NAC network admission control funzionalità ed esempio di progetto

Home » Blog » Switching » ibns » NAC network admission control funzionalità ed esempio di progetto

NAC network admission control funzionalità ed esempio di progetto

15.12 2019 | by massimiliano

Cisco NAC permette l’autenticazione di ciascun utente e l’accesso in rete previo controllo della compatibilità del proprio device secondo le […]


https://www.ingegnerianetworking.com/wp-content/uploads/2019/12/nac-design-877.png

Cisco NAC permette l’autenticazione di ciascun utente e l’accesso in rete previo controllo della compatibilità del proprio device secondo le policy di sicurezza adottate.

 

L’obiettivo di questa soluzione prevede:

  • Autenticare e autorizzare ogni utente sulla base delle policy di sicurezza aziendale.
  • Isolare ciascun utente non autorizzato dal resto della rete, e posizionarlo in una fase chiamata quarantena, attraverso la quale può essere gestito e reso compatibile.
  • Definire ciascun utente all’interno del proprio segmento di rete.

 

Le principali funzioni possono essere in tre macro aree:

  • – User Authentication (access layer)
  • – Path Isolation (backbone layer)
  • – Services Edge (Server Farm)

 

 

La soluzione NAC prevede il collegamento dei seguenti sistemi:

 

  • CAS (Clean Access Server): dispositivo di applicazione delle policy di sicurezza, fornisce una interfaccia WEB per la gestione degli utenti online. Viene configurato in modo distribuito attraverso ogni router di backbone per consentire la massima flessibilità di implementazione in ogni possibile ambiente di rete.
  • CAM (Clean Access Manager): vengono stabiliti ruoli utente, controlli della conformità e richieste di remediation (quarantena); questo dispositivo comunica e gestisce con il CAS che è il componente di attuazione della soluzione NAC.
  • Server DL380 per la gestione dinamica degli utenti guest.

 

 

nac design

 

 

I vantaggi di questa soluzione sono molteplici, vanno dalla protezione di asset aziendali e non, riduzione dei rischi legati alla vulnerabilità assicurando che tutti i nodi periferici abbiano installate ed attivate software antivirus, fix, patch ed aggiornamenti, prevenzione degli accessi non autorizzati rispettando determinati requisiti di sicurezza imposti, conformità alle policy e riduzione delle minacce interne (la soluzione NAC mette in quarantena le periferiche non conformi, in modo che non siano utilizzate pe nascondere la provenienza di un attacco, e successivamente le può aggiornare per renderle conformi alle policy.

Cisco NAC può registrare ed analizzare le attività dell’utente.

 

  • User Authentication and Access

 

La fase di autenticazione ed accesso di un utente viene gestito attraverso un mapping VLAN di tipo 1:N, dove

  • VLAN di autenticazione è distribuita a livello 2 ad ogni segmento di rete (name: VLAN-AUTH)
  • Una volta autenticato secondo le policy di sicurezza aziendale, l’utente viene definito all’interno di una propria vlan dati rilasciata dal NAC appliance (Vlan Access)

 

Gli switch di accesso L2 hanno configurato staticamente le rispettive porte ethernet associate alle vlan di autenticazione proprie del rispettivo segmento di rete.

 

 

nac architettura

 

 

 

  • Path Isolation

 

La soluzione NAC di fatto consiste in una architettura “end-to-end network virtualization” affidabile e scalabile attraverso la quale vengono assegnati al proprio gruppo utente i singoli device che fanno richiesta di autenticazione.

 

L’utilizzo di Layer 3 swithing  a livello Core e Distribution eleva le prestazioni in termini di affidabilità e scalabilità della soluzione.

 

Ciascun utente di fatto viene assegnato alla rispettiva vlan-access dedicata ad un rispettivo gruppo di utenti; quest’ultimi sono suddivisi su base VRF path configurato a livello Distribution.

 

 

 

Torna in alto