Så, autentiseringskontroller supplert enkelte steder av fyldigere verdig helsekontroller, vanligvis referert til som nettverk tilgangskontroll (NAC). NAC systemer gå utover å bekrefte at brukere eller maskiner er kjent, til signering av på systemets opprinnelige god helse. NAC sjekker, blant annet for å være sikker på at det er et antivirusprogram kjører, at systemet har passert en skanning og at operativsystemet har blitt brakt oppdatert. Jo flere nåværende systemer innlemme pågående atferdsanalyse, som klokker hva et system gjør gang på nettet og tar avbøtende tiltak hvis det kommer på avveie.

LAN kantsvitsj sikkerhetsfunksjoner og NAC

Forsvarsdybde krever at nettverksteam bruker kantsvitsjer som en del av sikkerhetsinfrastruktur. ACL, VLAN og autentisering danne grunnlaget for edge sikkerhet; NAC sitter oppå denne basen for å ytterligere redusere risiko. Det er vanligvis drevet av intelligens i datasenteret eller nettverkskjernen, slik som regler som er definert og formert fra et sentralt administrasjonspunkt eller kataloger av brukere som har lov til å bruke nettverket.
Les denne serien om bruk av intelligent kantsvitsjer for sikkerhet
sikkerhetsfunksjoner LAN kanten bryter: ACL; filtrere port trafficConfiguring LAN-kantsvitsjer for NAC

Men noen leverandører, for eksempel ConSentry, Napera og Fortinet, legge all intelligens, samt håndhevelse i kant enheter, noe som gjør utplassering i teorien enklere, spesielt i mindre nettverk. Men NAC krever minst deltakelse av kantsvitsjer om det virkelig kommer til å beskytte nettverket. Godkjenning for kant-tilgang er den første og viktigste hinderet at systemene må fjerne de fleste NAC installasjoner. Utover det, unnlatelse av å passere testene krever bruk av kantenhets VLAN eller port-invaliditet som kontroller på " dårlig " systemer.

Enten NAC er edge-drevet eller bare edge-håndheves, innledende helsekontroller krever barnesikret agent på endepunktet som kan bekrefte at noen programvare kjører (for eksempel et antivirus) og annen programvare er ikke ( f.eks, ulike typer spyware). I Windows verden, flere NAC løsninger bruker Microsofts Network Access Protection klient for helsesjekk. Andre levere sin egen agent.

Implementering av helsekontroller på LAN kanten

Detaljene gjennomføre helsesjekk variere dramatisk fra system til system (mer enn ACL eller til autentisering -konfigurasjoner). I ånden, ligner de ACL: Vlan-vertene klarer antivirus-sjekk isolere Vlan-gjester mislykkes antivirus-sjekk tillate avhjelpe-vlan WLAN mislykkes OS-check tillate avhjelpe-vlan

Legge til helsekontroller kan få ned forekomsten av kompromitterte maskiner som brukes på LAN. ACL og VLAN kan beskytte kant enheter fra hverandre og kan begrense omfanget av angrepene mulige mot datasenter mål, men de kan ikke se at mer subtile angrep er i gang. Legge atferdsanalyse kan gjøre selv subtile angrep synlig hvis de innebærer å gjøre noe over nettverket som en bruker normalt ikke ville gjøre.

Så, på nett med et betydelig antall av forbigående brukere (som i et selskap som gjør utstrakt bruk entreprenører, eller i et universitet) eller der det kontroll av stasjonære er minimal, kan NAC være en utmerket forholdsregel. NAC vil være mest nyttig om trådløse lokalnett og andre segmenter med midlertidige brukere eller mange bærbare datamaskiner som forlater LAN regelmessig. I en mindre organisasjon med en mer statisk brukermassen, er det nesten alltid overkill. Før man en NAC utplassering involverer lagt gear, bør alle organisasjoner utnytte det kantsvitsj sikkerheten de har tilgjengelig; og hvis de er Windows-brukere, bør de se på lur.