Network Admission Control (NAC ) относится к версии Cisco Network Access Control, которая ограничивает доступ к сети на основе идентичности или состояния безопасности. Когда сетевое устройство (коммутатор, маршрутизатор, точка беспроводного доступа, DHCP сервер и т. Д.) Настроено для NAC, оно может принудительно выполнить аутентификацию пользователя или компьютера перед предоставлением доступа к сети. Кроме того, гостевой доступ может быть предоставлен в зону карантина для устранения любых проблем, которые могли вызвать сбой аутентификации. Это обеспечивается встроенным настраиваемым сетевым устройством, изменениями в существующем коммутаторе или маршрутизаторе или ограниченным классом DHCP. Типичное (платное) соединение WiFi - это форма NAC. Пользователь должен предоставить какие-то учетные данные (или кредитную карту), прежде чем ему будет предоставлен доступ к сети.
На начальном этапе функция Cisco Network Admission Control (NAC) позволяет маршрутизаторам Cisco применять права доступа, когда конечная точка пытается подключиться к сети. Это решение о доступе может быть основано на информации об устройстве конечной точки, например о его текущем состоянии антивируса. Состояние антивируса включает такую информацию, как версия антивирусного программного обеспечения, описания вирусов и версия ядра сканирования.
Системы управления доступом к сети позволяют отказать в доступе несоответствующим устройствам, поместить их в карантинную зону или предоставить ограниченный доступ к вычислительным ресурсам, тем самым предотвращая заражение сети небезопасными узлами.
Ключевым компонентом программы Cisco Network Admission Control является Cisco Trust Agent, который находится в системе конечных точек и взаимодействует с маршрутизаторами Cisco в сети. Cisco Trust Agent собирает информацию о состоянии безопасности, например, какое антивирусное программное обеспечение используется, и передает эту информацию маршрутизаторам Cisco. Затем информация передается на сервер Cisco Secure Access Control Server (ACS), где принимаются решения по управлению доступом. ACS предписывает маршрутизатору Cisco выполнить принудительное применение к конечной точке.
Этот продукт Cisco имеет отметку End of Life с 30 ноября 2011 г., что является терминологией Cisco для продукта, который больше не разрабатывается и не поддерживается.
Помимо аутентификации пользователя авторизация в NAC может быть основана на проверке соответствия. Эта оценка состояния - это оценка безопасности системы на основе приложений и настроек, которые использует конкретная система. Они могут включать настройки реестра Windows или наличие агентов безопасности, таких как антивирус или персональный брандмауэр. Продукты NAC различаются по своим механизмам проверки:
Большинство поставщиков NAC требуют установки соискателя 802.1x (клиента или агента). Некоторые из них, включая NetBeat NAC, Trustwave и Enterasys от Hexis, предлагают безагентную проверку состояния. Это предназначено для обработки сценария «Принесите свое собственное устройство » или «BYOD», чтобы:
Безагентный подход работает неоднородно практически во всех сетевых средах и со всеми типами сетевых устройств.