Network Access Control

Wat maak Network Access Control (NAC) zo belangrijk?

Veel organisaties focussen op het beschermen van het netwerk aan de buitenkant, maar vergeten soms dat een goeie implementatie van Network Access Control ook erg belangrijk is. De verwachting is dat het voor “hackers” minder interessant is om fysiek naar uw locatie te bewegen om het netwerk te kraken, echter gebeurd dit niet altijd enkel door hackers maar soms gewoon door medewerkers (onbewust) die eigen systemen uw bedrijfsnetwerk in brengen.
Als deze devices besmet zijn of kwaadwillende doeleinden hebben dan wil je ze niet op uw interne netwerk laten uitkomen. Hierin kan de implementatie van Network Access Control veel betekenen en voorkomen. Echter zien we vaak in de praktijk: of er word geen NAC toegepast of: de NAC implementatie laat security technisch veel te wensen over.

Als er geen NAC toegepast word kan elk apparaat fysiek het netwerk op komen door een kabel in het netwerk te prikken, vaak kan dit heel eenvoudig op locaties waar fysieke kabels richting wall outlets liggen. En vaak zien we dat de toegang tot locaties fysiek erg makkelijk te verkrijgen is. Denk hierbij ook aan bijvoorbeeld kleinere locaties die netwerk technisch gezien wel verbonden zijn uw hoofdkantoor en datacenter / cloud omgeving.

Ter illustratie:
Een kwaadwillende heeft kunnen achterhalen dat een bedrijf meerdere vestigingen internationaal verspreid heeft. De kwaadwillende weet dat een specifieke locatie onderbemand is en gaat hier op een rustige werkdag bijvoorbeeld vrijdag einde van de dag fysiek naartoe. Geeft aan dat hij of zij een afspraak heeft en word fysiek binnen gelaten. Doordat er geen NAC geïmplementeerd is kan hij of zij via de kabel op het interne netwerk komen en vanuit daar vervolgens andere systemen in het datacenter of cloud omgeving kraken of besmetten met ransomeware. Hierdoor ontstaat organisatie breed impact of data verlies.

Als NAC wel geïmplementeerd is kan dit al weer lastiger worden: immers de toegang wordt alleen verschaft als NAC het device herkent en geeft daarna pas toegang afhankelijk van het type apparaat. Ook hier geldt, bij incorrecte implementatie: lees gebruik van enkel mac addressen t.b.v. de inrichting van NAC kan een hacker potentieel een MAC adres van de client van een beheerder “spoofen”. Waardoor de NAC oplossing dit device herkent en deze in het beheerders netwerk plaatst. Resultaat: hetzelfde als de 1e illustratie, echter zat hier een extra moeilijkheid in.

Gelukkig is hiervoor een oplossing: de juiste NAC implementatie waarin wij vanuit ANT networks u ondersteunen.

Hoe werk Network Access Control

Network Access Control zorgt ervoor dat een apparaat eerst geïdentificeerd word voordat deze toegang krijgt tot het netwerk. Op basis van bepaalde attributen wordt bepaald of een apparaat te vertrouwen is en wat voor een type apparaat het is en dus in welk netwerk segment dit apparaat moet landen. In de praktijk wordt eigenlijk vaak als er überhaupt al NAC geïmplementeerd is gebruik gemaakt van enkel mac addressen om toegang te verschaffen (een attribuut wat makkelijk te spoofen is).

Daarnaast is NAC ook onderdeel van het fundament wat gelegd moet worden om toe te werken naar een software defined campus netwerk.