• DPA Group N.V.
•    DPA Banking & Insurance
•    DPA Compliance
•    DPA Engineering
•    DPA Finance
•    DPA IT
•    DPA Legal
•    DPA Recht & Ruimte
•    DPA Sociale Zekerheid
•    DPA Supply Chain
•    GEOS

Amsterdam, 25 februari 2010

Wat is NAC?

In principe is Network Access Control (NAC) een simpel concept: Wie je bent bepaalt wat je mag doen en/of ‘zien’ op het netwerk. NAC is niet meer of minder dan de hard- en software die een set van Access Control Policies (ACP’s) afdwingen, gebaseerd op ‘wie je bent’.
NAC is een methode om een policy doorheen het netwerk (WAN, LAN, Wireless, VPN, etc.) toe te passen. Een Access Control Policy (ACP) in NAC kan variëren van een eenvoudige go/no-go beslissing tot een keuze van VPN (Virtual Private Network). Het kan ook een complexe set van firewall rules zijn die bepalen welke delen van het netwerk toegankelijk zijn.

NAC is voor veel bedrijven een, ten opzichte van de tot op heden toegepaste netwerkbeveiliging,  totaal andere manier van werken. Daarbij zien we in het aanbod van producten een grote variatie en is de interpretatie van het concept van NAC nog niet goed vastgelegd in standaarden. Sommige producten richten zich sterk op de endpoint security als voornaamste reden om NAC te implementeren, terwijl andere producten zich exclusief bezighouden met authenticatie en het zetten van policies. In werkelijkheid is een goed NAC-product meer dan een makkelijk toepasbare manier om gebruikers te switchen tussen quarantaine en productie vLAN’s. Het is een generiek access control systeem dat alle verkeer authenticeert en autoriseert. NAC verschilt wezenlijk van controlesystemen als firewalls omdat NAC eindelijk middelen ter beschikking stelt om de toegang tot en op het netwerk te regelen tot op het niveau van de gebruikersbehoefte (User Based Access Control).

Hoe stelt NAC de toe te passen policy vast?
Als ‘wie je bent’ bepaalt welke access policy wordt gebruikt, dan is de definitie van ‘wie’ complexer dan enkel een gebruikersnaam. Drie elementen zijn van belang bij het bepalen van de juiste access policy: authenticatie, de beveiligingseisen van de te bezoeken dienst (systeem) en de netwerkomgeving vanwaar men komt (context). Effectief: wie ben je, wat wil je en kan ik vaststellen waar je zit of vandaan komt?

Authenticatie is een directe vaststelling wie je bent. NAC heeft geen specifieke eisen en zal veelal gebruik maken van de gebruikelijke middelen, Bijvoorbeeld: Als je NAC toepast op een remote access IPsec VPN-tunnel, dan ligt het voor de hand voor de authenticatie van de gebruiker dezelfde authenticatiemethode te gebruiken als voor het tot stand brengen van de tunnel. Bepaalde NAC-producten en –architecturen laten het concept van gebruikersauthenticatie vallen en richten zich volledig op het vaststellen van de beveiliging(seisen) van het endpoint dient of systeem dat men wilt benaderen).

De beveiliging(seisen) van het endpoint is het meest complexe deel in de keuze van de juiste policy. Het is echter voor de meeste bedrijven ook het primaire doel om NAC überhaupt te willen toepassen. Het onderliggende idee is dat de beveiligingsstatus van een te sluiten laptop, desktop of server deel moet uitmaken van e acces policy. Bijvoorbeeld: als een aan te luiten systeem niet voldoet aan de standaard bedrijfspolicy op het gebied virusdetectie / -preventie, zal de gebruiker een andere policy dienen te krijgen dan wanneer alles correct is geïnstalleerd en de licenties up-to-date zijn.

Het derde deel van het ‘wie je bent’ is de omgevingsinformatie. Alleen een select aantal producten is in staat rekening te houden met de (netwerk)omgeving (context) van de van het contact zoekende systeem. 

De (netwerk)omgevingsinformatie bepaalt de uitkomst van het policyselectieproces in belangrijke mate. Deze informatie kan bestaan uit gegevens die bepalen of de gebruiker (bezoeker) zich via een Wireless netwerk of een VPN aanmeldt, of dat hij zich in een bedrijfslocatie in een ander land bevindt. Dit speelt een grote rol in de beslissing welke accesmethode toe te kennen. Bijvoorbeeld: als de gebruiker via een VPN binnenkomt zal hij mogelijk  een bepaald deel van het netwerk niet mogen betreden, terwijl hij dat vanaf een interne werkplek wel mag.

NAC is een hot issue, een buzzword. Daarom zullen nog niet alle producten, op componentniveau voldoen aan de definities, maar veel producten komen al een aardig eind.

---

Voor vragen over dit onderwerp kunt u contact opnemen met Dit e-mailadres is beschermd tegen spambots. U heeft Javascript nodig om het te kunnen zien. , Senior Consultant van DPA IT.

< Vorige		Volgende >

 

Onze expertisegebieden

IT Management

IT Technology

Behoefte aan antwoorden op uw IT-vraagstukken?