Document toolboxDocument toolbox


Cyber Response Team


Network Access Control (NAC)

1. Wat doet NAC?

Network Access Control (NAC) is een cruciale component binnen de cybersecurity-omgeving van organisaties. De primaire functie van NAC is om een beveiligde netwerkomgeving te garanderen door alleen geautoriseerde apparaten toegang te verlenen tot netwerkbronnen. Vooraleer een apparaat toegang krijgt, evalueert NAC dit op basis van vooraf gedefinieerde veiligheidsbeleidsregels zoals systeemstatus, gebruikerstype en de locatie van het apparaat. Apparaten die niet aan de normen voldoen, kunnen worden beperkt of volledig worden geweigerd voor netwerktoegang.

2. Hoe werkt NAC?

NAC-oplossingen kunnen worden geïmplementeerd op verschillende manieren, afhankelijk van de behoeften van een organisatie. Over het algemeen werkt NAC als volgt:

  1. Identificatie: Wanneer een apparaat probeert verbinding te maken met het netwerk, identificeert het NAC-systeem het apparaat en de gebruiker.

  2. Beoordeling: Vervolgens beoordeelt het systeem het apparaat aan de hand van het beveiligingsbeleid van de organisatie. Dit kan het controleren van de antivirusstatus, systeemupdates en andere configuratie-eisen omvatten.

  3. Handhaving: Afhankelijk van de evaluatie krijgt het apparaat toegang tot het netwerk, beperkte toegang, of wordt de toegang volledig ontzegd. Apparaten die niet voldoen aan het beleid kunnen worden doorgestuurd naar een quarantaineomgeving waar ze kunnen worden bijgewerkt of gerepareerd.

  4. Continue bewaking: Zelfs nadat een apparaat is toegelaten tot het netwerk, blijft NAC het monitoren om ervoor te zorgen dat het blijft voldoen aan de veiligheidseisen.

3. Voordelen van NAC

De implementatie van NAC biedt meerdere voordelen voor organisaties:

  • Verbeterde netwerkzichtbaarheid: NAC biedt een duidelijk overzicht van alle apparaten die op het netwerk zijn aangesloten, wat essentieel is voor effectief netwerkbeheer.

  • Versterkte netwerkbeveiliging: Door strenge toegangscontroles te stellen, minimaliseert NAC het risico op ongeautoriseerde toegang en mogelijke beveiligingsinbreuken.

  • Automatisering en efficiëntie: Veel NAC-systemen bieden mogelijkheden voor automatisering die het beheer van gasttoegangen, incidentreacties en compliance audits vereenvoudigen.

4. NAC via 802.1x

Wat is 802.1X?

802.1X is een IEEE-standaard voor netwerktoegangscontrole. Het gebruikt een protocol dat bekend staat als Extensible Authentication Protocol (EAP) om het authenticatieproces tussen clients (eindapparaten), authenticators (meestal een netwerkswitch of draadloos toegangspunt) en een authenticatieserver (zoals RADIUS) te beheren.

Hoe werkt 802.1X?

Het proces van 802.1X NAC kan in drie hoofdstappen worden verdeeld:

  1. Aanvraag en Initiëring: Wanneer een apparaat probeert verbinding te maken met een netwerk, stuurt de authenticator (bijvoorbeeld een switch of toegangspunt) een EAP-Start bericht naar het apparaat, dat dan reageert met zijn identiteit.

  2. Authenticatie: De verzamelde identiteitsgegevens worden doorgestuurd naar een authenticatieserver. De server beoordeelt deze gegevens en beslist of het apparaat en de gebruiker toegestaan zijn om toegang te krijgen tot het netwerk. Dit proces kan het controleren van gebruikersnamen, wachtwoorden, digitale certificaten of andere authenticatiemethoden omvatten.

  3. Autorisatie: Na succesvolle authenticatie geeft de authenticatieserver instructies aan de authenticator om het apparaat toe te staan op het netwerk. Deze instructies kunnen bepalen tot welke delen van het netwerk het apparaat toegang heeft, afhankelijk van het beleid.

Belangrijke voorwaarden voor de implementatie van 802.1x

  1. Netwerk infrastructuur: Zorg ervoor dat alle netwerkcomponenten, zoals switches en routers, compatibel zijn met 802.1X.

  2. Authenticatieserver: Kies een robuuste server die EAP-protocollen kan ondersteunen en integreren, zoals RADIUS.

  3. Beveiligingsbeleid: Stel duidelijke beleidsregels op die definiëren wie toegang heeft tot welke netwerkresources, gebaseerd op gebruikersidentiteit en andere relevante factoren.

  4. Certificaten: Overweeg het gebruik van digitale certificaten voor een versterkte authenticatie, vooral in omgevingen waar hoge veiligheid vereist is.

5. Alternatieve oplossingen

1. MAC Address Filtering

MAC-adresfiltering is een eenvoudige vorm van netwerktoegangsbeheer waarbij de fysieke adressen (MAC-adressen) van apparaten worden gebruikt om toegang tot het netwerk te controleren. Netwerkapparaten zoals routers en switches kunnen zo geconfigureerd worden dat alleen apparaten met vooraf goedgekeurde MAC-adressen verbinding kunnen maken. Hoewel deze methode relatief eenvoudig te implementeren is, biedt het een lagere beveiliging dan 802.1x, aangezien MAC-adressen kunnen worden gespoofd of gekloond.

2. Dynamische VLAN-toewijzing

Dynamische VLAN-toewijzing is een netwerkstrategie waarbij gebruikers of apparaten dynamisch aan een specifiek VLAN (Virtual Local Area Network) worden toegewezen op basis van hun identiteit of groepslidmaatschap, zelfs zonder de implementatie van 802.1x. Dit kan worden gerealiseerd via andere vormen van authenticatie, zoals het inloggen op een netwerkserver of toepassing die vervolgens de VLAN-toewijzing bepaalt. Deze methode stelt beheerders in staat om netwerkbronnen en -toegang efficiënt te segmenteren en te beheren en biedt een aanpasbare toegangscontrole gebaseerd op gebruikersrollen of apparaattypes.

6. Referenties

https://www.fortinet.com/resources/cyberglossary/what-is-network-access-control

https://www.cisco.com/c/en/us/products/security/what-is-network-access-control-nac.html#~use-cases-for-nac

 

Dit is een document voor publiek gebruik.