Network access control (NAC) is al jaren een begrip waar vooral over gesproken wordt. Maar waarom wordt dit dan niet actief ingezet? Is 'het probleem' er niet? Of is de techniek niet compleet of te complex?
Vrijwel iedere enterprise organisatie komt er niet onderuit een gastentoegang te realiseren voor bezoekers die een internetverbinding nodig hebben. Dit is meestal een draadloze verbinding maar het kan ook bedraad zijn. In dit soort situaties zou je vanwege de beveiliging graag willen bepalen wat een bezoeker allemaal kan en mag.
Toegang tot het zakelijk netwerk
Naast een bedraad netwerk hebben veel organisaties ook steeds meer draadloos toegang tot het zakelijk netwerk. Om goed te reguleren wie deze netwerken op kan en tegen welke voorwaarden kan NAC een goede oplossing bieden. Denk hier bijvoorbeeld aan een check of het wel een corporate systeem (laptop/desktop) is en of de antivirus-software wel actief en up to date is. Afhankelijk van deze variabelen krijgen gebruikers dan rechten op het netwerk door hem of haar te plaatsen in een bepaald vlan. Het is ook mogelijk dynamische firewall rules te gebruiken die het mogelijk maken resources af te schermen voor ongeautoriseerde gebruikers. Samengevat kun je dan beveiliging toepassen op twee niveaus. 1: Op basis van switchniveau (dmv vlans) 2: Met behulp van dynamische firewall rules.
Gebruik mobile devices
Het groeiende aantal zakelijke gebruikers van mobile devices zoals smartphones en tablets maakt het voor organisaties ook wenselijk NAC te introduceren om zo veilig toegang te verschaffen tot de zakelijke infrastructuur. Daarnaast zijn deze apparaten vaak unmanaged wat de beveiliging ervan erg lastig maakt. Steeds meer bedrijfsinformatie wordt mobiel gedragen door medewerkers en kan eenvoudig “op straat” komen te liggen bij verlies of diefstal. Ook zijn deze mobile devices doelwit van hackers aan het worden. Het aantal aanvallen hierop is nog relatief laag maar zal naar verwachting de komende jaren enorm stijgen. De NAC oplossing anno 2011 lost dit op omdat er een module is die het mogelijk maakt iedere smartphone of tablet pc manageable te maken. Dit geeft beheer de mogelijkheid zaken af te dwingen en hiermee de controle te krijgen over bijvoorbeeld het wissen van data bij verlies of diefstal van het apparaat.
Conclusie
De conclusie is dat het probleem bestaat en de techniek er is. Maar is er wel behoefte aan een dergelijke oplossing? Ja, vaak hoor ik in de praktijk dat men het een fantastische oplossing vindt maar dat ze bang zijn dat het complex te beheren is en een vertragende factor zal zijn. Natuurlijk kost het tijd om te beheren maar met de juiste oplossing hoeft dit niet veel te zijn. Daarnaast heeft het inderdaad een vertragende factor. Dit heeft elke beveiligingsmaatregel. Maar in hoeverre weegt dit op tegen de beveiliging van het bedrijfsnetwerk?
