Cos'è il Network Access Control (NAC) basato su 802.1X?

Cos'è il Network Access Control (NAC) basato su 802.1X?

Il Network Access Control (NAC) basato su 802.1X consente agli amministratori di fornire un controllo degli accessi uniforme in tutte le reti cablate e wireless. È ampiamente utilizzato nelle reti dei campus universitari e delle filiali aziendali, ed è composto da due elementi principali:

  • Il protocollo 802.1X: uno standard IEEE per il controllo degli accessi di rete basati su porta (PNAC) su punti di accesso a reti cablate e wireless. Il protocollo 802.1X definisce i controlli di autenticazione per qualsiasi utente o dispositivo che tenta di accedere a una LAN o a una WLAN.
  • La tecnologia NAC: un concetto di rete collaudato che identifica gli utenti e i dispositivi controllando l'accesso alla rete. Il Network Access Control controlla l'accesso alle risorse aziendali attraverso l'applicazione delle autorizzazioni e delle policy.

Problemi affrontati dal Network Access Control basato su 802.1X

L'impatto dell'accesso alle reti wireless, della mobilità, del modello BYOD (Bring Your Own Device), dei social media e del cloud computing sulle risorse di rete aziendali è enorme. Questa mobilità estesa aumenta l'esposizione alle minacce di rete e allo sfruttamento digitale, come illustrato nella figura seguente. L'uso del protocollo 802.1x contribuisce a migliorare la sicurezza in ingresso a questo tipo di ambiente, riducendo al contempo il costo totale di proprietà.

Diagramma dei problemi affrontati dal Network Access Control basato su 802.1X

Cosa si può fare con il Network Access Control basato su 802.1X?

Il NAC può essere implementato in molti modi, ma principalmente per:

  • Controllo pre-ammissione: blocca i messaggi non autenticati.
  • Rilevamento di dispositivi e utenti: identifica gli utenti e i dispositivi tramite credenziali predefinite o ID computer.
  • Autenticazione e autorizzazione: verifica e fornisce l'accesso.
  • Onboarding: assegna a un dispositivo il software di sicurezza, gestione o controllo degli host.
  • Profilazione: esegue la scansione dei dispositivi endpoint.
  • Rispetto delle policy: applica l'accesso in base a regole e autorizzazioni.
  • Controllo post-ammissione: applica terminazione e pulizia delle sessioni.

Il protocollo 802.1X offre controllo degli accessi L2 attraverso la convalida dell'utente o del dispositivo che sta tentando di accedere a una porta fisica.

Come funziona il Network Access Control basato su 802.1X?

La sequenza di funzionamento del NAC basato su 802.1X è la seguente:

1.  Avvio: l'autenticatore (tipicamente uno switch) o il supplicant (il dispositivo client) invia una richiesta di avvio sessione. Un supplicant invia all'autenticatore un messaggio di risposta EAP; l'autenticatore incapsula il messaggio e lo inoltra al server di autenticazione.

2.  Autenticazione: i messaggi passano tra il server di autenticazione e il supplicant attraverso l'autenticatore per convalidare numerose informazioni.

3.  Autorizzazione: se le credenziali sono valide, il server di autenticazione avvisa l'autenticatore di accordare al supplicant l'accesso alla porta.

4.  Accounting: l'accounting RADIUS conserva i record delle sessioni, compresi i dettagli di utenti e dispositivi, i tipi di sessione e i dettagli del servizio.

5.  Terminazione: le sessioni vengono terminate scollegando il dispositivo endpoint o utilizzando un software di gestione.

Implementazione di Juniper Networks

La famiglia di switch Ethernet serie EX rappresenta il gateway di Juniper Networks per le reti dei campus universitari e delle filiali aziendali. La serie EX offre ampio supporto per 802.1X e RADIUS e numerosi miglioramenti per 802.1x. Amplia le modalità di gestione delle richieste di accesso in ingresso, e semplifica il deployment su larga scala del controllo degli accessi alla rete. Inoltre, le soluzioni offerte dai produttori selezionati da Juniper Networks, come la piattaforma ClearPass Policy Manager di Aruba Networks e la tecnologia Pulse Secure, assicurano una gestione ad ampio spettro del controllo degli accessi alla rete.