Bij Arrix praten we graag over beveiliging. En vaak praten we over drie hoofdlijnen die bepalend zijn voor de volwassenheid van je beveiliging. Namelijk als eerste de technische implementaties waarmee je kwaadwillenden buiten de deur houdt zoals een goede firewall, MFA en een correct wachtwoordbeleid. Ten tweede de technische oplossingen die je in kunt zetten na een beveiligingsincident.
Voorbeelden zijn goede beveiligingssoftware, een goed ingerichte back-up en of zelfs een SOC. Als laatste is er de menselijke factor. Je kunt nog zoveel maatregelen treffen, als de gebruikers er een potje van maken moet je wel heel veel brandjes blussen. Er is echter ook een maatregel die daar een beetje tussenin zit die bekend staat als Network Access Control, oftewel NAC.
Network Access Control
De vertaling van NAC is ‘Netwerk toegangscontrole’, en dat is precies wat het is. Het maakt niet uit of je draadloos of via een bekabelde verbinding probeert om een connectie met het netwerk te maken, NAC regelt het allemaal.
Met NAC heeft alleen de apparatuur die aan het juiste profiel voldoet toegang tot het netwerk, of in een gedeelte daarvan. Onbekende apparatuur of apparatuur waarvan de patch status onvolledig is wordt geweigerd, in een afgeschermd gastnetwerk geplaatst of volledig in quarantaine gezet.
Profilering
Hoe wordt vastgesteld of apparatuur het juiste profiel heeft kan in de basis worden gedaan aan de hand van het MAC-adres, maar er zijn ook uitgebreide NAC-oplossingen. Bijvoorbeeld Aruba Clearpass die aan de hand van een hoop variabelen een profiel opbouwt en een risico-inschatting doet. Deze profilering wordt samengevat met de afkorting ‘AAA’, die staat voor Authenticatie, Autorisatie en Accounting. Oftewel wat is de identiteit, welke rechten mogen worden toegekend en wat voert de gebruiker en/of het apparaat allemaal uit op het netwerk? Een NAC-oplossing kijkt naar het OS, het type apparaat, welk model het betreft en andere gegevens die gecombineerd een compleet profiel maken. Vervolgens wordt het apparaat in een passend VLAN geplaatst of zelfs helemaal geweigerd.
Uitrol en voorbereiding
De uitrol van Network Access Control en de eisen aan de bestaande omgeving hangen van een aantal zaken af. De meeste Enterprise switches beschikken al over een optie om op MAC-adres niveau apparatuur te weigeren of door te laten. Dit is een erg eenvoudige vorm van NAC, die naast discipline veel administratie met zich meebrengt. Deze manier van filteren is niet waterdicht en werkt uiteraard niet voor draadloze netwerken met devices die gebruik maken van een dynamisch MAC-adres. Hiervoor biedt een NAC-oplossing veel meer mogelijkheden en een hogere graad van beveiliging.
De meeste klanten die VLANs of virtuele netwerken gebruiken hebben vaak statisch ingerichte switches met het lidmaatschap van het VLAN. Indien ICT-apparatuur op een netwerkswitch verhuist, moeten je de switchpoorten ook aanpassen om het juiste VLAN-lidmaatschap weer in te stellen. Een NAC-oplossing regelt dit dynamisch en past het juiste VLAN-lidmaatschap automatisch toe op een switchpoort. Dit wordt in de ICT-wereld ‘Colorless Ports’ genoemd. Switches éénmaal goed geconfigureerd passen hiermee dynamisch poorten aan.
Een NAC-oplossing moet je zorgvuldig voorbereiden en implementeren, anders levert dit veel problemen op voor de organisatie. Neem ook de gebruikers mee in de uitrol van NAC. Ze zijn zich dan bewust dat er geen willekeurige devices meer gebruikt kunnen worden en dat de toegang tot het netwerk minder eenvoudig is. Met een goede netwerksegmentering richt je NAC ook eenvoudiger in en werkt het efficiënter.
Tot slot
Je hoort steeds meer over Network Access Control. Een professionele NAC-oplossing heeft een prijskaartje, maar als er geen zicht is op het gebruik van de netwerktoegang, je niet allerlei handmatige en statische maatregelen wilt treffen, dan is de investering in een NAC-oplossing zeker de moeite waard. Wij vertellen je er graag meer over.