| |
Контроль доступа к информационным ресурсам корпоративной сети
Network Admission Control (NAC) позволяет предотвратить доступ к корпоративным ресурсам или сети оператора связи устройствам, не соответствующим политике безопасности. К данной категории можно отнести иное ПО и устройства, зараженные вредоносной программой,с отсутствием антивируса или его устаревшей версией; отсутствием патчей, Service Pack или средств защиты. В случае обнаружения такого несоответствия доступ узла либо блокируется, либо перенаправляется в карантинную сеть, в которой на узел может быть установлено отсутствующее ПО.
Технология NAC реализуется на маршрутизаторах Cisco, устройствах адаптивной защиты Cisco ASA 5500, коммутаторах Catalyst или точках беспроводного доступа, в которые встроена поддержка NAC, не требующая дополнительного лицензирования. NAC Framework рекомендуется к внедрению при условии ее интеграции с технологией Microsoft NAP (Network Access Protection).
Основные возможности:
- поддержка любых типов доступа (проводной, беспроводной, коммутируемый,
- широкополосный и т. д.)
- соответствие политике безопасности
- поддержка EAP over UDP и EAP over 802.1x
- прозрачность для пользователя
- поддержка ОС Windows, Linux и Solaris
- помещение несоответствующего узла в карантин путем применения списков контроля доступа ACL или URL
- Redirection, а также VLAN и PACL
- решение парадокса «пользователь имеет право доступа в сеть, а его компьютер – нет»
- мультивендерное решение: интеграция с Altiris, BigFix, IBM, McAfee, Qualys, Symantec, Trend Micro(всего более 70 компаний)
- поддержка широкого спектра оборудования: маршрутизаторы, коммутаторы, VPN-концентраторы, точки беспроводного доступа
- интеграция с системами Cisco MARS
- полная совместимость с системой Microsoft NAP (Network Access Protection).
Cisco NAC Appliance и NAC Network Module
Cisco NAC Appliance (бывший Cisco Clean Access) – это решение, предназначенное для автоматического обнаружения, изолирования и лечения инфицированных, уязвимых или не соответствующих политике безопасности узлов, осуществляющих проводной или беспроводной доступ к корпоративным ресурсам. Будучи одним из компонентов технологии Network Admission Control, Clean Access выполнен либо в виде сетевого модуля для маршрутизаторов Cisco ISR (для сетей с количеством контролируемых устройств менее 100), либо в виде отдельного устройства (для сетей от 100 устройств), которые могут быть установлены в одном из двух режимов:
- In-band – весь трафик проходит через Cisco Clean Access Server и проверяется каждый раз, когда узел пытается осуществить доступ к защищаемым ресурсам.
- Out-band – трафик перенаправляется на Cisco Clean Access Server, только когда узел отсутствует в «белом» списке.
Преимуществом Cisco NAC Appliance и NAC Network Module является возможность его использования в локальных сетях, построенных на сетевом оборудовании различных производителей (не только Cisco).
Основные возможности:
независимость от производителя сетевого оборудования (в режиме in-band)
интеграция с Kerberos, LDAP, RADIUS, Active Directory, S/Ident и другими методами аутентификации
поддержка ОС Windows, MacOS, Linux, Xbox, PlayStation, КПК, принтеров, IP-телефонов и т. д.
поддержка антивирусов CA, F-Secure, Eset, Лаборатории Касперского, McAfee, Panda, Drweb, Sophos, Symantec, TrendMicro и других средств защиты компьютера (всего 250 производителей)
помещение несоответствующего узла в карантин путем применения списков контроля доступа ACL или VLAN
создание «белого» списка узлов для ускорения их доступа к ресурсам сети
автоматическая установка отсутствующих обновлений, новых версий средств защиты или актуализация устаревших антивирусных баз
централизованное web-управление
поддержка русского языка
проведение прозрачного аудита.
NAC Guest Server и NAC Profiler
NAC Guest Server – решение, специально предназначенное для управления всем жизненным циклом гостевого доступа, начиная от создания временной учетной записи и настроек доступа и заканчивая автоматическим блокированием доступа при истечении заранее заданного времени. При этом все операции осуществляется не ИТ-персоналом, а любым сотрудником, вплоть до секретаря компании.
NAC Profiler – решение, предназначенное для поиска, инвентаризации, профилирования, поддержки истории и мониторинга поведения IP-устройств, отличных от персональных компьютеров, лэптопов и серверов – принтеры, IP-телефоны, IP-видеокамеры, управляемые ИБП, POS-терминалы, системы контроля доступа, медицинские устройства и т. п.
Основные возможности:
- гстевой доступ с аутентификацией и без нее
- интеграция с NAC Appliance и WLAN Controller
- детали доступа могут быть распечатаны, отправлены по e-mail или через SMS
- наличие портала управления жизненным циклом удаленного доступа
- ограничение доступа по времени, полосе пропускания, IP–адресам, доменам и т. п.
- наличие API для подключения внешних систем
- интеграция с Active Directory.
Основные возможности NAC Profiler
- сбор информации об устройствах посредством SNMP, Netflow, DHCP
- защита от атак MAC Spoofing, port swapping, аномалии аутентификации и т. п.
- автоматическое включение неуправляемых IP-устройств в список исключений Cisco NAC Appliance Manager
- снижение времени на инвентаризацию сети на несколько порядков
- поддержка широкого спектра типов IP-устройств.
|
|
О компании
