Takie założenia utrudniają pozyskanie uprawnień przez intruza przez skradzione hasło. Implementacja rozwiązań, które różnicują poziom dostępu, łącząc tożsamość, miejsce i sposób połączenia, nadal są rzadkością w Polsce, przez to firmowa sieć rzadko osiąga dostateczny poziom bezpieczeństwa.

Kto się łączy?

Uwierzytelnienie komputerów przy wykorzystaniu NAC zakłada instalację agenta uwierzytelniającego w systemie operacyjnym Microsoft Windows. Podczas zestawiania połączenia port jest blokowany lub przypisany do podsieci o ograniczonych uprawnieniach. Dopiero po spełnieniu wszystkich warunków (takich jak aktualność systemu, oprogramowania antywirusowego, uprawnienia użytkownika) komputer zostanie przełączony do właściwej podsieci, uzyskując dostęp do firmowych zasobów.

Zobacz również:

• Wyjaśniamy czym jest SD-WAN i jakie są zalety tego rozwiązania

W przypadku urządzeń innych niż stacje robocze z Windows i nieposiadających przeglądarki internetowej, można przeprowadzić proces uwierzytelnienia z pominięciem 802.1x, niemniej występuje wtedy opóźnienie w dostępie komputera do sieci (typowo są to trzy próby, po 30 sekund każda), zatem należy odpowiednio dostosować ustawienia DHCP. Ponadto trzeba opracować i utrzymywać bazę danych znanych adresów sprzętowych MAC. W ten sposób można sprawnie uwierzytelnić telefony IP.

Jeśli urządzenie nie ma zainstalowanego agenta, a nie można zastosować uwierzytelnienia na podstawie adresu MAC, można skorzystać z metody logowania przy pomocy przeglądarki internetowej. W ten sposób można uwierzytelnić użytkowników sieci i niezbędna jest do tego przeglądarka internetowa, ponadto użytkownik musi ręcznie wpisać login i hasło. Niemniej może być to kolejny etap, w przypadku niepowodzenia poprzednich metod.

Tekst powstał na podstawie prezentacji wygłoszonej przez Przemysława Pisarka i Adama Obszyńskiego na konferencji Cisco Forum 2011 w Zakopanem. Computerworld był patronem medialnym tej konferencji.