Optimale netwerkbeveiliging met Clearpass van Aruba
Netwerkbeveiliging bestaat uit verschillende onderdelen. Te beginnen met de toegang. Wie mag er naar binnen en waar mag iemand komen? Authenticatie is het sleutelwoord daarin. U wilt kunnen zien waar iemand is, wat er gebeurt en snel kunnen ingrijpen. Kortom: controle en regulatie.
Detector en enforcer
U wilt uw netwerk ook beschermen tegen misconfiguraties en cyberaanvallen. Veel wordt afgehandeld op de netwerkapparatuur zelf (bijvoorbeeld loop-protection, dhcp-spoofing, bpdu-protection). Daarnaast is een specifieke detector (IDS) belangrijk. Deze detector moet gegevens kunnen uitwisselen met een enforcer zodat het betreffende apparaat automatisch geïsoleerd wordt. Idealiter wordt deze laatste functie verricht door netwerktoegangsbeveiliging. De samenwerking tussen de verschillende onderdelen behoort naadloos te zijn en uitwisseling van gegevens gebeurt door (open) standaard API-calls.
Vooral publieke ruimtes kunnen gevaar opleveren. Diverse gebruikersgroepen en voor u onbekende apparaten maken gebruik van uw netwerk. Dat vereist speciale authenticatie voor zowel het bedrade als draadloze netwerk. De context van een gebruiker of apparaat bepaalt wie waar mag komen. Deze context wordt bepaald door de identiteit van de gebruiker, het soort en type apparaat, tijdstip en de locatie.
Flexibel
U wilt flexibel zijn in uw beveiliging en compatibel zijn met diverse oplossingen van verschillende fabrikanten. Dat vereist dus een fabrikant-onafhankelijk platform.
De veiligste authenticatiemethode voor toegang tot het netwerk is gebruikmaken van 802.1X, op basis van certificaten (EAP-TLS). Deze methode vereist een PKI (Public Key Infrastructure) en geschikte supplicant (software-component) op de client.
En wat is de beste methode om onbekende apparaten, die niet door uw organisatie beheerd worden, toe te laten? Ook deze apparaten moeten een zo veilig mogelijke toegang tot het netwerk worden geboden. Vaak zijn ze niet voorzien van specifieke software om authenticatie op basis van 802.1X uit te kunnen voeren. Ze moeten dan met profiling geïdentificeerd worden en via de (minder veilige) mac-authenticatie geautoriseerd worden voor een veilige (beperkte) toegang tot het netwerk.
ClearPass
ClearPass Policy Manager (CPPM) van Aruba levert een fabrikant-onafhankelijk platform voor het realiseren van een flexibele authenticatie-oplossing. Verlagen van de IT-beheerlast door automatisering en verhoging van de inzichtelijkheid en beveiliging voor en op het netwerk vormen het uitgangspunt. Dit wordt bereikt door het combineren van de verschillende authenticatie-oplossingen die vandaag de dag in een modern netwerk aanwezig zijn.
CPPM biedt als authenticatie zowel Radius als ook TACACS+ functionaliteit. CPPM legt automatisch een database aan van apparaten die met het netwerk verbonden zijn. Deze “endpoints” worden gekwalificeerd en geprofileerd door gebruik te maken van o.a. MAC-vendors, TCP-fingerprinting, nmap-scans en netwerkgedrag (http-agent). Door samenwerking met het cloud-gebaseerde platform Clearpass Device Insight, wordt nog meer informatie van de apparaten op het netwerk verkregen, waardoor een accuraat beeld ontstaat van de aanwezige netwerkclients, van zowel bekende als onbekende apparaten.
Daarom is CPPM het beste instrument voor netwerkbeveiliging op het allerhoogste niveau.