall مطرح می شود فقط از شما IP Address را می خواهد.
NAC کاملا متفاوت است و تمرکز آن بر روی کاربر است و سیاست امنیتی خود را بر اساس هویت کاربر تعریف می کند.
بخش متمرکز بر کاربر ایجاب می کند که حداقل کاربر معتبر (autenticated) و مجاز (autorized) باشد.
به عبارت دیگر سیاست در NAC برای اجازه دادن به کاربر بر مبنای این است که کاربر توسط یک مکانیسم تعیین شده، هویتش تایید شود. یک راه حل NAC (nac solution) تکامل یافته، توانایی طرح چندین متد برای تعیین هویت کاربر را داراست. که این طرح ها شامل تکنولوژی هایی همچون ۸۰۲/۱x ، اعتبار سازی بر اساس آدرس فیزیکی و غیره می باشد.
جزء دوم این بخش در NAC توانایی داشتن اطلاعات دستگاه های کاربران به همراه هویت کاربر است که رویهم رفته سیاست کنترل دسترسی آن است. پایگاه متمرکز بر کاربر ، نیازمند ارزیابی وضعیت امنیتی دستگاههای کاربران و گزارشات آن است. برای این کار نرم افزاری بر روی دستگاه کاربر نصب می شود. این ارزیابی ها شامل برسی آپدیت بودن آنتی ویروس کاربر و یا فعال بودن آنتی ویروس آن است، رویکردهای دیگری همچون scan کردن خارجی هم برای این کار متداول است.
جزء نهایی ، که بزرگترین جزء از کنترل دسترسی user-focused را شامل می شود اطلاعات محیطی است و شامل داده های جمع آوری شده توسط راه حل NAC در رابطه با محیط می باشد. مانند متدهای دسترسی (برای مثال بی سیم ، سیمی ، vpn) ، مکان دسترسی (access location) ، نوع ابزار و زمان است.

مبتنی بر شبکه

مفهوم دوم در این تعریف مبتنی بر شبکه می باشد، که به معنی هر راه حل NAC ای است که باید در شبکه قرار گیرد. که میتواند در درگاههای ورودی شبکه (مانند switch ، یا تجهیزات vpn) ، یا در سطوح بالاتر (مانند firewall) و یا در دستگاهای امنیتی درون شبکه ای (مانند bridge ، و هسته شبکه) قرار گیرد. باید توجه شوددر هیچ جایی در client و یا میزبان نهایی این بخش از NAC جای ندارد(اجزاء دیگر NAC در این قسمت استفاده می شوند).
کنترل دسترسی
آخرین مفهوم کنترل دسترسی می باشد، و بدین معنی است که شما به میزبان ها و سرویس هایی که بر اساس سیاست مدیر شبکه تعیین می شود محدود هستید،که اینکار با تایید هویت کاربر و وضعیت امنیتی در نقطه پایانی است که بررسی می شود.NAC می تواند به سطوح مختلفی تقسیم شود و حتی می تواند شامل ترکیبی از تکنولوژی ها باشد که با هم کار می کنند. متداولترین مکانیسم اجرای آن، go/no-go ،فیلتر بسته ها،کنترل دسترسی VLAN ، فایروال وضعیت ها است. این کنترل ها می توانند در جهت دسترسی به منابع و یا در راه حل های اصلی دیگری به کار روند.
عناصر توسعه NAC
مهمترین قسمت در فهمیدن پروژه NAC قبل از اعمال هر تغییری در شبکه پاسخ دادن به پنج سوال آورده شده در جدول زیر است. تا زمانی که فرد به این سوال ها پاسخ ندهد ، نمی تواند به یک متدولوژی برای انجام توسعه دست یابد، پاسخ دادن به این سوال ها مسیر را یرای یک توسعه موفق هموار می کند. قبل از اجرا یک طرح NAC به این سوال ها بطور حتم باید پاسخ داده شود:
سیاست امنیتی شما چیست؟
• این قوانین چقدر برای شما مهم هستند؟
• وضعیت سطوح مختلف کاربران کاملا مشخص شده است؟
• چه دستگا ه هایی کانون توجه توسعه NAC در سیستم شما می باشد(لب تاپ ، ابزارهای سیار و….)
از چه روشی برای اعتبارسنجی می خواهید استفاد نمایید؟
• با موارد نامعتبر چگونه برخورد می کنید؟
• چگونه سیاست امنیتی برای تعیین هویت کاربر و کنترل دسترسی ها را اعمال می کنید؟
ویژگی های امنیتی مربوط به کاربران نهایی مورد نظر شما چیست؟
• شما چطور کاربران و دستگاههایی را که نمی توان بررسی کرد مانند مهمان ها یا پرینترها را اداره می کنید؟
• شما می خواهید که به شکل پیوسته این بررسی ادامه پیدا کند یا فقط در زمان login کردن؟

چگونه NAC با شبکه فعلی شما یکپارچه گردد؟
• با چه روش هایی بتوان NAC را بصورت آرام و بدون قطعی شبکه به سیستم اضافه کرد؟
• چگونه یک جامعیت یکپارچه فیزیکی بر قرار شود؟

منابع:
NAC DEPLOYMENT A FIVE STEP METHODOLOGY By JOEL SNYDER OPUS ONE
http://www.itsecurity.com