parnian82
عضو جدید
شاید شما برای سنجش اعتبار کاربر در شبکه و همچنین ارزیابی امنیت و کنترل دسترسی شبكه، راه کارهای گوناگونی بهکار بردهاید. اما با فناوری Network Access Control) NAC) همه این موارد در یک راه حل منفرد گرد هم میآید.
آشنایی با کنترل سطح دسترسی در شبکهNAC متشکل از سه بخش متمرکز بر کاربر، مبتنی بر شبکه و کنترل دسترسی است. شرح این مفاهیم بسیار مهم است به همین جهت در ادامه به توضیحاتی در رابطه با آنها میپردازیم.
متمرکز بر کاربر
مفهوم متمركز بر كاربر، NAC را از سایر روشهای کنترل دسترسی متمایز میکند، مانند آنچه که شما در Firewall ممکن است به آن برخورد کرده باشید. در دیوار آتش، کنترل دسترسی برای هدف نهایی طراحی شده است. به این معنی که چه کاری باید انجام شود و چه کاری نباید انجام شود، و این که شما کی هستید برای آن مهم نیست و مهم تنها فعالیتی است که شما میخواهید انجام دهید و بررسی این که برای انجام یک کار چه فعالیتی را میخواهد انجام دهد. و زمانی که سوالی در رابطه با آنكه شما کی هستید در دیوار آتش مطرح میشود، فقط از شما نشانی IP را میخواهد.
NAC کاملا متفاوت است و تمرکز آن روی کاربر است و سیاست امنیتی خود را براساس هویت کاربر تعریف میکند.
بخش متمرکز بر کاربر ایجاب میکند که حداقل کاربر معتبر و مجاز باشد.
بهعبارت دیگر سیاست در NAC برای اجازه دادن به کاربر بر مبنای این است که کاربر توسط یک مکانیسم تعیین شده، هویتش تایید شود. یک راهحل NAC تکامل یافته، توانایی طرح چندین متد برای تعیین هویت کاربر را داراست. که این طرحها شامل تکنولوژیهایی همچون 802.1x، اعتبارسازی براساس آدرس فیزیکی و غیره است.
قسمت دوم این بخش در NAC، توانایی داشتن اطلاعات دستگاههای کاربران بههمراه هویت کاربر است که رویهمرفته سیاست کنترل دسترسی آنها است. پایگاه متمرکز بر کاربر، نیازمند ارزیابی وضعیت امنیتی دستگاههای کاربران و گزارشهای آن است. برای این کار نرمافزاری بر دستگاه کاربر نصب میشود. این ارزیابیها شامل بررسی بهروز آنتیویروس کاربر و یا فعال بودن آن است، رویکردهای دیگری همچون اسكن خارجی هم برای این کار متداول است.
بخش نهایی، که بزرگترین قسمت از کنترل دسترسی متمرکز بر کاربر را شامل میشود، اطلاعات محیطی است و شامل دادههای جمعآوری شده توسط راهحل NAC در رابطه با محیط است. مانند متدهای دسترسی (برای مثال بیسیم، سیمی و VPN)، مکان دسترسی، نوع ابزار و زمان است.
مبتنی بر شبکه
مفهوم دوم در این تعریف، مبتنی بر شبکه است که بهمعنای هر راهحل NACای است که باید در شبکه قرار گیرد و میتواند در درگاههای ورودی شبکه (مانند سوییچ، یا تجهیزات VPN)، یا در سطوح بالاتر (مانند دیوارآتش) و یا در دستگاههای امنیتی درون شبکهای (مانند پل، و هسته شبکه) قرار گیرد. باید توجه شود در هیچ جایی در كلاینت و یا میزبان نهایی این بخش از NAC جای ندارد (اجزای دیگر NAC در این قسمت استفاده میشوند).
کنترل دسترسی
آخرین مفهوم، کنترل دسترسی است و بدین معناست که شما به میزبانها و سرویسهایی که براساس سیاست مدیر شبکه تعیین میشود محدود هستید، که این کار با تایید هویت کاربر و وضعیت امنیتی در نقطه پایانی است که بررسی میشود.NAC میتواند به سطوح مختلفی تقسیم شود و حتی میتواند شامل ترکیبی از تکنولوژیها باشد که با هم کار میکنند. متداولترین مکانیسم اجرای آن، go/no-go ، ***** بستهها، کنترل دسترسی VLAN، فایروال وضعیتها است. این کنترلها میتوانند در جهت دسترسی به منابع و یا در راه حلهای اصلی دیگری بهکار روند.
عناصر توسعه NAC
مهمترین قسمت در فهمیدن پروژه NAC قبل از اعمال هر تغییری در شبکه پاسخ دادن به 5 پرسش آورده شده در زیر است. تا زمانی که فرد به این سوالها پاسخ ندهد، نمیتواند به یک متدولوژی برای انجام توسعه دست یابد، پاسخ دادن به این سوالها مسیر را برای یک توسعه موفق هموار میکند. پیش از اجرای یک طرح NAC به این سوالها بهطور حتم باید پاسخ داده شود:
- سیاست امنیتی شما چیست؟
- این قوانین چقدر برای شما مهم هستند؟
- وضعیت سطوح مختلف کاربران کاملا مشخص شده است؟
- چه دستگاههایی (لپتاپ، ابزارهای سیار و....) کانون توجه توسعه NAC در سیستم شما است؟
- میخواهید از چه روشی برای اعتبارسنجی استفاد كنید؟
- با موارد نامعتبر چگونه برخورد میکنید؟
- چگونه سیاست امنیتی برای تعیین هویت کاربر و کنترل دسترسیها را اعمال میکنید؟
- ویژگیهای امنیتی مربوط به کاربران نهایی مورد نظر شما چیست؟
- چطور کاربران و دستگاههایی (مانند مهمانها یا چاپگرها) که نمیتوان بررسی کرد را اداره میکنید؟
- میخواهید این بررسی بهشکل پیوسته ادامه پیدا کند یا فقط در زمان login کردن؟
- چگونه NAC با شبکه فعلی شما یکپارچه گردد؟
- با چه روشهایی میتوان NAC را بهصورت آرام و بدون قطعی شبکه به سیستم افزود؟
- چگونه یک جامعیت یکپارچه فیزیکی برقرار شود؟
آشنایی با کنترل سطح دسترسی در شبکهNAC متشکل از سه بخش متمرکز بر کاربر، مبتنی بر شبکه و کنترل دسترسی است. شرح این مفاهیم بسیار مهم است به همین جهت در ادامه به توضیحاتی در رابطه با آنها میپردازیم.
متمرکز بر کاربر
مفهوم متمركز بر كاربر، NAC را از سایر روشهای کنترل دسترسی متمایز میکند، مانند آنچه که شما در Firewall ممکن است به آن برخورد کرده باشید. در دیوار آتش، کنترل دسترسی برای هدف نهایی طراحی شده است. به این معنی که چه کاری باید انجام شود و چه کاری نباید انجام شود، و این که شما کی هستید برای آن مهم نیست و مهم تنها فعالیتی است که شما میخواهید انجام دهید و بررسی این که برای انجام یک کار چه فعالیتی را میخواهد انجام دهد. و زمانی که سوالی در رابطه با آنكه شما کی هستید در دیوار آتش مطرح میشود، فقط از شما نشانی IP را میخواهد.
NAC کاملا متفاوت است و تمرکز آن روی کاربر است و سیاست امنیتی خود را براساس هویت کاربر تعریف میکند.
بخش متمرکز بر کاربر ایجاب میکند که حداقل کاربر معتبر و مجاز باشد.
بهعبارت دیگر سیاست در NAC برای اجازه دادن به کاربر بر مبنای این است که کاربر توسط یک مکانیسم تعیین شده، هویتش تایید شود. یک راهحل NAC تکامل یافته، توانایی طرح چندین متد برای تعیین هویت کاربر را داراست. که این طرحها شامل تکنولوژیهایی همچون 802.1x، اعتبارسازی براساس آدرس فیزیکی و غیره است.
قسمت دوم این بخش در NAC، توانایی داشتن اطلاعات دستگاههای کاربران بههمراه هویت کاربر است که رویهمرفته سیاست کنترل دسترسی آنها است. پایگاه متمرکز بر کاربر، نیازمند ارزیابی وضعیت امنیتی دستگاههای کاربران و گزارشهای آن است. برای این کار نرمافزاری بر دستگاه کاربر نصب میشود. این ارزیابیها شامل بررسی بهروز آنتیویروس کاربر و یا فعال بودن آن است، رویکردهای دیگری همچون اسكن خارجی هم برای این کار متداول است.
بخش نهایی، که بزرگترین قسمت از کنترل دسترسی متمرکز بر کاربر را شامل میشود، اطلاعات محیطی است و شامل دادههای جمعآوری شده توسط راهحل NAC در رابطه با محیط است. مانند متدهای دسترسی (برای مثال بیسیم، سیمی و VPN)، مکان دسترسی، نوع ابزار و زمان است.
مبتنی بر شبکه
مفهوم دوم در این تعریف، مبتنی بر شبکه است که بهمعنای هر راهحل NACای است که باید در شبکه قرار گیرد و میتواند در درگاههای ورودی شبکه (مانند سوییچ، یا تجهیزات VPN)، یا در سطوح بالاتر (مانند دیوارآتش) و یا در دستگاههای امنیتی درون شبکهای (مانند پل، و هسته شبکه) قرار گیرد. باید توجه شود در هیچ جایی در كلاینت و یا میزبان نهایی این بخش از NAC جای ندارد (اجزای دیگر NAC در این قسمت استفاده میشوند).
کنترل دسترسی
آخرین مفهوم، کنترل دسترسی است و بدین معناست که شما به میزبانها و سرویسهایی که براساس سیاست مدیر شبکه تعیین میشود محدود هستید، که این کار با تایید هویت کاربر و وضعیت امنیتی در نقطه پایانی است که بررسی میشود.NAC میتواند به سطوح مختلفی تقسیم شود و حتی میتواند شامل ترکیبی از تکنولوژیها باشد که با هم کار میکنند. متداولترین مکانیسم اجرای آن، go/no-go ، ***** بستهها، کنترل دسترسی VLAN، فایروال وضعیتها است. این کنترلها میتوانند در جهت دسترسی به منابع و یا در راه حلهای اصلی دیگری بهکار روند.
عناصر توسعه NAC
مهمترین قسمت در فهمیدن پروژه NAC قبل از اعمال هر تغییری در شبکه پاسخ دادن به 5 پرسش آورده شده در زیر است. تا زمانی که فرد به این سوالها پاسخ ندهد، نمیتواند به یک متدولوژی برای انجام توسعه دست یابد، پاسخ دادن به این سوالها مسیر را برای یک توسعه موفق هموار میکند. پیش از اجرای یک طرح NAC به این سوالها بهطور حتم باید پاسخ داده شود:
- سیاست امنیتی شما چیست؟
- این قوانین چقدر برای شما مهم هستند؟
- وضعیت سطوح مختلف کاربران کاملا مشخص شده است؟
- چه دستگاههایی (لپتاپ، ابزارهای سیار و....) کانون توجه توسعه NAC در سیستم شما است؟
- میخواهید از چه روشی برای اعتبارسنجی استفاد كنید؟
- با موارد نامعتبر چگونه برخورد میکنید؟
- چگونه سیاست امنیتی برای تعیین هویت کاربر و کنترل دسترسیها را اعمال میکنید؟
- ویژگیهای امنیتی مربوط به کاربران نهایی مورد نظر شما چیست؟
- چطور کاربران و دستگاههایی (مانند مهمانها یا چاپگرها) که نمیتوان بررسی کرد را اداره میکنید؟
- میخواهید این بررسی بهشکل پیوسته ادامه پیدا کند یا فقط در زمان login کردن؟
- چگونه NAC با شبکه فعلی شما یکپارچه گردد؟
- با چه روشهایی میتوان NAC را بهصورت آرام و بدون قطعی شبکه به سیستم افزود؟
- چگونه یک جامعیت یکپارچه فیزیکی برقرار شود؟