التحكم في الوصول إلى الشبكة
التحكم في الوصول إلى الشبكة ( NAC ) هو نهج في أمن الحاسوب يحاول توحيد تقنية أمان نقطة النهاية (مثل مكافحة الفيروسات ومنع اختراق المضيف وتقييم الضعف) ومصادقة المستخدم أو النظام وفرض أمان الشبكة.[1][2]
الوصف
[عدل]التحكم في الوصول إلى الشبكة هو أحد حلول شبكات الحاسوب التي تستخدم مجموعة من البروتوكولات لتحديد وتنفيذ سياسة تصف كيفية تأمين الوصول إلى عقد الشبكة بواسطة الأجهزة عندما تحاول في البداية الوصول إلى الشبكة. قد يعمل التحكم في الوصول إلى الشبكةNAC على دمج [3] عملية المعالجة التلقائية (إصلاح العقد غير المتوافقة قبل السماح بالوصول) في أنظمة الشبكة، مما يسمح للبنية التحتية للشبكة مثل أجهزة التوجيه والمحولات والجدران النارية بالعمل جنبًا إلى جنب مع خوادم المكتب الخلفي ومعدات حوسبة المستخدم النهائي لضمان عمل نظام المعلومات بشكل آمن قبل السماح بالتشغيل البيني. الشكل الأساسي لـ التحكم في الوصول إلى الشبكة هو معيار 802.1X .
يهدف التحكم في الوصول إلى الشبكة إلى القيام بالضبط بما يوحي به الاسم - التحكم في الوصول إلى شبكة بسياسات، بما في ذلك فحوصات سياسة أمان نقطة النهاية قبل القبول وضوابط ما بعد القبول حول المكان الذي يمكن للمستخدمين والأجهزة الانتقال إليه على الشبكة وما يمكنهم القيام به.
مثال
[عدل]عندما يتصل جهاز الحاسوب بشبكة الحاسوب، لا يُسمح له بالوصول إلى أي شيء ما لم يتوافق مع سياسة محددة من قبل الشركة ؛ بما في ذلك مستوى الحماية من الفيروسات ومستوى تحديث النظام والتكوين.
أثناء فحص الكمبيوتر بواسطة وكيل برنامج مثبت مسبقًا، يمكنه فقط الوصول إلى الموارد التي يمكنها معالجة (حل أو تحديث) أية مشكلات. بمجرد استيفاء السياسة، يصبح الكمبيوتر قادرًا على الوصول إلى موارد الشبكة والإنترنت، ضمن السياسات التي يحددها نظام NAC. تُستخدم NAC بشكل أساسي في الفحوصات الصحية لنقاط النهاية، ولكنها غالبًا ما تكون مرتبطة بالوصول المستند إلى الدور. سيتم منح الوصول إلى الشبكة وفقًا لملف تعريف الشخص ونتائج الفحص الصحي / الوضعي.
على سبيل المثال، في مؤسسة ما، يمكن لقسم الموارد البشرية الوصول إلى ملفات قسم الموارد البشرية فقط إذا كان كل من الدور ونقطة النهاية يفيان بالحد الأدنى من مكافحة الفيروسات.
أهداف التحكم في الوصول إلى الشبكة NAC
[عدل]نظرًا لأن التحكم في الوصول إلى الشبكة NAC تمثل فئة ناشئة من منتجات الأمان، فإن تعريفها متطور ومثير للجدل. يمكن تلخيص الأهداف الشاملة للمفهوم على النحو التالي:
- التخفيف من هجمات يوم الصفر
- التفويض والمصادقة والمحاسبة لاتصالات الشبكة.
- تشفير حركة المرور إلى الشبكة السلكية واللاسلكية باستخدام بروتوكولات 802.1X مثل EAP-TLS أو EAP-PEAP أو EAP-MSCHAP.
- الضوابط القائمة على الدور للمستخدم أو الجهاز أو التطبيق أو المصادقة على الوضع الأمني.
- أتمتة مع أدوات أخرى لتحديد دور الشبكة بناءً على معلومات أخرى مثل الثغرات الأمنية المعروفة وحالة كسر الحماية وما إلى ذلك.
- تتمثل الفائدة الرئيسية لحلول NAC في منع المحطات النهائية التي تفتقر إلى برامج مكافحة الفيروسات أو التصحيحات أو برامج منع اختراق المضيف من الوصول إلى الشبكة وتعريض أجهزة الكمبيوتر الأخرى لخطر التلوث المتبادل لديدان الكمبيوتر.
- إنفاذ السياسة
- تسمح حلول NAC لمشغلي الشبكات بتحديد السياسات ، مثل أنواع أجهزة الكمبيوتر أو أدوار المستخدمين المسموح لهم بالوصول إلى مناطق الشبكة، وفرضها في المحولات وأجهزة التوجيه والصناديق الوسطى للشبكة .
- إدارة الهوية والوصول
- عندما تفرض شبكات آي بي (توضيح) التقليدية سياسات الوصول فيما يتعلق بعناوين IP ، تحاول بيئات NAC القيام بذلك بناءً على هويات المستخدم المصادق عليها، على الأقل لمحطات المستخدم النهائية مثل أجهزة الكمبيوتر المحمولة وأجهزة الكمبيوتر المكتبية.
المفاهيم
[عدل]القبول المسبق وبعد القبول
[عدل]هناك تصميمان سائدان في NAC، بناءً على ما إذا كانت السياسات مطبقة قبل أو بعد وصول المحطات النهائية إلى الشبكة.
في الحالة الأولى ، التي تسمى قبل القبول المسبق NAC، يتم فحص المحطات النهائية قبل السماح لها على الشبكة. تتمثل إحدى حالات الاستخدام النموذجي للقبول المسبق في NAC في منع العملاء الذين لديهم توقيعات مكافحة فيروسات قديمة من التحدث إلى الخوادم الحساسة. بدلاً من ذلك، تتخذ NAC بعد القبول قرارات الإنفاذ بناءً على إجراءات المستخدم، بعد أن يتم تزويد هؤلاء المستخدمين بإمكانية الوصول إلى الشبكة
وكيل مقابل وكيل
[عدل]تتمثل الفكرة الأساسية وراء NAC في السماح للشبكة باتخاذ قرارات التحكم في الوصول استنادًا إلى المعلومات الاستخبارية حول الأنظمة النهائية ، وبالتالي فإن الطريقة التي يتم بها إبلاغ الشبكة بالأنظمة النهائية هي قرار تصميم رئيسي. يتمثل أحد الاختلافات الرئيسية بين أنظمة NAC في ما إذا كانت تتطلب برنامج وكيل للإبلاغ عن خصائص النظام النهائي ، أو ما إذا كانت تستخدم تقنيات المسح وجرد الشبكة لتمييز تلك الخصائص عن بُعد.
مع نضوج NAC، تبنى مطورو البرامج مثل مايكروسوفت هذا النهج ، مما يوفر وكيل حماية الوصول إلى الشبكة (NAP) كجزء من إصدارات ويندوز 7 وويندوز فيستاو ويندوز إكس بي. هناك أيضًا وكلاء متوافقون مع NAP لنظامي لينكس ماك أو إس يوفرون ذكاءً متساوياً لأنظمة التشغيل هذه.
خارج النطاق مقابل مضمنة
[عدل]في بعض الأنظمة خارج النطاق، يتم توزيع الوكلاء على المحطات الطرفية وإبلاغ المعلومات إلى وحدة التحكم المركزية، والتي بدورها يمكنها التحكم في المفاتيح لفرض السياسة. على النقيض من ذلك، يمكن أن تكون الحلول المضمنة حلولًا أحادية الصندوق تعمل كجدران حماية داخلية لشبكات طبقة الوصول وتفرض السياسة.
تتميز الحلول خارج النطاق بميزة إعادة استخدام البنية التحتية الحالية ؛ يمكن أن تكون المنتجات المضمنة أسهل في النشر على الشبكات الجديدة، وقد توفر إمكانات أكثر تقدمًا لفرض الشبكة ط، لأنها تتحكم بشكل مباشر في الحزم الفردية على السلك. ومع ذلك، هناك منتجات بدون وكيل، وتتمتع بالمزايا الكامنة في النشر خارج النطاق بشكل أسهل وأقل خطورة، ولكنها تستخدم تقنيات لتوفير فعالية مضمنة للأجهزة غير المتوافقة، حيث يكون التنفيذ مطلوبًا.
العلاج والحجر الصحي والبوابات الأسيرة
[عدل]ينشر مشغلو الشبكات منتجات NAC مع توقع أن بعض العملاء الشرعيين سيتم رفض وصولهم إلى الشبكة (إذا لم يكن لدى المستخدمين مستويات تصحيح قديمة ، فلن يكون NAC ضروريًا). ولهذا السبب، تتطلب حلول NAC آلية لمعالجة مشاكل المستخدم النهائي التي تمنعه من الوصول.
استراتيجيتان شائعتان للعلاج هما شبكات الحجر الصحي والبوابات المقيدة:
- الحجر الزراعي
- شبكة العزل هي شبكة IP مقيدة توفر للمستخدمين وصولاً موجهًا فقط إلى مضيفين وتطبيقات معينة. غالبًا ما يتم تنفيذ الحجر الصحي من حيث تخصيص VLAN؛ عندما يقرر أحد منتجات NAC أن المستخدم النهائي قديم، يتم تعيين منفذ التبديل الخاص به إلى شبكة محلية ظاهرية (VLAN) يتم توجيهها فقط إلى خوادم التصحيح والتحديث، وليس إلى بقية الشبكة. تستخدم الحلول الأخرى تقنيات إدارة العناوين (مثل بروتوكول تحليل العنوان (ARP) أو بروتوكول اكتشاف الجوار (NDP)) للعزل، وتجنب الحمل الزائد لإدارة شبكات VLAN المعزولة.
- بوابات أسيرة
- تعترض البوابة المقيدة وصول بروتوكول نقل النص الفائق إلى صفحات الويب، وتعيد توجيه المستخدمين إلى تطبيق ويب يوفر إرشادات وأدوات لتحديث أجهزة الكمبيوتر الخاصة بهم. إلى أن يجتاز جهاز الكمبيوتر الخاص بهم الفحص الآلي، لا يُسمح بأي استخدام للشبكة إلى جانب البوابة المقيدة. هذا مشابه للطريقة التي يعمل بها الوصول اللاسلكي المدفوع في نقاط الوصول العامة.
- تسمح البوابات المقيدة الخارجية للمؤسسات بإلغاء تحميل وحدات التحكم اللاسلكية والمحولات من بوابات الويب المضيفة. بوابة خارجية واحدة يستضيفها جهاز NAC للمصادقة اللاسلكية والسلكية تلغي الحاجة إلى إنشاء بوابات متعددة، وتدمج عمليات إدارة السياسة.
موبايل NAC
[عدل]ينطوي استخدام NAC في النشر المحمول، حيث يتصل العمال عبر شبكات لاسلكية مختلفة طوال يوم العمل، على تحديات غير موجودة في بيئة شبكة محلية سلكية.[4]
عندما يُمنع المستخدم من الوصول بسبب مخاوف أمنية ، يُفقد الاستخدام المثمر للجهاز، مما قد يؤثر على القدرة على إكمال مهمة أو خدمة عميل.
بالإضافة إلى ذلك، قد تستغرق المعالجة التلقائية التي تستغرق ثوانٍ فقط على اتصال سلكي دقائق عبر اتصال بيانات لاسلكي أبطأ، مما يؤدي إلى تعثر الجهاز.
يمنح حل NAC المحمول لمسؤولي النظام تحكمًا أكبر في ما إذا كان سيتم معالجة القلق الأمني ومتى وكيف.[5]
مصدر قلق منخفض الدرجة مثل عفا عليه الزمنقد تؤدي توقيعات مكافحة الفيروسات إلى تحذير بسيط للمستخدم، بينما قد تؤدي المشكلات الأكثر خطورة إلى عزل الجهاز. قد يتم تعيين السياسات بحيث يتم حجب العلاج الآلي، مثل دفع وتطبيق تصحيحات الأمان والتحديثات، حتى يتم توصيل الجهاز عبر شبكة واي فاي أو اتصال أسرع، أو بعد ساعات العمل.
يتيح ذلك للمسؤولين تحقيق التوازن الأنسب بين الحاجة إلى الأمن وهدف الحفاظ على إنتاجية العمال.[6]
المراجع
[عدل]- ^ "IEEE 802.1: 802.1X-REV - Revision of 802.1X-2004 - Port Based Network Access Control". www.ieee802.org. مؤرشف من الأصل في 2022-01-19. اطلع عليه بتاريخ 2022-05-23.
- ^ "البرنامج التعليمي: التحكم في الوصول إلى الشبكة (NAC)". مؤرشف من الأصل في 2015-11-28.
- ^ Matias، Jon؛ Garay، Jokin؛ Mendiola، Alaitz؛ Toledo، Nerea؛ Jacob، Eduardo (2014-09). "FlowNAC: Flow-based Network Access Control". 2014 Third European Workshop on Software Defined Networks: 79–84. DOI:10.1109/EWSDN.2014.39. مؤرشف من الأصل في 18 مارس 2022.
{{استشهاد بدورية محكمة}}
: تحقق من التاريخ في:|تاريخ=
(مساعدة) - ^ "Wayback Machine" (PDF). web.archive.org. مؤرشف من الأصل في 2011-10-05. اطلع عليه بتاريخ 2022-05-23.
{{استشهاد ويب}}
: صيانة الاستشهاد: BOT: original URL status unknown (link) - ^ "وحدة التحكم في الوصول إلى الشبكة"". مؤرشف من الأصل في 2011-11-30.
- ^ "White Paper: Mobile Network Access Control: Extending Corporate". web.archive.org. 14 مارس 2012. مؤرشف من الأصل في 2012-03-14. اطلع عليه بتاريخ 2022-05-23.
{{استشهاد ويب}}
: صيانة الاستشهاد: BOT: original URL status unknown (link)