آشنایی با کنترل سطح دسترسی در شبکه

parnian82

عضو جدید
شاید شما برای سنجش اعتبار کاربر در شبکه و همچنین ارزیابی امنیت و کنترل دسترسی شبكه، راه کارهای گوناگونی به‌کار برده‌اید. اما با فناوری Network Access Control) NAC) همه این موارد در یک راه حل منفرد گرد هم می‌آید.
آشنایی با کنترل سطح دسترسی در شبکهNAC متشکل از سه بخش متمرکز بر کاربر، مبتنی بر شبکه و کنترل دسترسی است. شرح این مفاهیم بسیار مهم است به همین جهت در ادامه به توضیحاتی در رابطه با آنها می‌پردازیم.



متمرکز بر کاربر
مفهوم متمركز بر كاربر، NAC را از سایر روش‌های کنترل دسترسی متمایز می‌کند، مانند آنچه که شما در Firewall ممکن است به آن برخورد کرده باشید. در دیوار آتش، کنترل دسترسی برای هدف نهایی طراحی شده است. به این معنی که چه کاری باید انجام شود و چه کاری نباید انجام شود، و این که شما کی هستید برای آن مهم نیست و مهم تنها فعالیتی است که شما می‌خواهید انجام دهید و بررسی این که برای انجام یک کار چه فعالیتی را می‌خواهد انجام دهد. و زمانی که سوالی در رابطه با آنكه شما کی هستید در دیوار آتش مطرح می‌شود، فقط از شما نشانی IP را می‌خواهد.
NAC کاملا متفاوت است و تمرکز آن روی کاربر است و سیاست امنیتی خود را براساس هویت کاربر تعریف می‌کند.
بخش متمرکز بر کاربر ایجاب می‌کند که حداقل کاربر معتبر و مجاز باشد.
به‌عبارت دیگر سیاست در NAC برای اجازه دادن به کاربر بر مبنای این است که کاربر توسط یک مکانیسم تعیین شده، هویتش تایید شود. یک راه‌حل NAC تکامل یافته، توانایی طرح چندین متد برای تعیین هویت کاربر را داراست. که این طرح‌ها شامل تکنولوژی‌هایی همچون 802.1x، اعتبار‌سازی بر‌اساس آدرس فیزیکی و غیره است.
قسمت دوم این بخش در NAC، توانایی داشتن اطلاعات دستگاه‌های کاربران به‌همراه هویت کاربر است که روی‌هم‌رفته سیاست کنترل دسترسی آنها است. پایگاه متمرکز بر کاربر، نیازمند ارزیابی وضعیت امنیتی دستگاه‌های کاربران و گزارش‌های آن است. برای این کار نرم‌افزاری بر دستگاه کاربر نصب می‌شود. این ارزیابی‌ها شامل بررسی به‌روز آنتی‌ویروس کاربر و یا فعال بودن آن است، رویکردهای دیگری همچون اسكن خارجی هم برای این کار متداول است.
بخش نهایی، که بزرگترین قسمت از کنترل دسترسی متمرکز بر کاربر را شامل می‌شود، اطلاعات محیطی است و شامل داده‌‌های جمع‌آوری شده توسط راه‌حل NAC در رابطه با محیط است. مانند متدهای دسترسی (برای مثال بی‌سیم، سیمی و VPN)، مکان دسترسی، نوع ابزار و زمان است.

مبتنی بر شبکه
مفهوم دوم در این تعریف، مبتنی بر شبکه است که به‌معنای هر راه‌حل NACای است که باید در شبکه قرار گیرد و می‌تواند در درگاه‌های ورودی شبکه (مانند سوییچ، یا تجهیزات VPN)، یا در سطوح بالاتر (مانند دیوارآتش) و یا در دستگاه‌های امنیتی درون شبکه‌ای (مانند پل، و هسته شبکه) قرار گیرد. باید توجه شود در هیچ جایی در كلاینت و یا میزبان نهایی این بخش از NAC جای ندارد (اجزای دیگر NAC در این قسمت استفاده می‌شوند).

کنترل دسترسی
آخرین مفهوم، کنترل دسترسی است و بدین معناست که شما به میزبان‌ها و سرویس‌هایی که براساس سیاست مدیر شبکه تعیین می‌شود محدود هستید، که این کار با تایید هویت کاربر و وضعیت امنیتی در نقطه پایانی است که بررسی می‌شود.NAC می‌تواند به سطوح مختلفی تقسیم شود و حتی می‌تواند شامل ترکیبی از تکنولوژی‌ها باشد که با هم کار می‌کنند. متداول‌ترین مکانیسم اجرای آن، go/no-go ، ***** بسته‌ها، کنترل دسترسی VLAN، فایروال وضعیت‌ها است. این کنترل‌ها می‌توانند در جهت دسترسی به منابع و یا در راه حل‌های اصلی دیگری به‌کار روند.

عناصر توسعه NAC
مهم‌ترین قسمت در فهمیدن پروژه NAC قبل از اعمال هر تغییری در شبکه پاسخ دادن به 5 پرسش آورده شده در زیر است. تا زمانی که فرد به این سوال‌ها پاسخ ندهد، نمی‌تواند به یک متدولوژی برای انجام توسعه دست یابد، پاسخ دادن به این سوال‌ها مسیر را برای یک توسعه موفق هموار می‌کند. پیش از اجرای یک طرح NAC به این سوال‌ها به‌‌طور حتم باید پاسخ داده شود:
- سیاست امنیتی شما چیست؟
- این قوانین چقدر برای شما مهم هستند؟
- وضعیت سطوح مختلف کاربران کاملا مشخص شده است؟
- چه دستگاه‌هایی (لپ‌تاپ، ابزارهای سیار و....) کانون توجه توسعه NAC در سیستم شما است؟
- می‌خواهید از چه روشی برای اعتبارسنجی استفاد كنید؟
- با موارد نامعتبر چگونه برخورد می‌کنید؟
- چگونه سیاست امنیتی برای تعیین هویت کاربر و کنترل دسترسی‌ها را اعمال می‌کنید؟
- ویژگی‌های امنیتی مربوط به کاربران نهایی مورد نظر شما چیست؟
- چطور کاربران و دستگاه‌هایی (مانند مهمان‌ها یا چاپگرها) که نمی‌توان بررسی کرد را اداره می‌کنید؟
- می‌خواهید این بررسی به‌شکل پیوسته ادامه پیدا کند یا فقط در زمان login کردن؟
- چگونه NAC با شبکه فعلی شما یکپارچه گردد؟
- با چه روش‌هایی می‌توان NAC را به‌صورت آرام و بدون قطعی شبکه به سیستم افزود؟
- چگونه یک جامعیت یکپارچه فیزیکی برقرار شود؟
 
بالا