کنترل دسترسی شبکه (Network Access Control) چیست؟
کنترل دسترسی شبکه (Network Access Control) به اختصار NAC بهترین راهکار ایجاد امنیت در لایه شبکه است. فعال کردن متدهای امنیتی و راهکار دفاع در لایه های مختلف باعث میشود که هکرها در هر قسمت از شبکه با یک سد دفاعی روبرو باشند. قبلا راجب به فایروال لبه شبکه و نحوه کارکرد آن صحبت کردیم و تو این مقاله کنترل دسترسی به شبکه را به عنوان یکی از مهمترین فاکتورهای مهم ایجاد امنیت با هم برسی میکنیم.
این مکانسیم دفاعی باعث می شود که یک شخص متجاوز نتواند از طریق هر لایه دفاعی برای ورود به شبکه و دسترسی به داده ها موفق باشد. یکی از لایه های دفاع در خط مقدم باید کنترل دسترسی به شبکه (NAC) و توانایی آن در محدود کردن دسترسی شبکه به دستگاه ها و کاربرانی که دارای مجوز و تأیید اعتبار هستند، باشد.
NAC یکی بالاترین اولویت های هزینه ای برای امنیت فناوری اطلاعات در بررسی eSecurance Planet’s 2019 در سال ۲۰۲۰ است و همچنین یکی از فناوری هایی است که تیم امنیت بیشترین اعتماد به آن را دارند.
کنترل دسترسی شبکه چیست؟
تأکید NAC، کنترل دسترسی به شبکه است اینکه چه کسی یا چه چیزی مجوز دسترسی به شبکه را صادر کرده است. این شامل کاربر و دستگاه ها است. NAC اتصال به شبکه را متوقف میکند تا احراز هویت و کنترل مجوز اتصال را انجام دهد. این موضوع بر اساس پالیسی های از پیش تعیین شده دسترسی، ایجاد یا رد میشود.
خوب تا اینجا متوجه شدیم که کار NAC چیه اما انجام این کار یکی از چالش های سازمان است و احتیاج به کارکرد صحیح بین قسمتهای مختلف دارد.
Network Access Control برای چه مواردی استفاده می شود؟
طبق گفته تیم اجرایی در ارائه دهنده خدمات مدیریت شده شرکت VirtualArmour، هدف کنترل دسترسی به شبکه به شرح زیر است:
احراز هویت(Authentication)، اعتبار سنجی (Authorization) و همچنین حسابداری (Accounting) و یا به اختصار AAA برای اتصالات شبکه.
کنترل دسترسی بر اساس نقض کاربر و یا دستگاه انجام شود. این بدان معناست که یک کاربر معین و دستگاه او در سطح دسترسی مربوطه مجوز خود قرار می گیرد به گونه ای که یک کارمند در امور مالی و یک کارمند در HR می توانند به منابع مختلفی در محیط خود دسترسی داشته باشند.
ایجاد محرمانگی و دسترسی سطح بندی شده به منابع سازمان. چک کردن وضعیت امنیتی دستگاه ها بطور خودکار که می تواند بر اساس مواردی از جمله نسخه سیستم عامل، آخرین آپدیت های نصب شده، داشتن آنتی ویروس و بروز بودن آن و موارد دیگر انجام پذیرد.
البته مواردی بیشتری از کاربرد های NAC وجود دارد که شامل موارد زیر است:
پیاده سازی سیاست های دسترسی: این مورد بسیار کاربردی برای NAC است. این برنامه به مدیران اجازه می دهد تا سیاستهای دسترسی چندگانه را که بر کاربران و دستگاههای متصل به شبکه و بر اساس موقعیتهای خاص مانند مشخصات کاربر، نوع دستگاه یا محل کاربر تنظیم می شود، تعریف کند.
بررسی سازگاری دستگاه: هنگامی که Agent NAC روی دستگاه کاربران نصب و راه اندازی میشود، می تواند برای اطمینان از نصب نرم افزار مناسب، به طور مداوم بررسی و تأیید کند، همچنین تأیید کند که دستگاه ها دارای نسخه های به روز شده و وصله های امنیتی و بروز هستند. اگر دستگاه هر یک از این بررسی های سازگاری را انجام ندهد، احتمالاً تا زمانی که بروز رسانی های مناسب انجام شود، دسترسی به شبکه نخواهد داشت.
مدیریت دسترسی شبکه مهمان: زمانهایی وجود خواهد داشت که باید به افرادی غیر از کارمندان سازمان نیزاجازه دسترسی به شبکه را بدهید. راه حل NAC می تواند مهمانان را برای دسترسی به شبکه شرکتها با دسترسی محدود فراهم کند.
شناسایی و ایجاد پروفایل دستگاه ها: جهت شناسایی و ایجاد دسترسی های از پیش تعیین شده برای تجهیزاتی مانند پرینترها تلفن های تحت شبکه و سنسورهای اثر انگشت و کلیه تجهیزات تحت شبکه که باید به شبکه شما متصل باشند. در این مواقع، NAC بسیار مفید است زیرا قابلیت کشف کلیه دستگاه های موجود در شبکه را دارد و سپس با توجه به fingerprints و پروفایل آنها اتصال آنها را به طور خودکار انجام خواهد داد.
Enforcement: زمانی وجود خواهد داشت که یک وسیله یا کاربر غیرمجاز برای اتصال به شبکه تلاش کند. هنگامی که این اتفاق می افتد ، راه حل NAC می تواند به طور خودکار دستگاه را جدا کند. همچنین گزینه ای برای قرنطینه دستگاه وجود دارد تا زمانی که تحقیقات انجام شود تا مشخص شود آیا دستگاه مجاز بوده و چرا این رفتارهای غیرمجاز را نشان می دهد.
تجزیه و تحلیل امنیتی: کنترل دسترسی به شبکه بخش مهمی از سیستم امنیتی است. این امر می تواند با جمع آوری لاگهای مربوط به اتصال و استفاده از شبکه رفتار دستگاهها هنگام شبکه را مانیتور کند. راه حل NAC همچنین می تواند با استفاده از تجزیه و تحلیل امنیت و یادگیری ماشین استفاده کند تا بتواند رفتارهای مخرب که منجر به حملات شبکه یا سرقت اطلاعات دسترسی به زیرساخت های شبکه شود را کشف کند.
اگرچه این اهداف و موارد استفاده می تواند در هر سازمان با هرنوع کسب و کاری مورد استفاده قرار گیرد، می توان مزایای خاصی برای به کارگیری راه حل های کنترل دسترسی به شبکه برای سازمانهای های خاص، مانند در صنایع به شدت مهم با دسترسی محدود شده مانند سازمانهای دفاعی و خدمات مالی وجود دارد.
امکان اتصال دستگاه های کاربران به شبکه (Bring Your Own Device)
آوردن دستگاه خود (BYOD) امروزه پایه اصلی شرکتها است. اجازه اتصال به کاربران با دستگاه های خود به شبکه، ریسک امکان ایجاد اختلال در شبکه را دارد، و همواره آن کنترل برای بخش های IT دشوار است. حتی با وجود یک سیاست BYOD، مدیران IT وابسته به صداقت کارمندان هستند که نسبت به دستگاهها و برنامه هایی که روی آن نصب شده است و ممکن است کارمندان تجهیزاتی غیر ایمن را به شبکه شما متصل کنند و باعث به وجود امده شرایط دشواری شوند. که مطمئنا برای امنیت شبکه یا داده های ذخیره شده در آن خوب نیست. این جایی است که امنیت NAC وارد می شود. پلتفرم NAC قادر به نظارت بر دستگاه های BYOD خواهد بود و تشخیص می دهد کدام یک از آنها اجازه دسترسی را دارند که از یک ارتباط خطرناک ناشی می شود.
مواردی که قبل از نصب و راه اندازی NAC باید در نظر بگیرید.
تیم های فناوری اطلاعات باید از خط مشی دسترسی و سازگاری کاربر و دستگاه های خود آگاهی کامل داشته باشند. به عنوان مثال آیا آنها می خواهند یک Agent را در هر لپ تاپ یا دسک تاپ در شبکه نصب کنند تا بررسی های مربوط به سازگاری را انجام دهند؟ آیا آنها می خواهند NAC سیاست های دسترسی خود را به طور جدی اجرا کند یا فقط هشدار و گزارش دهد.
به طورکلی NAC یک راهکار برای control plane است و می تواند در هر نقطه از شبکه مستقر شود. در بیشتر موارد آن را در مرکز داده یا نزدیک به Active Directory یا منبع هویتی دیگر که در شبکه استفاده می شود مستقر میکنند. NAC در ابتدایی ترین موارد استفاده، درخواست های DHCP را از دستگاههای خواهان اتصال به شبکه دریافت و آنها را با استفاده ازمنبع هویت مانند اکتیو دایرکتوری تأیید می کند.
علاوه بر این نیاز دارید که کلیه سوییچ ها و Acces-Point های خود را با استفاده از پروتکل ۸۰۲.۱x جهت اتصال به NAC پیکربندی کنید.
سیسکو در راهنمای پیکربندی NAC، نشان می دهد که نیاز به جزئیات، تفاوت های ظریف و پارامترهای مختلف پیکربندی زیادی که باید تنظیم شوند وجود دارد. یک نمای کلی بسیار بالا در مورد تنظیم یک چارچوب NAC شامل موارد زیر است:
در صورت مهم بودن اجرای ، کاربران باید بین ۸۰۲.۱x یا SNMP را به عنوان ابزاری برای پیکربندی درگاههای سوئیچ برای اجرای سیاست انتخاب کنند. در حالی که ۸۰۲.۱ برابر رویکرد امن است ، بسیاری از سوییچ های قدیمی یا از این سازوکار پشتیبانی نمی کنند یا این پیکربندی را انجام نمی دهند. در چنین مواردی، آنها می توانند از SNMP استفاده کنند.
- سرور NAC را نصب کنید و تمام Access-point ها و سوئیچ ها را برای استفاده از سرور NAC برای احراز هویت تنظیم کنید.
- قوانین اساسی پروفایل و احراز هویت را بر روی سرور NAC تعریف کنید. این تعیین می کند که از کاربران به چه منابعی دسترسی دارند.
- سیاست های بازرسی و انطباق را تعیین کنید. اینها بررسی های وضعیت امنیتی را نشان می دهد.
- قوانین و خط مشی های خود را آزمایش و تنظیم کنید.
- هشدارها و گزارش ها را تعریف کنید، به گونه ای که احراز هویت ناموجود ثبت شده و برای تجزیه و تحلیل به تیم امنیتی شما ارسال می شوند. گزارش هفتگی برای دیدن داده های روند مفید است.
بعد از اطمینان از اینکه قوانین، خط مشی ها و هشدارهای شما همه همانطور که در نظر گرفته شده است عمل می کنند، راه حل NAC را برای زیر مجموعه ای از کاربران خود بکار بگیرید (به عنوان مثال برای یک محل خاص یا یک شعبه). در این پیاده سازی کوچک راهکارها و مشکلات مشخص میشوند تا در پیاده سازی در کل سازمان با تجربه بیشتر و آماده تر عمل کنید.
قسمتهای کاربردی راهکار NAC شامل این موارد میباشد.
سرور NAC: این سرور وظیفه ارتباط بین بانک اطلاعاتی کاربران و نقاط اجرای شماست سوییچ ها و Access-point ها است. و همه اینها را با پالیسی های امنیتی کنترل میکند .
نقاط اجرایی Enforcement Points: شامل دستگاه های شبکه شما، مانند روتر، سوئیچ، فایروال، دروازه SSL VPN و نقاط دسترسی بی سیم. میباشد که در نهایت این دستگاه ها به کاربر اجازه می دهند که به شبکه شما دسترسی پیدا کند.
بانک اطلاعاتی کاربران: این شامل لیستی از کلیه کاربران مجاز شما و گروههای مختلفی است که آنها به آنها تعلق دارند (اغلب اوقات توسط چارت سازمانی شرکت گروه بندی می شوند). این می تواند سرور Active Directory یا Lightweight Directory Access Access Directory (LDAP) شما باشد.
در پایان یکی از بهترین راهکارهای NAC یعنی Cisco ISE را بررسی میکنیم:
راهکار سیسکو ISE امکان داشتن ۵۰۰ هزار جلسه و ۱.۵ میلیون تجهیز را به شما به ازای هر Deployment می دهد همچنین این سیستم دارای قابلیت موتورهای هوش تطبیقی، تشخیص خودکار و پاسخ و همچنین یادگیری ماشین را ارائه می دهد.
مطالب زیر را حتما بخوانید
-
اکتیو دایرکتوری (Active Directory) چیست و چگونه کار می کند؟
100 بازدید
-
بخش بندی شبکه (Network Segmentation) چیست؟
167 بازدید
-
۸ راه برای افزایش امنیت شبکه
2.65k بازدید
-
۲۰ اصطلاح مهم امنیت شبکه که باید بدانید
3.1k بازدید
-
SOC چیست؟ تکنولوژی، اهداف و ابزارهای مرکز عملیات امنیت
6.34k بازدید
-
فیشینگ (Phishing) چیست؟ بررسی و نحوه پیشگیری از آن چگونه است
2.54k بازدید
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.