|
Сетевая и информационная безопасность
Управление доступом к корпоративной сети
Контроль доступа в сеть (Network Admission Control, NAC) – набор фирменных технологи и решений Cisco Systems. Технология NAC реализуется на маршрутизаторах Cisco, устройствах адаптивной защиты Cisco ASA 5500, коммутаторах Catalyst или точках беспроводного доступа, в которые встроена поддержка NAC, не требующая дополнительного лицензирования. NAC Framework рекомендуется к внедрению при условии ее интеграции с технологией Microsoft NAP (Network Access Protection).
NAC позволяет предотвратить доступ к корпоративным ресурсам или сети оператора устройствам и ПО, не соответствующим политике безопасности:
Сетевая стратегия Cisco позволяет использовать собственные инвестиции для решения актуальных задач безопасности, предоставляя развивающуюся архитектурную платформу для упреждающего автоматизированного управления угрозами в реальном масштабе времени.
Сфера использования
NAC использует инфраструктуру сети для контроля над соблюдением политики безопасности на всех устройствах, стремящихся получить доступ к ресурсам сети. Используя NAC, предприятия могут снизить ущерб сети от угроз безопасности и разграничить права доступа пользователей к сети:
предоставлять сетевой доступ только тем пользователям, кто следует предписанным требованиям; безопасным конечным устройствам: компьютерам, серверам и КПК)
ограничить доступ к сети для устройств, не соответствующих требованиями
-
Устройство контроля доступа в сеть (NAC Appliance technology) на базе линейки продуктов Cisco Clean Access, обеспечивает быстрое развертывание с сервисами автономной экспертизы на конечных узлах, управления политиками и коррективные действия
- Архитектура контроля доступа в сеть (NAC Framework technology), реализуемая через программу Cisco контроля доступа в сеть (Cisco Network Admission Control Program), объединяет интеллектуальную сетевую инфраструктуру с решениями 75-ти и более мировых разработчиков антивирусных программ и ПО безопасности и управления.
Основные возможности:
- поддержка любых типов доступа (проводной, беспроводной, коммутируемый, широкополосный и т. д.)
- соответствие политике безопасности
- поддержка EAP over UDP и EAP over 802.1x
- прозрачность для пользователя
- поддержка ОС Windows, Linux и Solaris
- помещение несоответствующего узла в карантин путем применения списков контроля доступа ACL или URL
- Redirection, а также VLAN и PACL
- решение парадокса «пользователь имеет право доступа в сеть, а его компьютер – нет»
- мультивендерное решение: интеграция с Altiris, BigFix, IBM, McAfee, Qualys, Symantec, Trend
- поддержка широкого спектра оборудования: маршрутизаторы, коммутаторы, VPN-концентраторы, точки беспроводного доступа
- интеграция с системами Cisco MARS
- полная совместимость с системой Microsoft NAP (Network Access Protection).
Cisco NAC Appliance Устройство управления доступом к сети
Cisco NAC Appliance (бывш. Cisco Clean Access) – решение для автоматического обнаружения, изолирования и лечения инфицированных, уязвимых узлов, не соответствующих политике безопасности с проводным/беспроводным доступом к корпоративным ресурсам.
Cisco NAC Appliance является компонентом технологии Network Admission Control и выполнен в виде сетевого модуля для маршрутизаторов Cisco ISR (для сетей с количеством контролируемых устройств менее 100), либо в виде отдельного устройства (для сетей от 100 устройств).
Продукт Cisco NAC Appliance может функционировать в одном из двух режимов:
Ключевые характеристики:
- независимость от производителя сетевого оборудования (в режиме in-band)
- возможность использования в локальных многовендорных сетях, а не только сетях Cisco
- интеграция с Kerberos, LDAP, RADIUS, Active Directory, S/Ident и другими методами аутентификации
- поддержка ОС Windows, MacOS, Linux, Xbox, PlayStation, КПК, принтеров, IP-телефонов
- поддержка антивирусов CA, F-Secure, Eset, Лаборатории Касперского, McAfee, Panda, Drweb, Sophos, Symantec, TrendMicro и других средств защиты компьютера
- помещение несоответствующего узла в карантин путем применения списков контроля доступа ACL или VLAN
- создание «белого» списка узлов для ускорения их доступа к ресурсам сети
- автоматическая установка отсутствующих обновлений, новых версий средств защиты или актуализация устаревших антивирусных баз
- централизованное веб-управление
- поддержка русского языка
- прозрачный аудит.
NAC Guest Server и NAC Profiler NAC Guest Server и NAC Profiler
NAC Guest Server – сервер управления гостевым доступом к сети. Решение позволяет управлять сервисом гостевого доступа от создания временной учетной записи и настроек доступа до автоматической блокировки доступа по истечении заданного интервала времени. Все операции с помощью NAC Guest Server могут быть выполнены любым сотрудником, вплоть до секретаря компании.
NAC Profiler – система контроля профилей оконечных устройств. Решение разработано Cisco для поиска, инвентаризации, профилирования, поддержки истории и контроля специализированных IP-устройств. К этой группе относятся все устройства, отличные от локальных ПК: лэптопы, серверы – принтеры, IP-телефоны и IP-видеокамеры, управляемые ИБП, POS-терминалы, СКУД, медицинские сканнеры и устройства.
Ключевые характеристики NAC Guest Server:
- гостевой доступ (с аутентификацией или без нее)
- интеграция с NAC Appliance и WLAN Controller
- распечатка деталей с отправкой по e-mail или через SMS
- портал управления жизненным циклом удаленного доступа
- ограничение доступа по времени, полосе пропускания, IP–адресам, доменам
- интерфейс API для подключения внешних систем
- интеграция с Active Directory.
Ключевые характеристики NAC Profiler:
- сбор информации об устройствах с помощью SNMP, Netflow или DHCP
- защита от атак MAC Spoofing, port swapping, аномалии аутентификации
- автоматическое добавление неуправляемых IP-устройств в список исключений Cisco NAC Appliance Manager
- значительное сокращение времени, необходимого на инвентаризацию сети.
|
|