De dikke muren die het kasteel beschermen dat bedrijfsnetwerk heet, hebben weinig nut als het kasteelpersoneel allerlei vervelende mensen en goederen naar binnensmokkelt. Een virusscanner op de gateway kan weinig uitrichten als de mobiele kantoorwerker zijn ongepatchte en massaal geinfecteerde laptop aan het netwerk hangt. Als reactie hierop werd Network Access Control (NAC), ook bekend als Network Admission Control, ontwikkeld. NAC wordt als de heilige graal van netwerkbeveiliging gezien, omdat het een intelligente netwerk infrastructuur is die gebruikers kan identificeren, de computers die ze gebruiken kan identificeren en valideren, en ze toegang verlenen tot specifieke locaties of gegevens, gebaseerd op de identiteit van gebruiker en machine.

NAC is "big business" en inmiddels zijn er meer dan 35 aanbieders die allemaal een stukje van het IT-budget willen. De omzet van NAC producten zal in 2008 meer dan 3,9 miljard dollar bedragen, tegenover een "schamele" 323 miljoen dollar vorig jaar. Dat is een stijging van meer dan 1100%. Op dit moment is Cisco’s NAC oplossing het bekendst, gevolgd door Microsoft’s NAP en de Trusted Network Connect oplossing van de Trusted Computing Group (TCG). Cisco en Microsoft hebben elk hun eigen NAC-achtige oplossingen ontwikkeld, terwijl TCG een open-architectuur aanbiedt als alternatief voor de proprietary NAC oplossingen. Aardig detail is dat Cisco en Microsoft al sinds 2004 samenwerken, maar dat Microsoft haar producten ook compatible maakt met die van de TCG.

Bedrijven investeren inmiddels steeds meer in NAC omdat ze hopen op deze manier het netwerk schoon te maken en schoon te houden. Daarnaast biedt het de mogelijkheid om "virtuele muren" in te stellen waar fysieke grenzen niet meer bestaan of niet meer te handhaven zijn. Een verder voordeel is dat NAC verschillende beveiligingsniveaus documenteert en laat instellen. Toch is er nog altijd veel verwarring over wat NAC nu precies is.

“NAC is de meest misbruikte en verkeerd begrepen term op de enterprise security markt, maar onder al die misinformatie is het de kern van een fantastisch en nodig idee, namelijk een uitgebreid systeem om de bad guys buiten het netwerk te houden en ervoor zorgen dat de good guys compliant zijn, en alleen de dingen mogen zien waar ze toegang toe hebben” aldus analist Jeff Wilson.

Maar hoe werkt het nu?
Of je het nu network access control, network admission control, network access protection, network node validation of Trusted Network Connect noemt, het idee is eenvoudig, namelijk het verlenen van netwerktoegang op basis van host assessement, authenticatie van host en gebruiker, aanwezige patches, locatie, en zelfs het tijdstip. De controle wordt meestal uitgevoerd via een software agent op de host, maar vandaag de dag gebruiken NAC producten een breder scala aan meetpunten om te bepalen of het systeem toegang krijgt, zoals anti-virus en anti-spam status, patch levels, firewall status en policy, authenticatie, ingelogde gebruikers, toegangsmethode en locatie gebaseerd op IP-adres

In de meeste oplossingen vindt NAC plaats in vier fases: assessment, validatie, beslissing en handhaving.

Assessment: Het controleren van een host gebeurt aan de hand van verschillende mechanismes, zoals 802.1X re-authenticatie, een geplande reassessment of passieve monitoring, maar ook complexe opties zijn mogelijk. Denk aan een controle gebaseerd op activiteit van de host. Het controleren klinkt misschien eenvoudig, maar is lastig om uit te voeren. Bijna alle assessment strategieen, behalve voor externe scans en passieve monitoring, vereisen dat er geauthenticeerde toegang tot de computer is om die te controleren. Dit gaat soms via lokale administratorrechten, of via het draaien van een software agent.

Validatie: Het valideren van een machine bestaat uit twee stappen, namelijk het verzamelen en valideren van informatie. Hoe de data wordt verzameld hangt weer af van de gekozen NAC oplossing en de integratie tussen tussen de verschillende producten.

De Policy server valideert de conditie van een host gebaseerd op een vooraf ingestelde policy. Bijvoorbeeld of in het geval van een Windows machine alles patches wel geinstalleerd zijn. De Policy server neemt de informatie van de host en vergelijkt die met een lijst van verplicht aanwezige patches. Voldoet de host niet aan deze lijst, dan wordt die in quarantaine geplaatst totdat de patches wel geinstalleerd zijn.

Om te bepalen wie de gebruiker is en waar die toegang toe heeft, wordt er gekeken naar drie zaken, namelijk authenticatie, endpoint-beveiliging en informatie van de netwerkomgeving. Bij elkaar bepalen deze drie zaken wie de gebruiker is.

NAC stelt geen speciale eisen aan authenticatie, en een geode NAC oplossing gebruikt hetzelfde authenticatiesysteem als andere applicaties. Gebruik je bijvoorbeeld NAC voor een remote acces IPSec VPN tunnel, zou je voor het authenticeren van de gebruiker dezelfde authenticatie moeten gebruiken waarmee de IPSec tunnel wordt opgebracht

Endpoint-security assessment is het meest complexe gedeelte als het gaat om het instellen van NAC, maar het is ook de voornaamste redden om NAC uit te rollen. Het idee is dat de beveiliging van de laptop, desktop of server die verbinding maakt, onderdeel is van de toegangscontrole. Als bijvoorbeeld een systeem dat verbinding maakt geen zakelijke anti-virus software geinstalleerd heeft, moet de gebruiker een andere policy voor toegangscontrole krijgen dan in het geval als alles klopt en up to date is.

Het derde gedeelte wat bepaalt wie de gebruiker is, is de informatie van de netwerkomgeving. Een klein maar belangrijk deel bij het kiezen en instellen van policies in een NAC schema. Het gaat in dit geval om op welke manier men verbinding maakt, bijvoorbeeld via een draadloos netwerk of VPN, en of men zich in het gebouw of een ander land bevindt. Ook hier kan weer een aparte policy aan gekoppeld worden.

Beslissen: Als de host gecontroleerd is, wordt beslist of die toegang krijgt of niet. Dit proces is het hart van NAC. Het NAC systeem moet verschillende validatie policies toestaan die op specifieke gebruikers en systemen zijn toe te passen. Hoe meer opties het NAC systeem heeft om de gezondheid van een host te controleren en valideren, des te beter.

Handhaving: Als het beslissingsproces het hart van NAC is, is handhaving de ziel. Het soort handhaving verschilt per NAC aanbieder en is vaak ook afhankelijk van de al aanwezige netwerk infrastructuur. Grofweg zijn er echter twee manieren om NAC te handhaven. Als een client gescand is en de logingegevens gecontroleerd, kan toegang tot het netwerk op de client of door een apparaat op het netwerk worden verleend of geweigerd. Het handhaven op het netwerk is een veel populairdere methode dan het uitvoeren van NAC op de client.

Uit de praktijk

Een standaard NAC oplossing zal de volgende stappen doorlopen:

1. Authenticeer de gebruiker (ongeacht waar ze vandaan komen), meestal via logingegevens die al via de infrastructuur van het bedrijf verstrekt zijn, wat alles kan zijn van een Windows login tot een twee-factor token of biometrie.
   
2. Controleer de integriteit van de gebruiker z’n computer, bijvoorbeeld het patchniveau en configuratie van het besturingssysteem, aanwezigheid van firewall en anti-virus etc. In sommige gevallen wordt ook de "gezondheid" van het systeem gecontroleerd, bijvoorbeeld door op malware te scannen.
   
3. Vergelijk de authenticatie en integriteitscontrole met ingestelde policies, die zich in het policy storehouse bevinden, dat weer in de backend is geplaatst. Ook het apparaat dat de NAC policies handhaaft kan deze policies bevatten.
   
4. Maak een beslissing, gebaseerd op de authenticatie en integriteitscontrole waar die gebruiker toegang toe heeft. Voor de balans tussen beveiliging en gebruikersproductiviteit kan tijdens deze optie de gebruiker geweigerd worden of volledige toegang krijgen of wegens problemen in een bepaalde VLAN worden geplaatst.
   
5. De autorisatie voor het netwerk wordt doorgegeven aan het apparaat dat het verkeer van de gebruiker kan toestaan, blokkeren, in quarantaine plaatsen en manipuleren.
   
6. Het uitvoeren van taken na het verlenen van toegang, zoals het scannen van al het verkeer van toegestane clients en vergaande controle van het apparaat in real time, waarbij gezocht wordt naar nieuwe policy overtredingen of de aanwezigheid van beveiligingsrisico’s. Deze stap is niet bij alle NAC oplossingen aanwezig.

Edge control gebruikt het principe van de firewall en past dit toe aan de rand van het netwerk waar de systemen verbinding maken. Als je een LAN beschermt, wordt de individuele switch poort het NAC controle punt, meestal met 802.1X. In het geval van een VPN verbinding, is de IPSec concentrator of het SSL VPN apparaat verantwoordelijk voor het handhaven van de toegang. In een draadloze omgeving wordt de NAC rol gespeeld door het access point of draadloze switch.

In het geval van core control, kan de controle overal vanuit het netwerk worden gehandhaafd, als het zich tenminste dieper in het netwerk bevindt dan het edge apparaat. NAC kan bijvoorbeeld tussen edge switches en de core worden geplaatst, waar het authenticatie en end-point security informatie verzamelt, en dan de gevraagde toegangscontrole policy toepast.

De client control aanpak richt zich op systemen van eindgebruikers die verbinding met het netwerk maken. In dit geval wordt er meestal een zware applicatie op elk van deze systemen geinstalleerd die de NAC policies en lokale toegangscontroles handhaven, zoals het uitschakelen van de wireless toegang opties als de VPN client niet gebruikt wordt. Een endpoint dat via dit soort tools wordt beveiligd is meestal voorzien van een uitgebreide collectie beveiligingsmaatregelen zoals een persoonlijke firewall, USB "preventie" en wireless controls.

De client control aanpak mag dan vanwege kostenbesparing aantrekkelijk lijken, en eenvoudig vanuit beheer gezien, ze hebben geen overlap met de NAC oplossingen die met het netwerk geintegreerd zijn en het netwerk juist zichzelf willen laten beshermen

Conclusie
De huidige clientgebaseerde NAC oplossingen schieten tekort als het gaat om het beheer van apparaten met obscure besturingssystemen, zoals PDAs, die wel een belangrijk onderdeel van de IT-infrastructuur uitmaken. Daarnaast zijn de meeste client oplossingen die deze systemen wel ondersteunen complex, duur en vereisen de integratie van de producten van meerdere vendors

Wil NAC daarom net zo doorbreken bij het grote publiek als stateful-inspection firewalls, dan moet het aantrekkelijk geprijsd, eenvoudig te installeren en beheren en schaalbaar zijn, en een breed aantal platformen, applicaties en soorten gebruikers ondersteunen. Volgens onderzoekers hebben clientless NAC oplossingen de grootste kans om bij de mainstream ondernemingen te slagen, omdat ze eenvoudig uit te rollen zijn, geen langdurige tests vereisen en meteen het netwerk kunnen beschermen.