Что такое контроль доступа к сети (NAC) 802.1X?
Что такое контроль доступа к сети (NAC) 802.1X?
Контроль доступа к сети (NAC) 802.1X предоставляет администраторам унифицированные возможности управления доступом к проводным и беспроводным сетям. Он широко применяется в кампусных и филиальных корпоративных сетях и состоит из двух основных элементов.
- Протокол 802.1X — это стандарт IEEE для контроля доступа к сети на основе портов (PNAC) в точках доступа к проводным и беспроводным сетям. 802.1X определяет элементы аутентификации для любого пользователя или устройства, которые пытаются получить доступ к локальным или беспроводным сетям.
- Контроль доступа к сети (NAC) — это проверенная сетевая концепция, которая определяет пользователей и устройства посредством управления доступом к сети. NAC контролирует доступ к корпоративным ресурсам с помощью авторизации и применения политик.
Проблемы, решаемые с помощью контроля доступа к сети 802.1X
Доступ к беспроводным сетям, мобильность, концепция «принеси свое устройство», социальные сети и облачные вычисления оказывают сильное влияние на корпоративные сетевые ресурсы. Такая расширенная мобильность увеличивает подверженность сетей угрозам и цифровой эксплуатации, как показано на следующем рисунке. Использование 802.1X помогает укрепить входящую безопасность такого типа среды, а также сократить совокупную стоимость владения.
Что можно сделать с помощью контроля доступа к сети 802.1X?
Существует много способов развертывания контроля доступа к сети, но основными из них являются следующие.
- Контроль перед предоставлением доступа — блокировка сообщений, подлинность которых не проверена.
- Обнаружение устройств и пользователей — определение пользователей и устройств с предопределенными учетными данными или идентинтификационными номерами машин.
- Аутентификация и авторизация — проверка и предоставление доступа.
- Подключение — предоставление устройству программного обеспечения для обеспечения безопасности, возможностей управления и проверки узлов.
- Профилирование — сканирование конечных устройств.
- Применение политик — присваивание роли и предоставление доступа на основе разрешения.
- Контроль после предоставления доступа — принудительное завершение сессии и очистка.
802.1X обеспечивает контроль доступа к сети уровня 2 посредством проверки пользователя или устройства, которые пытаются получить доступ к физическому порту.
Как работает контроль доступа к сети 802.1X?
Порядок действий процедуры контроля доступа к сети (NAC) 802.1X следующий.
1. Инициация: средство проверки подлинности (обычно коммутатор) или запрашивающее устройство (клиентское устройство) посылает запрос на инициацию сессии. Запрашивающее устройство отправляет EAP-ответ средству проверки подлинности, которое инкапсулирует сообщение и направляет его серверу аутентификации.
2. Аутентификация: сообщения передаются между сервером аутентификации и запрашивающим устройством через средство проверки подлинности с целью проверить некоторые фрагменты информации.
3. Авторизация: если учетные данные действительны, сервер аутентификации уведомляет средство проверки подлинности о необходимости предоставления доступа запрашивающему устройству.
4. Учет: средство учета RADIUS хранит записи о сессии, в том числе сведения о пользователе и устройстве, типе сессии, а также информацию о сервисе.
5. Завершение сессии: сессия завершается путем отключения конечного устройства или с помощью программного обеспечения для управления.
Внедрение устройств Juniper Networks
Семейство Ethernet-коммутаторов серии EX— это устройства компании Juniper, обеспечивающие доступ к кампусной и филиальной корпоративной сети. Коммутаторы серии EX обеспечивают расширенную поддержку средства учета RADIUS и протокола 802.1X, а также несколько усовершенствований для протокола 802.1X. Они предоставляют дополнительные способы для решения задач, связанных с поступающими запросами на предоставление доступа, а также упрощают широкомасштабное развертывание решения для контроля доступа к сети. Кроме того, решения, предлагаемые определенными поставщиками Juniper, такие как платформа ClearPass Policy Management компании Aruba Networks и продукция компании Pulse Secure, обеспечивают комплексное управление контролем доступа к сети.
