Network Access Control (NAC)

Network Access Control (NAC) - een introductie

De IT beveiliging van veel organisaties is vergelijkbaar met alle huizen in Nederland maar dan zonder slot op de deuren. Network Access Control is hiermee goed te vergelijken.

  1. Huidige situatie
  2. Gewenste situatie
  3. U bent slechts voor 5% beveiligd
  4. Beste (eerste laags) bescherming is NAC
  5. Realisatie NAC
  6. De hoofd categorieën van Network Access Control
  7. Implementatie / pilot van NAC in 1 - 2 dagen

Huidige situatie: Vergelijk uw IT infrastructuur met alle huizen in Nederland waarbij elk huis gewoon open is (geen sloten of andere beveiliging). De kans dat u iets kwijt raakt, iets wordt beschadigd of dat u vreemde mensen in uw huis aantreft wordt hiermee erg groot. Om diefstal en beschadiging te beperken worden alle kostbare zaken voorzien van afzonderlijke beveiliging (analogie met huidige IT maatregelen o.a. complexe toegangscontrole, patching , scanners, interne firewall's, IDS, agents). Dit is kostbaar en wordt daarom niet (volledig) gedaan met 100% garantie.

Het andere probleem is dat MalWare zich gaat vestigen waar het niet wordt bestreden, dit zijn vaak embedded systemen of systemen waarvan men denkt dat deze in een geisoleerde omgeving staan.

Gewenste situatie: De meeste huizen zijn voorzien van sloten en de legale gebruikers hebben een sleutel. Indien u deze analogie toepast in uw IT infrastructuur, dan zullen het aantal beveiligingsincidenten aanmerkelijk afnemen. U controleert aan de poort of dit een geautoriseerde gebruiker is. Met deze techniek zult u kosten kunnen besparen als gevolg van niet beschikbaar zijn (cost of downtime), individuele toegangscontrole (bij de systemen) en patching.

IT beveiliging = Uw huisdeur op slot doen, en alleen die mensen toegang geven (een sleutel) die gerechtigd zijn = Network Access Control

Beste bescherming is Network Access Control (NAC)

Bij informatiebeveiliging vormt Network Access Control en Network Admission Control (afkorting NAC) een van de belangrijkste preventieve methoden om ongewenste systemen buiten de eigen IT infrastructuur te houden. Vergelijk dit met uw huis waarbij u alleen toegang krijgt als u een sleutel heeft.

Meer dan 80 procent van de beveiligingsincidenten komt van binnenuit. Patching van systemen is een tweede lijn in de verdediging die veel kostbaarder is. Deze methode biedt ook minder garantie: Het kwaadaardige systeem (software) heeft al toegang tot de IT infrastructuur en het is slechts zoeken naar de zwakke plekken.

De situatie: Slechts 5% van de IT infrastructuur is beveiligd.

Volgens de US-CERT (United States Computer Emergency Readiness Team): 95% van de downtime en IT gerelateerde compliance problemen zijn een direct resultaat van misbruik van de zogenaamde Common Vulnerability and Exposure (CVE). Een firewall, IDS, IPS, anti-virus software en andere maatregelen kijken niet naar deze CVE's of verwijderen deze CVE's niet.

De meeste bedrijven zijn in werkelijkheid dus maar voor 5% beveiligd. De meeste IT verantwoordelijken zijn niet bekend met de term CVE, de meerderheid kent wel Blaster, Msblast, LovSAN en de Nachi en Welchia; wormen. Deze hebben gezorgd voor veel problemen en financiële verliezen. Al deze aanvallen hebben gebruik gemaakt van een klein CVE. Dit was een softwarebug bekend als een bufferoverflow in een Windows service genaamd "DCOM interface for RPC". Deze service is actief in de meeste Windows operating systemen. Via deze CVE kregen hackers de mogelijkheid om het systeem andere dingen te laten doen met fatale gevolgen.

Conclusie

U geeft nagenoeg uw hele budget voor beveiliging uit aan slechts 5% beveiliging.

De realisatie van Network Access Control (NAC)

U denkt misschien dat NAC kostbaar en complex is terwijl dit enorm meevalt.

Indien u NAC wilt gaan toepassen in uw organisatie, dan kunnen er veel technische problemen worden opgeworpen om dit snel te realiseren. Vaak ontbreekt het aan de juiste informatie omdat grote leveranciers u overspoelen met marketinginformatie die u op het verkeerde been zetten en onduidelijkheid creëren (zie eerder artikel van Abraxax april 2008: Netwerk toegangsbeveiliging – Is NAC de nieuwe Hype?).

Marktleiders zoals Cisco, Microsoft, Symantec en Juniper geven toe dat de implementatie van hun NAC oplossing moeilijk, complex, uitdagend en arbeidsintensief is. Tevens geldt als voorwaarde dat de switch infrastructuur geupgraded of vervangen dient te worden en dat complexe software agenten (trusts) moeten worden toegepast evenals 802.1x

Welke vormen van NAC zijn beschikbaar?

In de markt zijn verschillende implementatievormen van NAC beschikbaar. Zoals met veel beveiligingsoplossingen: De oplossing vormt op zichzelf een financieel beveiligingsrisico. Het systeem haakt zo diep in op uw infrastructuur dat u er niet meer vanaf kunt. Deze opmerking even als introductie.

De verschillende systemen kenmerken zich als volgt:

  1. Agent en agentless.
  2. Inline of "out of band".
  3. Integratie (afhankelijk van andere systemen) of niet.
  4. Pre-admission en / of post-admission control.

De fundamentele vraag betreffende NAC

Voordat men in de techniek duikt (en mogelijk te veel marketing onzin  voor zijn kiezen krijgt). Stel de fundamentele vraag:

Wat wil men bereiken met NetWork Access Control op korte en lange termijn?

Implementatie of test van Network Access Control in 1-2 dagen?

Wilt u een implementatie binnen 1-2  dagen?

Ook bieden wij (tegen betaling) een appliance waarmee u de NAC functionaliteit eenvoudig zelf kunt testen en aan de tand kunt voelen. Met deze gegevens kunt u uw eisen en wensen aanscherpen bij de keuze van Network Access Control.

Neem contact op met Abraxax voor aanvullende informatie