آشنایی با کنترل سطح دسترسی در شبکه

شبکه خوب، شبکه ایمن

شاید شما برای سنجش اعتبار کاربر در شبکه و همچنین ارزیابی امنیت و کنترل دسترسی شبکه، راه کارهای گوناگونی به‌کار برده‌اید. اما با فناوری NAC1 همه این موارد در یک راه حل منفرد گرد هم می‌آید. NAC متشکل از سه بخش متمرکز بر کاربر2، مبتنی بر شبکه3 و کنترل دسترسی4 است. شرح این مفاهیم بسیار مهم است به همین جهت در ادامه به توضیحاتی در رابطه با آنها می‌پردازیم.

کد خبر: ۲۷۰۵۹۶

متمرکز بر کاربر

مفهوم متمرکز بر کاربر، NAC را از سایر روش‌های کنترل دسترسی متمایز می‌کند، مانند آنچه که شما در دیوارآتش5 ممکن است به آن برخورد کرده باشید. در دیوارآتش، کنترل دسترسی برای هدف نهایی طراحی شده است. به این معنی که چه کاری باید انجام شود و چه کاری نباید انجام شود، و این که شما کی هستید برای آن مهم نیست و مهم تنها فعالیتی است که شما می‌خواهید انجام دهید و بررسی این که برای انجام یک کار چه فعالیتی را می‌خواهد انجام دهد. و زمانی که سوالی در رابطه با آنکه شما کی هستید در دیوارآتش مطرح می‌شود، فقط از شما نشانی IP را می‌خواهد.

NAC کاملا متفاوت است و تمرکز آن روی کاربر است و سیاست امنیتی خود را براساس هویت کاربر تعریف می‌کند.

بخش متمرکز بر کاربر ایجاب می‌کند که حداقل کاربر معتبر6 و مجاز7 باشد.

به‌عبارت دیگر سیاست در NAC برای اجازه دادن به کاربر بر مبنای این است که کاربر توسط یک مکانیسم تعیین شده، هویتش تایید شود. یک راه‌حل NAC8 تکامل یافته، توانایی طرح چندین متد برای تعیین هویت کاربر را داراست. که این طرح‌ها شامل تکنولوژی‌هایی همچون 802.1x، اعتبار‌سازی بر‌اساس آدرس فیزیکی و غیره است.

قسمت دوم این بخش در NAC، توانایی داشتن اطلاعات دستگاه‌های کاربران به‌همراه هویت کاربر است که روی‌هم‌رفته سیاست کنترل دسترسی آنها است. پایگاه متمرکز بر کاربر، نیازمند ارزیابی وضعیت امنیتی دستگاه‌های کاربران و گزارش‌های آن است. برای این کار نرم‌افزاری بر دستگاه کاربر نصب می‌شود. این ارزیابی‌ها شامل بررسی به‌روز آنتی‌ویروس کاربر و یا فعال بودن آن است، رویکردهای دیگری همچون اسکن خارجی هم برای این کار متداول است.

بخش نهایی، که بزرگترین قسمت از کنترل دسترسی متمرکز بر کاربر را شامل می‌شود، اطلاعات محیطی است و شامل داده‌‌های جمع‌آوری شده توسط راه‌حل NAC در رابطه با محیط است. مانند متدهای دسترسی (برای مثال بی‌سیم، سیمی و VPN)، مکان دسترسی9، نوع ابزار و زمان است.

مبتنی بر شبکه

مفهوم دوم در این تعریف، مبتنی بر شبکه است که به‌معنای هر راه‌حل NACای است که باید در شبکه قرار گیرد و می‌تواند در درگاه‌های ورودی شبکه (مانند سوییچ، یا تجهیزات VPN)، یا در سطوح بالاتر (مانند دیوارآتش) و یا در دستگاه‌های امنیتی درون شبکه‌ای (مانند پل10، و هسته شبکه) قرار گیرد. باید توجه شود در هیچ جایی در کلاینت و یا میزبان نهایی این بخش از NAC جای ندارد (اجزای دیگر NAC در این قسمت استفاده می‌شوند).

کنترل دسترسی

آخرین مفهوم، کنترل دسترسی است و بدین معناست که شما به میزبان‌ها و سرویس‌هایی که براساس سیاست مدیر شبکه تعیین می‌شود محدود هستید، که این کار با تایید هویت کاربر و وضعیت امنیتی در نقطه پایانی است که بررسی می‌شود.NAC می‌تواند به سطوح مختلفی تقسیم شود و حتی می‌تواند شامل ترکیبی از تکنولوژی‌ها باشد که با هم کار می‌کنند. متداول‌ترین مکانیسم اجرای آن، go/no-go ، فیلتر بسته‌ها، کنترل دسترسی VLAN، فایروال وضعیت‌ها است. این کنترل‌ها می‌توانند در جهت دسترسی به منابع و یا در راه حل‌های اصلی دیگری به‌کار روند.

عناصر توسعه NAC

مهم‌ترین قسمت در فهمیدن پروژه NAC قبل از اعمال هر تغییری در شبکه پاسخ دادن به 5 پرسش آورده شده در زیر است. تا زمانی که فرد به این سوال‌ها پاسخ ندهد، نمی‌تواند به یک متدولوژی برای انجام توسعه دست یابد، پاسخ دادن به این سوال‌ها مسیر را برای یک توسعه موفق هموار می‌کند. پیش از اجرای یک طرح NAC به این سوال‌ها به‌‌طور حتم باید پاسخ داده شود:

- سیاست امنیتی شما چیست؟

- این قوانین چقدر برای شما مهم هستند؟

- وضعیت سطوح مختلف کاربران کاملا مشخص شده است؟

- چه دستگاه‌هایی (لپ‌تاپ، ابزارهای سیار و....) کانون توجه توسعه NAC در سیستم شما است؟

- می‌خواهید از چه روشی برای اعتبارسنجی استفاد کنید؟

- با موارد نامعتبر چگونه برخورد می‌کنید؟

- چگونه سیاست امنیتی برای تعیین هویت کاربر و کنترل دسترسی‌ها را اعمال می‌کنید؟

- ویژگی‌های امنیتی مربوط به کاربران نهایی مورد نظر شما چیست؟

- چطور کاربران و دستگاه‌هایی (مانند مهمان‌ها یا چاپگرها) که نمی‌توان بررسی کرد را اداره می‌کنید؟