Что такое контроль доступа к сети (NAC) 802.1X?

Что такое контроль доступа к сети (NAC) 802.1X?

Контроль доступа к сети (NAC) 802.1X предоставляет администраторам унифицированные возможности управления доступом к проводным и беспроводным сетям. Он широко применяется в кампусных и филиальных корпоративных сетях и состоит из двух основных элементов.

  • Протокол 802.1X — это стандарт IEEE для контроля доступа к сети на основе портов (PNAC) в точках доступа к проводным и беспроводным сетям. 802.1X определяет элементы аутентификации для любого пользователя или устройства, которые пытаются получить доступ к локальным или беспроводным сетям.
  • Контроль доступа к сети (NAC) — это проверенная сетевая концепция, которая определяет пользователей и устройства посредством управления доступом к сети. NAC контролирует доступ к корпоративным ресурсам с помощью авторизации и применения политик.

Проблемы, решаемые с помощью контроля доступа к сети 802.1X

Доступ к беспроводным сетям, мобильность, концепция «принеси свое устройство», социальные сети и облачные вычисления оказывают сильное влияние на корпоративные сетевые ресурсы. Такая расширенная мобильность увеличивает подверженность сетей угрозам и цифровой эксплуатации, как показано на следующем рисунке. Использование 802.1X помогает укрепить входящую безопасность такого типа среды, а также сократить совокупную стоимость владения.

Диаграмма с информацией о проблемах, решаемых с помощью контроля доступа к сети 802.1X

Что можно сделать с помощью контроля доступа к сети 802.1X?

Существует много способов развертывания контроля доступа к сети, но основными из них являются следующие.

  • Контроль перед предоставлением доступа — блокировка сообщений, подлинность которых не проверена.
  • Обнаружение устройств и пользователей — определение пользователей и устройств с предопределенными учетными данными или идентинтификационными номерами машин.
  • Аутентификация и авторизация — проверка и предоставление доступа.
  • Подключение — предоставление устройству программного обеспечения для обеспечения безопасности, возможностей управления и проверки узлов.
  • Профилирование — сканирование конечных устройств.
  • Применение политик — присваивание роли и предоставление доступа на основе разрешения.
  • Контроль после предоставления доступа — принудительное завершение сессии и очистка.

802.1X обеспечивает контроль доступа к сети уровня 2 посредством проверки пользователя или устройства, которые пытаются получить доступ к физическому порту.

Как работает контроль доступа к сети 802.1X?

Порядок действий процедуры контроля доступа к сети (NAC) 802.1X следующий.

1.  Инициация:  средство проверки подлинности (обычно коммутатор) или запрашивающее устройство (клиентское устройство) посылает запрос на инициацию сессии. Запрашивающее устройство отправляет EAP-ответ средству проверки подлинности, которое инкапсулирует сообщение и направляет его серверу аутентификации.

2.  Аутентификация: сообщения передаются между сервером аутентификации и запрашивающим устройством через средство проверки подлинности с целью проверить некоторые фрагменты информации.

3.  Авторизация: если учетные данные действительны, сервер аутентификации уведомляет средство проверки подлинности о необходимости предоставления доступа запрашивающему устройству.

4.  Учет: средство учета RADIUS хранит записи о сессии, в том числе сведения о пользователе и устройстве, типе сессии, а также информацию о сервисе.

5.  Завершение сессии: сессия завершается путем отключения конечного устройства или с помощью программного обеспечения для управления.

Внедрение устройств Juniper Networks

Семейство Ethernet-коммутаторов серии EX — это устройства компании Juniper, обеспечивающие доступ к кампусной и филиальной корпоративной сети. Коммутаторы серии EX обеспечивают расширенную поддержку средства учета RADIUS и протокола 802.1X, а также несколько усовершенствований для протокола 802.1X. Они предоставляют дополнительные способы для решения задач, связанных с поступающими запросами на предоставление доступа, а также упрощают широкомасштабное развертывание решения для контроля доступа к сети. Кроме того, решения, предлагаемые определенными поставщиками Juniper, такие как платформа ClearPass Policy Management компании Aruba Networks и продукция компании Pulse Secure, обеспечивают комплексное управление контролем доступа к сети.

Ресурсы

Практические ресурсы