Network Access Control

Од Википедија — слободната енциклопедија

Контрола на Пристап на Мрежа (КПМ) е пристап до сигурност на компјутерска мрежа кој се обидува да унифицира безбедносна технологија на крајна точка (како антивирус, спречување на провалување кај хостот и проценка на ранливост) корисничка или системска проверка и спроведуваењ на мрежна безбедност.[1][2]

Основа[уреди | уреди извор]

Контрола на Пристап на Мрежа (КПМ) е решение за комјутерско мрежно поврзување кое користи збир на протоколи да ја дефинира и спроведе политиката што опишува како да се осигура пристап до мрежните јазли со помош на направи кога првично се обидуваат да пристапат на мрежата. КПМ би можел да го спои процесот на ремедијација (поправање на несогласни јазли пред одобрување за пристап) со мрежните системи, дозволувајќи на мрежната инфраструктура како на пример насочувачи, врски и огнени ѕидови да функционираат заедно со опслужувачите за поддршка и да ја прекине материјалната база на корисникот да се осигура дека системот на информации работи безбедно пред да се дозволи заемна соработка.

Контролата на Пристап на Мрежа има за цел да го прави она што самото име кажува-да контролира пристап до мрежата преку политики, вклучувајќи претпристапни проверки за безбедносната политика на крајните точки и попристапни проверки, каде корисниците и направите можат да одат на мрежата и што можат да прават.

Првично, за 802.1X се сметаше дека е КПМ. Некои сè уште сметаат дека 802.1X е наједноставна форма на КПМ, но повеќето луѓе гледаат на КПМ како на нешто поголемо.

На едноставен јазик[уреди | уреди извор]

Кога компјутерот се поврзува на компјутерска мрежа, не е дозволено да се пристапи кон ништо доколку не е во согласност со дефинираната бизнис политика, вклучувајќи ниво на антивирусна заштита, ниво на ажурирање на системот и конфигурација. Додека компјутерот се проверува од претходно инсталиран софтвер, може да пристапи само кон извори кои решаваат или ажурираат секаков вид проблем. Откако еднаш ќе се исполни политиката, компјутерот е способен да пристапи кон мрежни извори и Интернет, според политиките дефинирани во системот на КПМ. КПМ главно е за пристап на основа на улоги.Пристап до мрежата се одобрува во согласност со профилот на личноста.На пример,во претпријатие,одделот за човечки ресурси може да пристапи само кон досие зод Одделот за човечки ресурси.

Цели на КПМ[уреди | уреди извор]

Бидејќи КПМ претставува појавна категорија на безбедносни производи,неговата дефиниција е еволуирачка и контроверзна. Разбирливите цели на концептот можат да се прочистат во:

Ублажување на нападите нула-денови
Клучниот вреден предлог на КПМ решенија е способноста да се спречат крајни станици кои немаат антивирусен,поправителен или софтвер за спречување на провалување кај хостот од пристапување на мрежата и ставање други компјутери под ризик од вкрстено заразување со компјутерски црви.
Спроведување на политиката
NКПМ решенијата дозволуваат на мрежните оператори да дефинираат политики,како на пример типовите на компјутери или улогите на корисниците на кои им е дозволено да пристапат кон области на мрежата,и да ги спроведат во врски, насочувачи и мрежни апарати.
Идентитет и управување со пристапот
Додека цонвенционалните ИП мрежи спроведуваат политики за пристап во смисол на IP-адреси, КПМ се обидува тоа да го стори врз основа на потврдени кориснички идентитети, барем за корисничките крајни станици како што се лаптопите и десктоп компјутерите.

Концепти[уреди | уреди извор]

Претпристапност и Постпристапност[уреди | уреди извор]

Постојат две дизајнерски филозофии кои преовладуваат во КПМ,врз основа на тоа дали политиките се спроведуваат пред или по добивањето на пристап на крајните станици. Во првиот случај, наречен претпристапен КПМ, крајните станици се испитуваат пред да им се дозволи пристап на мрежата. Типичен случај за употреба на претпристапен КПМ е да се спречат клиентите кои имаат застарена антивирусна програма да зборуваат со чувствителни опслужувачи.Како алтернативна можност, постпристапниот КПМ донесува одлуки за спроведување засновани на дејства на корисниците, откако на тие корисници ќе им биде одобрен пристап на мрежата.

Агент наспроти Без агент[уреди | уреди извор]

Основната идеја на КПМ е да дозволи на мрежата да донесува одлуки за пристапна контрола врз основа на известување во врска со крајните системи, па начинот на кој мрежата се информира за крајните системи е клучна замислена одлука. Клучна разлика помеѓу КПМ системите е дали тие бараат агентски софтвер да известуваат за одликите на крајните системи, или користат скенирање и мрежни пописни техники оддалеку да ги распознаат тие одлики.

Како што КПМ созреа, Мајкрософт сега го обезбедува нивниот агент за заштита на мрежен пристап (ЗМП) како дел од дел од нивниот Виндоус 7, Виста и Икс-Пе изданија. Постојат ЗМП компатибилни агенти за Линукс и Мак ОС Х кои обезбедуваат речиси исто исвестување за овие оперативни системи.

Надвор од појасот наспроти инлајн[уреди | уреди извор]

Во некои надворешнопојасни системи, агентите се разнесуваат на крајните станици и даваат информации на централната конзола, која исто така може да ги контролира врските за спроедување на политиката. Спротивно на ова инлајн решенијата можат да бидат едноставни решенија кои функционираат како огнени ѕидови за пристапните мрежи и ја спроведуваат политиката. Надворешнопојасните решенија имаат предност за повторно искористување на постоечката инфраструктура; инлајн производите можат послесно да се употребат на нови мрежи,и можат да обезбедат понапредни способности за спроведување на мрежата, бидејќи тие се под директна контрола на посебните пакети на водот. Сепак, постојат производи кои се без агент, и имаат својствени предности за полесна,помалку ризична надворешнопојасна употреба, но користат техники да обезбедат инлајн делотворност за несоодветните апарати, каде што се бара спроведување.

Исправање, карантин и затворени портали[уреди | уреди извор]

Мрежните оператори употребуваат КПМ производи очекувајќи дека на некои клиенти ќе им биде забранет пристапот на мрежата (ако корисниците никогаш немале положба на застарен софтвер, КПМ би бил непотребен). Поради ова, КПМ решенија бараат механизам за исправање на проблемите на крајниот корисник кои не му дозволуваат пристап.

Две чести стратегии за исправка се карантинот и затворените портали:

Карантин
Мрежа во карантин е ограничена ИП мрежа која има овозможува пристап на корисниците само до одредени домаќини и апликации.карантинот често се спроведува во смисла на задачи на ВЛАН (виртуелен ЛАН);кога КПМ производ одлучи дека краен корисник е застарен,неговата порта за врска се пренесува кон ВЛАН која е насочена само кон опслужувачи за ажурирање,а не кон останатата мрежа.Други решенија ги употребуваат техниките за управување со адреси (како Протокол за Резолуција на Адреси (ПРА) или Протокол за Откривање на Сосед (ПОС)) за ставање во карантин,избегнување на трошоците за управување со карантинските ВЛАНи.
Затворени портали
Затворен портал спречува HTTP пристап до мрежните места,пренасочувајќи ги корисниците кон мрежна апликација која дава инструкции и алатки за ажурирање на својот компјутер.Додека нивниот компјутер помине на автоматска проверка,не е дозволено користење на мрежата освен затворениот портал.Ова е слично на начинот на кој платениот безжичен пристап работи на јавните места за пристап.
Надворешните затворени портали овозможуваат на организациите да се ослободат од безжичните контролери и врски од одржувачките мрежни портали. Единствен надворешен портал одржуван од КПМ уред за безжично и кабелско потврдување ја отстранува потребата за создавање на повеќекратни портали, и ги утврдува процесите на политиката за управување.

Контроверзност[уреди | уреди извор]

Спајвер[уреди | уреди извор]

Некои КПМ софтвери како Импулс Сејв Конект бараат инсталирање на клиент агент.овој агент се користи да се осигура дека корисникот е во согласност со договорот за мрежен пристап. Ова дозволува да се заклучи мрежниот пристап за секој клиент кој има неовластен софтвер, неодржувани ажурирања, или за секое друго откриено нарушување.

Споделување на фајлови[уреди | уреди извор]

Некои колеџи и универзитети ги користеа КПМ системите со цел да забранат нелегални, како и легални апликации за споделување на фајлови.

Брзина на мрежата[уреди | уреди извор]

Спроведувањето на КПМ бара дополнителни извори и трошоци. Ова го намалува времето на пристап и користи широк појас.

Наводи[уреди | уреди извор]

  1. IEEE 802.1: 802.1X: Port Based Network Access Control
  2. Tutorial: Network Access Control Архивирано на 9 октомври 2007 г. Mike Fratto, Network Computing, July 17, 2007