Werknemers die met hun laptop regelmatig inloggen op andere netwerken, maken de it-infrastructuur van het eigen bedrijf ook kwetsbaar. De reizende laptop loopt meer risico geïnfecteerd te worden met malware dan de computer die altijd binnen de bedrijfsmuren blijft en gebruik maakt van het eigen netwerk. Het is daarom essentieel dat de besturingssystemen en antivirussoftware van deze reizende laptops altijd volledig up-to-date zijn. Virussen en trojans maken over het algemeen gebruik van zwakheden in software en besturingssystemen en daardoor zijn systemen met achterstallig onderhoud het gevoeligst voor aanvallen van malware.
In quarantaine
Gelukkig is er een oplossing voor bedrijven om dit risico te beperken. Als een laptop toegang vraagt tot het bedrijfsnetwerk, regelt Network Access Control (NAC) dat deze eerst in quarantaine wordt gezet, op een vlan (virtueel lan). Op dat moment kan geen contact worden gemaakt met de servers en systemen van het bedrijfsnetwerk. Ondertussen controleert het NAC-systeem of de computer helemaal up-to-date is.
Bedrijven kunnen in Network Access Control zelf aangeven aan welke eisen de computer moet voldoen: bijvoorbeeld dat updates wel een week mogen achterlopen, maar geen twee weken. Voldoet een gebruiker aan alle voorwaarden, dan krijgt hij toegang tot het bedrijfsnetwerk. Als een gebruiker niet aan alle eisen kan voldoen, dan regelt NAC dat de noodzakelijke updates meteen kunnen worden gedownload.
Voorwaarden
Aan het gebruik van Network Access Control zijn echter wel voorwaarden verbonden. Zo kan de controle alleen worden uitgevoerd als de gebruiker beschikt over de benodigde NAC-software (client). Het spreekt voor zich dat de meeste gastgebruikers deze software niet hebben geïnstalleerd. Wel kunnen ze deze dan downloaden, zodat de controle toch kan worden uitgevoerd.
Het komt regelmatig voor dat bedrijven NAC alleen willen toepassen om gastgebruikers te controleren. In eerste instantie is NAC echter vooral bedoeld voor de controle op eigen systemen. Het is lastig om gebruikers van buitenaf te dwingen om de benodigde software te installeren.
Daar komt nog bij dat er veel apparaten zijn die wel toegang kunnen vragen tot het bedrijfsnetwerk, maar waarbij niet de mogelijkheid bestaat om een client te installeren - zoals printers, multi-functionals en telefoons. NAC is dus niet toepasbaar op die systemen of apparaten. De controle is zelfs te omzeilen: Hoe controleer je bijvoorbeeld dat een apparaat dat is aangemeld als printer ook echt een printer is?
Pre-admission controle
Bedrijven die NAC willen gebruiken, moeten zich ook goed realiseren dat NAC een pre-admission controle is. Als een apparaat eenmaal toegang heeft tot het bedrijfsnetwerk, dan biedt NAC geen controle meer.
Ze moeten zich ook afvragen of ze de controle in een keer willen laten gelden over alle gebruikers. Voor je de controle gaat invoeren voor alle systemen binnen een bedrijf moet je zeker weten dat NAC ook echt doet wat je ervan verwacht.
Het is voor bedrijven die NAC willen toepassen belangrijk om eerst na te gaan op welke systemen en segmenten zij het willen toepassen. Zijn er systemen of segmenten waar een verhoogd risico bestaat dat problemen het netwerk binnenkomen, dan kan de NAC oplossing hier gedurende een pilot fase worden ingezet.
Conclusie
NAC is een bruikbare en effectieve tool, maar bezint eer ge begint. Voor de implementatie van NAC moeten bedrijven zich vier belangrijke vragen stellen: hoe kun je NAC toepassen, wat zijn de uitzonderingen, wat wil je ermee bereiken en welke security-toepassingen moet je nog toevoegen om daar te komen?
Hoe zinvol NAC ook is, het is geen doel op zich. Het is een middel om controle te hebben op wie toegang krijgt tot je bedrijfsnetwerk. Het biedt een grotere zekerheid dat het systeem waarmee de gebruiker verbinding maakt, geen malware of andere bedreigingen meeneemt het netwerk op.
Jan-Paul Oosterom, Security Consultant, AXIANS
Om te kunnen beoordelen moet u ingelogd zijn: