Z kontrolą dostępu do sieci mamy do czynienia, gdy komputer zostaje podłączony do medium. Wówczas nie uzyskuje on natychmiast dostępu do jakichkolwiek zasobów, dopóki nie "udowodni" swojej zgodności z politykami bezpieczeństwa ustalonymi przez administratora (poziom ochrony antywirusowej, aktualizacja systemu operacyjnego itp.). Przeważnie taki komputer jest sprawdzany za pomocą zainstalowanego w systemie operacyjnym agenta, który daje maszynie dostęp wyłącznie do ograniczonych zasobów (tzw. kwarantanna). Może z nich korzystać np. w celu dostosowania swojej konfiguracji do zasad (np. pobierając odpowiednie łatki bezpieczeństwa). Jeżeli zgodność stacji roboczej zostanie potwierdzona, uzyska ona dostęp do zdefiniowanych dla siebie zasobów - np. do serwerów, sieci wewnętrznej, Internetu itp.

Network Access Control od środka

Proces uzyskiwania dostępu do sieci możemy podzielić na cztery etapy. W pierwszej kolejności następuje wykrycie i ocena urządzeń końcowych - dzieje się to podczas podłączania stacji do urządzenia sieciowego, zanim jeszcze jest możliwa jakakolwiek interakcja z zasobami. Następnie konfigurowany jest dostęp do sieci. Systemy niezgodne z polityką informatyczną lub niespełniające minimalnych wymagań organizacji w zakresie bezpieczeństwa są poddawane kwarantannie i uzyskują jedynie ograniczony dostęp do sieci (lub nie uzyskują go wcale). Pełny dostęp do sieci jest udzielany dopiero po dokonaniu oceny i potwierdzeniu zgodności systemów z polityką informatyczną.

W trzecim kroku odbywa się korygowanie urządzeń końcowych, o ile wcześniej stwierdzono ich niezgodność.

Ten etap umożliwia szybkie zapewnienie zgodności urządzeń końcowych i zmodyfikowanie dostępu do sieci.

Na koniec każda stacja przechodzi w stan monitorowania. Jest niezwykle ważne, aby zgodność z polityką bezpieczeństwa była zapewniona przez cały czas włączenia do naszej sieci. Oznacza to, że moduł Network Access Control (NAC) aktywnie monitoruje stan zgodności wszystkich urządzeń końcowych. W przypadku zmiany tego stanu prawa dostępu do sieci również ulegną zmianie.

Pierwszy etap procesu uzyskiwania dostępu do sieci może zostać osiągnięty na trzy sposoby: przez oprogramowanie na stacji roboczej, agenta na żądanie lub zdalne skanowanie. Instalacja agenta w komputerze ma niewątpliwie najwięcej zalet. Taki agent umożliwia wykonanie kontroli w zasadzie każdego typu - wielu producentów umożliwia budowanie dowolnych testów integralności, dzięki czemu jesteśmy w stanie stworzyć dowolnie skomplikowaną politykę. W tym wypadku mamy również największe możliwości naprawy - ze względu na to, że agent działa w systemie operacyjnym, ma on możliwość instalowania poprawek, wykrywania działających procesów itp. Rozwiązanie to możemy wówczas wykorzystać również do pewnego rodzaju automatyki procesów, np. w teście integralności komputera możemy sprawdzić, czy jakiś proces lub serwis jest uruchomiony - jeżeli nie, można go automatycznie włączyć bez interakcji z użytkownikiem.

[...]

Autor jest inżynierem systemowym w firmie Symantec Polska odpowiedzialnym za produkty do ochrony stacji końcowych.