NAC - HÁLÓZATI HOZZÁFÉRÉS VÉDELEM

NAC megoldásunkat olyan szervezetek számára ajánljuk, ahol

• a szigorú, IEEE 802.1X protokoll alapú megoldás bevezetése nem megoldható, az ilyen rendszerrel együttjáró rugalmatlanság üzleti kockázatot hordoz, vagy
• a hálózatra olyan eszközök csatlakoznak, melyekre agent szoftver nem telepíthető, vagy
• szükség van egy automatikusan frissülő, könnyen kézbentartható hálózati végpont nyilvántartásra

NAC megoldásunk bevezetése jellemzően a következő lépések révén történik:

• Hálózati infrastruktúra (topológia, switch eszközök, fali portok) felmérésének támogatása
• Hálózatra csatlakozó host csoportok kategorizálása, VLAN csoport tagságok kialakítása
• Rendszerterv készítése
• OS környezet telepítése, konfigurálás, mentés és monitoring beállítás, alkalmazás telepítés
• Switchek konfigurációs beállításainak módosítása
• Switch adatok importálása
• Fali aljzatok, hálózatra csatlakozó eszközök adatainak feltöltése
• Eszközök VLAN csoporttagságának összerendelése
• Funkcionális és DR tesztelési terv elkészítés, a tesztelés végrehajtása
• Beavatkozó üzemmód élesítése
• Megvalósulási dokumentáció, üzemeltetési kézikönyv és DR leírás készítés
• Oktatás az elkészült környezet üzemeltetési teendőiről

Egy tipikus szervezet esetében a helyi Ethernet hálózati végpontok jelentős része irodákban, folyosókon található, egyes esetekben ezek kiegészülhetnek üzemi területen lévő végpontokkal. A végpontokhoz jellemzően a munkatársak számítógépei, továbbá a közös használatú hálózati nyomtatók csatlakoznak. A végponti eszközök köre egyes esetekben egyedi cél eszközökkel (pl. gyártói vezérlések, épületfelügyeleti eszközök, biztonsági elemek) bővülhet.

A hálózati végpontokra az IT üzemeltetést végző kollégák csatlakoztathatnak végberendezéseket a belső üzemeltetési rend szerint. Amennyiben nem az IT üzemeltetést végző kollégák végzik egy végberendezés beüzemelését, esetleg egy látogató, vagy külső partner próbál meg saját eszközt csatlakoztatni, úgy arról a hálózati üzemeltetés nem feltétlenül értesül. A nem rendszeresített, vagy látogatói eszközök helyi hálózatra történő csatlakoztatása kiemelt IT biztonsági kockázatot hordoz, mert képes lehet a hálózati forgalom rejtett megfigyelésére és kritikus információk összegyűjtésére, továbbá egyes hálózati szolgáltatások működésének megzavarására, megbénítására. A felmerülő kockázatok az ismeretlen hálózati eszközök csatlakoztatását érzékelni és megakadályozni képes NAC megoldással kezelhetőek.

A NAC alapú védelem működése akkor fenntartható, ha illeszkedik az általa felügyelt informatikai környezetbe; azaz üzemszerű esetben teljesen transzparensen viselkedik és kizárólag az ismeretlen eszközök csatlakoztatásakor riaszt, illetve választja le a riasztást kiváltó berendezést a hálózatról.

NAC megoldásunk középkategóriájú Ethernet hálózati switchek standard szolgáltatásaira épít, ezen felül switch oldali extra funkcionalitást nem igényel.

A NAC központi eleme képes a helyi hálózati összes szegmensében folyamatosan nyomon követni a hálózati forgalom egy speciális, ún. ARP protokollon alapuló szeletét. Az ARP forgalom minden hálózati végberendezés kommunikációjának alapja, segítségével képes az adott eszköz IP felett kommunikálni más elemekkel. Az ARP forgalom forrásainak folyamatos rögzítésével, egy tanulási ciklust követően a központi elem képes azonosítani az üzemszerűen működő hálózati végberendezéseket. Az ARP forgalom figyelése mellett a NAC képes az Ethernet switchek felől érkező SNMP riasztások feldolgozására is. Az előbb említett mechanizmusokat egy periodikusan lefutó, a switcheken tanult MAC címeket feltérképező alrendszer egészíti ki. Amennyiben a bázis állapothoz viszonyítva olyan új elem kerül egy switchez csatlakoztatásra, melyet nem az üzemeltető kollégák helyeznek üzembe, úgy az riasztást vált ki. A riasztás email formájában kerül elküldésre az IT biztonsági, üzemeltetési területen dolgozó szakemberek számára.

A riasztás mellett kiemelt fontosságú a detektált, de ismeretlen végponti berendezés hálózati kapcsolatának megszakítása. Ezt a központi elem az érintett switch port SNMP felületen keresztül történő adminisztratív tiltása révén biztosítja. Ez a tiltási folyamat automatikusan történik. A tiltást követően, a felelős hozzájárulásával - beavatkozása révén - lehetséges az adott switch port működésének engedélyezése.

A felügyelt hálózati portok viselkedési típusai az alábbiak lehetnek:

• aktív és passzív felderítéssel felügyelt portok, a megjelenő MAC cím alapján történik automatikus korlátozó beavatkozás és riasztás

• csak riasztást küldő portok, melyek esetén egy új MAC cím megjelenésekor kizárólag riasztás történik, automatikus korlátozó beavatkozás nem

• tanuló üzemmódban lévő portok, melyek a riasztás és beavatkozási mechanizmusokat nem alkalmazzák, a tanulási időciklus alatt a porton megjelent címeket rögzítik csupán

• speciális szerepű portok, melyek nem kerülnek kezelésre; jellemzően switch uplink, illetve szerver infrastruktúra portok

A központi komponens minden tevékenységét Syslog csatornán keresztül részletesen naplózza, így biztosítja az események utólagos visszakereshetőségét.

A központi komponens egy GNU/Linux operációs rendszert futtató kiszolgáló, mely speciális, az ARP forgalom azonosítására és feldolgozására alkalmas szoftver alkalmazás mellett a switchek felől érkező SNMP trapeket fogadó megoldást futtat. Ezen túl az alkalmazás egyedi integrációs szoftver komponensek révén képes a switch eszközök adminisztratív elérésére és egyes érintett portok tiltásának, engedélyezésének elvégzésére.

A központi komponenst futtató kiszolgáló a helyi adottságok figyelembevételével akár önálló fizikai hardveren, akár egy meglévő virtualizációs infrastruktúrában is üzemelhet. A kiszolgáló általános menedzsment és mentési szempontból illeszthető a már meglévő központi menedzsment, monitoring és mentési alrendszerekhez.