Integrovaný NAC

Home /Řešení /AddNet /Integrovaný NAC
Tisk

  AddNet

NAC - Řízení přístupu do sítě

Zvýšení bezpečnost sítě díky možnosti využití 802.1x autentizace a autorizace

AddNet zabezpečuje přístup do sítí díky integrované podpoře 802.1x autentizaci a autorizaci. S AddNetem je tak možné povolit síťovou komunikaci pouze pro autentizované zařízení. AddNet rovněž může díky podpoře autorizace, zajistit řízení přiřazení zařízení do příslušných VLAN. 

Pro využití služby AddNet NAC je zapotřebí, aby v síti byla využívána infrastruktura podporující 802.1x autentikaci. Tento standard dnes splňují prakticky všechny střední a prémiové řady předních výrobců síťových prvků. Novicom přináší do oblasti NAC heterogennost, tedy schopnost provozovat NAC paralelně na aktivních prvcích více výrobců. 

Výhodou NAC řešení AddNetu je možnost snadného nasazení v prostředí rozsáhlé distribuované sítě. Je tak možné zajistit NAC funkcionalitu i ve vzdálené lokalitě, která nemá dočasně spojení s centrálou. To je zajištěno díky integrovanému Radius serveru provozovaného na vzdálených AddNet Workserverech.

802.1x autentizace

AddNet se v oblasti NAC plně opírá o standard RADIUS protokolu. Podporuje možnost zavést plné 802.1x s využitím suplikantů nebo MAC autentizaci. Zavádění plného 802.1x, vzhledem k nutnosti zavádět na všechny síťové zařízení suplikanty a držet v nich aktuálně platné certifikáty, přináší poměrně značnou pracnost. To je doplněno o dodatečná bezpečnostní rizika spojená s nutností spravovat výjimky – suplikanty totiž nejsou k dispozici pro všechny platformy a zařízení. Port aktivního prvku, ke kterému je připojeno zařízení, bez podpory suplikanta 802.1x, je pak nutné vyjmout z podpory 802.1x. Případné připojení jiného zařízení do takového portu pak představuje bezpečností riziko.

Významná část zákazníků, využívající AddNet, proto dává přednost možnosti využívat NAC ve formě MAC autentizace s ochranou. To znamená, že zařízení se ověřují oproti MAC adrese. Ta je však díky integrovanému monitoringu vyhodnocována ve více parametrech a dokáže s vysokou mírou pravděpodobnosti upozornit na podvržené  MAC adresy. Tento způsob se svojí funkční hodnotou blíží plnému zavedení 802.1x, avšak odpadá jakákoliv pracnost s jeho zavedením, správou a především dlouhodobou udržitelností spravování výjimek.

AddNet se neomezuje pouze na MAC autentizaci, ale pro zákazníky požadující vyšší stupeň ochrany nabízí samozřejmě možnost využití plného 802.1x s podporou suplikantů. Výhodou je možnost kombinovat oba módy a odstranit tím pracnou správu výjimek provázejících konvenční implementace full 802.1x.

Zavedení AddNet MAC autentizace s ochranou je součástí standardní implementace DDI řešení a nevyžaduje žádné další nároky, mimo nastavení aktivních prvků. Přidáním několika málo řádek do konfigurace aktivních prvků je tak dosaženo okamžitého využívání NAC. Na straně nastavení AddNetu se pak jedná pouze o nastavení komunikačních parametrů pro Radius servery.

AddNet podporuje velice oblíbenou dvoufázovou implementaci NAC. V první fázi bývá okamžitě po spuštění DDI plošně spuštěn mód MAC autentizace s ochranou. Je tak okamžitě dosaženo poměrně značného stupně ochrany celé sítě, všech síťových zásuvek. V následné fázi dojde k posouzení, zda a kde je možné povýšit ochranu na plné 802.1x. Následně dojde k nastavení suplikantů pro tyto zařízení a jejich okamžité využívání.

Autorizace

Další významnou bezpečnostní funkcionalitou AddNetu je řízení autorizace. Po provedení autentizace, kdy na základě ověření identity zařízení je umožněna komunikaci v síti, dojde v rámci procesu autorizace k určení, do jaké sítě (VLAN) zařízení patří. Následně je pak daný port aktivního prvku dynamicky přenastaven jako accessový pro danou VLAN. Zařízení tak může komunikovat pouze v dané VLAN. 

Autorizace, podobně jako 802.1x autentizace je řízena prostřednictvím Radius serverů, který je součástí AddNet workserveru. Výhodou tohoto modelu je, že odpadá nutnost ručního nastavování VLAN pro jednotlivé porty aktivních prvků. Lze tak snadno dosáhnout stavu, kdy povolené zařízení, ať se připojí kdekoliv v rámci celé sítě, automaticky dostane svoji správnou IP adresu v dané síti a je zařazeno do příslušné sítě (VLAN).