NAC — контроль доступа к сети

NAC (Network Access Control — контроль доступа к сети) — это технология, которая проверяет каждое устройство перед тем, как пустить его в корпоративную сеть, и решает, что именно ему разрешено. Подключился ноутбук к розетке или к Wi-Fi — NAC сначала выясняет, кто это, доверенное ли устройство и в порядке ли оно, и только потом выдаёт доступ: полный, ограниченный или вовсе отправляет в карантин.

Зачем это нужно

В сети без NAC действует принцип «воткнул кабель — ты в сети». Любой, кто получил физический доступ к розетке в переговорной или подобрал пароль к Wi-Fi, оказывается внутри корпоративной сети наравне с рабочими компьютерами. Личный заражённый ноутбук подрядчика, телефон гостя, неизвестное устройство в серверной — всё это получает доступ к внутренним ресурсам.

Проблема обостряется с ростом числа устройств. Кроме компьютеров в сети живут IP-телефоны, камеры видеонаблюдения, принтеры, терминалы, умные телевизоры в переговорных, элементы умного офиса. Многие из них уязвимы и обновляются редко — и каждое такое устройство без контроля становится потенциальной точкой входа.

NAC закрывает эту дыру: сеть перестаёт быть «открытой розеткой» и превращается в контролируемый периметр, где каждое подключение проверяется и каждому устройству выдаётся ровно тот доступ, который ему положен.

Как работает NAC

Аутентификация устройства и пользователя. При подключении NAC требует подтвердить личность. Классический механизм — стандарт 802.1X: коммутатор или точка доступа не пропускают трафик, пока устройство не пройдёт проверку через сервер аутентификации (RADIUS). Проверяться может пользователь (логин), сертификат устройства или MAC-адрес.

Контроль состояния (posture check). Мало знать, кто подключается — важно, в каком состоянии устройство. NAC может проверять: установлен ли антивирус и актуальны ли базы, наложены ли обновления операционной системы, включён ли диск-шифратор, корпоративное ли это устройство. Не прошёл проверку — доступ ограничивается.

Динамическая сегментация. По результатам проверки NAC помещает устройство в нужный сегмент сети (VLAN): рабочие ПК — в рабочую сеть, гостевые устройства — в изолированную гостевую, IP-камеры — в отдельный сегмент только с доступом к видеосерверу. Так компрометация одного устройства не открывает доступ ко всей сети.

Карантин и ремедиация. Устройство, не прошедшее проверку (например, без обновлений), не выбрасывается из сети, а отправляется в карантинный сегмент, откуда доступны только ресурсы для приведения в порядок — установки обновлений, антивируса. После исправления устройство получает нормальный доступ.

Видимость. NAC ведёт инвентаризацию всего, что подключается к сети: какие устройства, когда, через какой порт. Это даёт ответ на вопрос «что вообще у нас в сети» — нередко при внедрении обнаруживаются устройства, о которых никто не знал.

NAC в общей картине безопасности

NAC контролирует доступ на уровне сети — кто и что подключается к проводам и Wi-Fi. Это дополняет, но не заменяет другие рубежи. Межсетевой экран нового поколения (NGFW) фильтрует трафик между сегментами и наружу, а NAC решает, в какой сегмент устройство вообще попадёт. Для беспроводного доступа NAC естественно сочетается с корпоративным Wi-Fi (Wi-Fi Enterprise), где та же аутентификация по 802.1X используется для подключения к беспроводной сети.

Концептуально NAC — один из строительных блоков модели Zero Trust (нулевое доверие): устройство не считается доверенным только потому, что оно физически подключилось к корпоративной розетке, доступ выдаётся на основе проверки личности и состояния.

Когда NAC нужен компании

• В офисе много розеток и точек доступа, к которым физически могут подключиться посторонние (open space, переговорные, ресепшен)
• Есть гости и подрядчики, которым нужен интернет, но не доступ к внутренней сети
• В сети много разнородных устройств — IP-телефоны, камеры, принтеры, IoT, которые нужно изолировать
• Требуется выполнять требования по защите информации с разграничением доступа на сетевом уровне
• Нужна точная инвентаризация: какие устройства реально работают в сети

Для небольшого офиса на десяток сотрудников с одним коммутатором полноценный NAC может быть избыточен — там достаточно отдельной гостевой Wi-Fi-сети и базовой сегментации. Но как только сеть разрастается и в неё попадают чужие устройства, NAC становится оправданным.

Что включает наша услуга

• Аудит текущей сети: какие устройства подключаются, как организован доступ, где дыры
• Проектирование политик доступа и схемы сегментации (VLAN) под задачи компании
• Внедрение аутентификации 802.1X на коммутаторах и точках доступа, настройка сервера RADIUS
• Настройка проверки состояния устройств и карантинных сегментов
• Интеграция с корпоративным Wi-Fi и межсетевым экраном
• Сопровождение: подключение новых устройств, обработка инцидентов, контроль гостевого доступа

Связанные термины

• NGFW — межсетевой экран нового поколения — межсетевой экран, фильтрующий трафик между сегментами
• Wi-Fi enterprise — корпоративный Wi-Fi с SSO и сегментами — корпоративный Wi-Fi с аутентификацией 802.1X
• Zero Trust — модель «не доверяй, проверяй» — модель нулевого доверия, частью которой является NAC

Получить расчёт

Хотите взять под контроль доступ к сети? Начните с родительского материала — парольная политика и внедрение MFA — или сразу напишите нам: проведём аудит сети и предложим схему сегментации.