Jak więc zbudować kompleksowy system kontroli dostępu do sieci lokalnej? Historycznie wykorzystywano zazwyczaj standard 802.1X służący do uwierzytelniania użytkowników i urządzeń mających nawiązać połączenie z siecią. Sam w sobie nie jest to jednak kompleksowy mechanizm, ponieważ ma wiele ograniczeń, nie zapewnia też wystarczającej widoczności urządzeń ani ich ochrony. Systemy kontroli dostępu do sieci (NAC) oferują natomiast funkcje bezpieczeństwa, których brakuje w standardzie 802.1X. Nie tylko bowiem uwierzytelniają urządzenie, ale także skanują je pod kątem zagrożeń i sprawdzają, czy nie narusza zasad bezpieczeństwa, zanim zostanie podłączone do sieci. System FortiNAC realizuje trzy poniższe zadania, kluczowe dla kompleksowego systemu kontroli dostępu do sieci LAN oraz Wi-Fi.

Widoczność

FortiNAC dostarcza odpowiedzi na trzy kluczowe pytania dotyczące urządzeń końcowych: kto, gdzie i kiedy podłącza się do sieci? Dzięki głębokiej integracji z infrastrukturą dostępową FortiNAC otrzymuje od niej informacje o każdym adresie MAC podłączonym do dowolnego portu przełącznika lub rozgłaszanego SSID sieci bezprzewodowej. Dodatkowo FortiNAC wykorzystuje kilkanaście metod skanowania i profilowania urządzeń końcowych, umożliwiających określenie, z jakim urządzeniem końcowym mamy do czynienia. Dzięki temu powstaje baza informacji o tym, gdzie znajduje się konkretne urządzenie końcowe oraz kto aktualnie z niego korzysta. I to bez znaczenia, czy jest to laptop korporacyjny, sprzęt mobilny w sieci gościnnej, czy też element Internetu rzeczy.

FortiNAC – elastyczne metody integracji z infrastrukturą sieciową.

Kontrola

FortiNAC zapewnia mechanizmy mikrosegmentacji, pomocne w kontroli dostępu do sieci dla urządzeń końcowych. Bazując na kilkunastu metodach profilowania sprzętu, FortiNAC określa, do jakiego segmentu sieci powinien zostać przyznany dostęp danemu urządzeniu, np. na podstawie wyniku aktywnego skanowania NMAP, opcji DHCP, z jakich on korzysta, otwartych portów TCP/UDP. Każde urządzenie spełniające wymogi jednej z metod profilowania otrzyma dostęp do konkretnego segmentu sieci. Sprzęt, w przypadku którego profilowanie nie wskaże konkretnego zasobu sieci, znajdzie się w segmencie izolowanym, zakończonym stroną powitalną. W tym segmencie możliwa będzie ręczna rejestracja urządzenia końcowego czy też uzyskanie dostępu gościnnego.

Dodatkowo, dzięki wykorzystaniu oprogramowania FortiNAC Agent, możliwe jest skanowanie urządzeń końcowych pod kątem ich zgodności z polityką firmy. Tym samym FortiNAC zapewnia mechanizmy zarządzania oprogramowaniem na urządzeniach korporacyjnych. Oprogramowanie agenckie dostarcza odpowiedzi na kluczowe pytania dotyczące stanu stacji roboczej: jaki system operacyjny jest zainstalowany, czy ma wymagane poprawki, czy uruchomione jest oprogramowanie antywirusowe oraz konkretny proces, czy istnieje specyficzny wpis w rejestrze systemowym i wiele innych. Tego rodzaju test można wykonać podczas podłączania urządzenia do sieci, a także w trakcie jego pracy w wybranych okresach. Jeżeli jakakolwiek odpowiedź będzie negatywna, urządzenie zostanie przekierowane do wydzielonego segmentu sieci, a użytkownik zostanie poinformowany o niezgodności z regułami bezpieczeństwa firmy. Segment izolowany umożliwia kontakt z działem IT lub samodzielną aktualizację urządzenia końcowego.

Automatyzacja

Dzięki integracji z systemami bezpieczeństwa FortiNAC może rekonfigurować przydzielony urządzeniu końcowemu segment w sieci na podstawie zdarzeń zarejestrowanych np. w systemie Next Generation Firewall lub SIEM. Umożliwia to automatyzację procesów reagowania na pojawiające się zagrożenia wewnątrz sieci.

System kontroli dostępu zbudowany w oparciu o rozwiązanie FortiNAC zapewnia zidentyfikowanie wszystkich urządzeń końcowych podłączonych do sieci, przydzielenie im dostępu do konkretnego segmentu sieci, a także ciągłe sprawdzanie ich stanu, aby zagwarantować kompleksową realizację polityki bezpieczeństwa w każdej firmie.

Artykuł FortiNAC: pełna kontrola nad klientami sieci pochodzi z serwisu CRN.