Network Access Control

De naam is moeilijk te dragen. De eerste generatie NAC (Network Access Control) heeft zich trouwens niet doen gelden: de oplossing werd gezien als meer ingewikkeld dan het op te lossen probleem, en veel bedrijven hebben het moeilijk gehad om de investering ervan te rechtvaardigen. Vandaag wordt zijn rol herzien.

Infonetics merkte het terecht op in een recente studie over het onderwerp: NAC is alleen zinvol als het beeld van de netwerkverbindingen volledig is. En dat is lang niet altijd het geval. Microsoft bijvoorbeeld identificeerde alleen de verbonden Windows-systemen, maar geeft geen enkele informatie over de printers, de schakelaars, de routers en de meeste smartphones… Op een algemene manier genereerden de NAC-oplossingen, gebaseerd op de norm 802.1x, alleen informatie over de toestellen die waren uitgerust met 802.1x-agenten…

De NAC-oplossingen ontwikkelden zich niet op een ivoren toren, maar om in te spelen op de mutaties die elkaar opvolgden sinds 2003: de explosie van de complexiteit van het netwerk, de vermenigvuldiging van technologieën, de uitbreiding van het soort gebruikers, de geavanceerdheid van de “end-points”…

We moeten niet alleen alles kunnen “zien” op het netwerk; voor meer veiligheid moeten we ook alles “weten”. Het is belangrijk om de toestellen te kunnen identificeren op basis van hun IP-adres, hun MAC-adres, hun hostnaam, hun ID Machine… Het is voortaan noodzakelijk. Er zijn inderdaad maar weinig bedrijven die weten hoeveel toestellen er verbonden zijn – dit getal wordt vaak onderschat. Dit is meestal te wijten aan de smartphones.

Vandaag moet een veiligheidsverantwoordelijke weten welke toepassingen er op de netwerken draaien. Voor sommige bedrijven is dit omdat ze reglementair in orde moeten zijn, zoals de garantie dat de peer-to-peer en de toepassingen van instant messaging niet aan het draaien zijn. Voor anderen is het een kwestie van elementaire veiligheid. Is de patch voor het OS ok? Werd de antivirus uitgevoerd? Is hij up-to-date?

Veel organisaties hebben het beheer van de correctieven en de kwetsbaarheden al ingezet. Deze systemen werken goed voor statische omgevingen die van a tot z worden beheerd. Maar de moderne informaticaomgeving wordt gekenmerkt door zijn snelle evolutie, een alomtegenwoordige connectiviteit en een explosie van het aantal niet-beheerde parameters.

We moeten voortaan de besturingssystemen op het netwerk kunnen identificeren, de registers van de verschillende toestellen inspecteren, gedetailleerde informatie verzamelen over de toepassingen die op de randapparaten worden uitgevoerd, de updates controleren, de profielen… Wat, in het bijzonder van de USB-sleutels? Werden deze niet gebruikt om het virus Conficker te verspreiden? Hebben we niet meegemaakt hoe deze de automatische leesfunctie uitschakelde?

Een ander voorbeeld zijn de smartphones, waarvan de gleuf voor microSD-kaart een open deur is voor hackers. Maar ook de webcams zijn maar zelden beveiligd. We vermelden nog de portables met geïntegreerde 3G-modem, een ander soort bedreiging van de randapparatuur. Via een geavanceerde NAC-oplossing kan men de rechten van zijn eigenaar controleren, nagaan of hij niet werd ontslagen en, indien nodig, de verbinding ‘uitschakelen’.

Er bestaat dezelfde bezorgdheid voor de “uitgenodigde” gebruikers. Het beheer ervan wordt complexer omdat er vandaag een echte granulariteit nodig is in de definitie en de toepassing van de toegangsregels. Welke rechten heeft deze nieuwe zelfstandige medewerker wiens missie binnen zes maanden ophoudt? En welke rechten heeft de revisor, die maar korte tijd ter plaatse is maar een diepgaande toegang nodig heeft? We hebben het begrepen, we moeten voldoende weten over de gebruikers en hun toestellen.

We kunnen deze vraag verfijnen, meer bepaald op basis van activiteiten en verantwoordelijkheden: R&D, verkoop, financiën, enz. Of gebaseerd op groepen, communities. Om bijvoorbeeld het type toestel te specificeren per functie, de toepassingen die wel of niet zouden moeten draaien, enz.

Een andere vorm van gebruik is het beheer van het gedrag van de gebruikers. Met name om ze tot de orde te roepen zodra ze de beleidsregels schenden. Dan kan er een waarschuwing worden gestuurd… voor er meer drastische maatregelen worden overwogen. In deze zin kan de NAC nieuwe actieterreinen blootleggen.

- Een netwerktoegang bieden aan ‘uitgenodigde’ gebruikers
- De gebruiken op het netwerk controleren en beheren
- Zorgen voor het antivirus-veiligheidsbeleid, de patchniveaus, de processen
- Conformiteitsrapporten genereren
- De niet-conforme systemen zuiveren
- De verwijderbare opslag beheren
- Alles wat er op het netwerk is, zichtbaar maken
- Kwaadwillige activiteiten voorkomen

Arkoon
Bradford Networks
Cisco
Enterasys
F-Secure
HP Procurve
Juniper Networks
McAfee
Microsoft
NetClarity
Novell
SonicWALL
Sophos
StillSecure
SkyRecon
Symantec
Trend Micro