rt nac v4

Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444

Moshav Bnei Tzion P.O.Box 151, 60910 Israel

Tel: (972)-9-7907000 Fax: ( 972)-9-7442444

עגול-סיכום מפגש שולחן

Network Access Control

שחר גייגר מאור: מנחה המפגש



Tel: (972)-9-7907000 Fax: ( 972)-9-7442444

תוכן העניינים

3 .................................................................................................... מנהלים תקציר 3 ................................................................ המשתתפים הארגונים בקרב המצב תמונת 802.1x ........................................................... 7 סטנדרט מבוססת אותנטיקצייה יישום

NAC ........................................................................................... 8 בפרוייקט הצורך 9 ....................................................................................................... פתרונות סוגי

9 ................................................................................. במפגש לנאמר ספקים תגובתBynet ......................................................................................................... 9

Enterasys ................................................................................................ 10

Matrix ...................................................................................................... 11

Ness ........................................................................................................ 12

Symantec ................................................................................................ 12

:הערה חשובהסיכום המפגש והדברים המובאים בו מהווים תמונת מצב טובה לגבי הנעשה בארגונים

פ התרשמות המנחה ואינם מתיימרים לתאר את "שהשתתפו במפגש בנקודת זמן מסויימת ע .מחקר או להמליץ על חברה זו או אחרת, לשרת כסקר, המצב בשוק כולו בצורה מאוזנת

התוכן . למעט עריכה סמנטית בלבד, התייחסות הספקים והיצרנים לסיכום מצוטטים כלשונם.STKIיצרן ואינו מהווה את דעתה של חברת \המובא בהם הוא על אחריות הספק



Tel: (972)-9-7907000 Fax: ( 972)-9-7442444

מנהלים תקציר

חלק מהמשתתפים הם . ארגונים גדולים במשק13במפגש השתתפו נציגי

חלקם מנהלי אבטחת מידע או מנהלים ברמות , מנהלי תקשורת בארגון שלהם . שונות בארגונם

כאשר , NACרוב המשתתפים נמצאים בשלבי בחינה של חלופות לפתרונות . בתנאי מעבדהPOCקריאת חומר או , בחינת החלופות נעשית ברמת מצגות

אחד המכשולים שמעכבים יישום פיתרון כזה או אחר הוא העדר תקן מגובש בפריסה כזו או NACבחלק מהארגונים יושמו פתרונות . בעולםNACלתחום ה

ברוב הארגונים לא הוטמע פיתרון מקצה לקצה עבור כל אוכלוסיות , אחרת .הארגון

מראה כי בקרב המשתתפים שכן ביצעו NACתפיסת הקונספט שנקרא מהלכים שונים בכיוון יישום פיתרון לא תמיד יש הסכמה לגבי משמעות הביטוי

שאינן מתנגשות )קיימות שתי גישות עיקריות . והצורך שפיתרון זה צריך למלא : (בהכרח אחת בשנייה

1. NAC הינו חלק מחבילת פתרונות קצה של יצרן גדול ומוכר שצריכה להשתלב בחירת ספק הפיתרון . SIM\SOCאנטי וירוס ומערכות , EPSבמודולים אחרים כמו

נגזרת של הסכמים ארגוניים והמצאות פתרונות אחרים של אותו יצרן , לכן, תהיה . ואבטחת המידע בכל ארגוןLANבסביבת תשתית ה

2. NAC הוא במהותו access control והוא צריך להשאר ב layer 2 , כלומר ברמתלפי גישה זו פתרונות נישה שמטפלים בבקרת כניסה בלבד נותנים מענה . הרשתNACתכונות נוספות כמו . מספקself remediation אינן הכרחיות ויכולות במצבים

.מסויימים להעמיס מאוד על תחנות הקצה

ניתן לראות רק בארגון אחד בפורום ולא 802.1xיישום אותנטיקצייה מבוססת . ארגון זה מדווח על חבלי לידה קשים בדרך. עבור כל אוכלוסיית המשתמשים

, חלק מהארגונים האחרים שנשאלו על נושא זה העידו כי מחיר היישוםוהקושי שבו דוחק או (בעיקר מצד אנשי התקשורת)התנגדויות פנימיות בארגון

באחד המקרים העיד אחד המשתתפים כי רק רגולציה . לעדיפות נמוכה יחסית. תוכל לכפות אליהם ליישם פיתרון מהסוג הזה

תמונת המצב בקרב הארגונים המשתתפים

הם נמצאים במהלך שדרוג של ה . באחד הארגונים בדקו כמה פתרונות

Symantec וחשבו אולי בכיוון של פיתרון ה 11 אנטי וירוס לגרסה NAC של Symantec . בדקו קצת את האופציה של שימוש בכליMicrosoft לשם מתן

. אך הם עדיין מתלבטים, NACפיתרון , Insightixבארגון אחר הייתה בדיקה ברמת המצגות של מספר פתרונות כמו

PortNox ,SWAT ,Symantecבארגון . ואחרים ללא התמקדות במוצר מסויים



Tel: (972)-9-7907000 Fax: ( 972)-9-7442444

אבל זה לא מחייב מבחינתם עבודה עם Nortel מבוססת LANזה תשתית ה מבין . הם מחפשים פיתרון שיהווה פיתרון תשתיתי. Nortel של NACפיתרון ה

אבל לא מה שיעשה , הוא מוצר מלווה מעולהInsightixהפתרונות שבחנו ה מדובר במוצר תוכנה מאוד מעניין אבל לא PortNoxממה שראו מ . NACאת ה

. כחומרהNACבשל וחסר לו השילוב של כחלק מהשלמת חבילת האנטי וירוס הם בחנו : בחינת פתרונות חומרתיים .Symantecבינתיים את הפיתרון של

בפועל הם ". NACשנת ה "באחד הארגונים השנה הזו הייתה אמורה להיות בשלות התקן ומורכבות בהטמעה של פיתרון -אי: נתקלו בשתי בעיות מרכזיות

NACמעבר לציפיות . לצורך בקרת תנועה של אורחים ולקוחות לתוך הרשת SWATהם ניסו את ה

צוות . ולצרכי ניהול מצאי והגיעו עם המוצר לרמת פיילוט על תחנות הקצה אחרי בחינה של McAfee של NACאבטחת המידע רכש את פיתרון ה

Symantecיש להם את קונסול הניהול של . ואחריםMcAfee( EPO- ePolicy Orchestrator) ויש להם את חבילת הEPS של McAfee , כך שהפיתרון

אם הארגון היה מבוסס באותה מידה על . התאים להם כהשלמת החבילהSymantec – יכול להיות שלא היו בוחריםMcAfee .

היא נושא ההפצה , לדעת נציג הארגון, נקודה מאוד חשובה בבחירת הפיתרון על התחנות מאוד מקשה על agentsבמקרה שכזה ריבוי . של תוכנות ועדכונים

הפריסה והניהול נוחים הרבה single agentברגע שיש פיתרון שהוא . הניהול לא יכול להמנע מלהיות מבוקר user- הוא שהNACהיתרון מבחינתו ב . יותר

המקומי על המחשב שלו adminעל ידי מנהל הרשת גם אם הוא הקשיח את ה יודע להרים ולהוריד : יש יכולות רבותMcAfeeל . (קורה הרבה אצל מפתחים)

לעדכן את האנטי וירוס כשמחשב נייד חוזר למשרד לאחר , פורטים לפי הצורך . שהיה בחוץ ועוד

. לכל התחנות של הארגוןregistry keyיש להם : זיהוי התחנות שמתחברות וזה WMI יש אותנטיקציה מול התחנה דרך clientחוץ מזה אם מדובר ב

איך מזהים מחשבים שאין . מאפשר להלבין את התחנה ולהכניסה לדומיין McAfeeיש מחשבים בארגון שאין עליהם ? EPO ואין עליהם McAfeeעליהם

. ולא יכולים להתחבר לרשת ולכן כרטיס הרשת שלהם מנוטרל עד POCהוא מקווה ליישם . נציג אחד הארגונים אינו מאמין בפתרונות נישה

עד עתה הם בדקו את . סוף השנה אצלו בבית עם אחד מהשחקנים הגדוליםCisco ,Forescout , וMirage Networks –השנה הם היו . כולם נראים טוב

במהלך בדיקה מקיפה של חלופות וכל פתרונות הנישה שהוזכרו למעלה היו מאמין במה שנאמר לאחרונה בכנסים ובמקומות אחרים שהחוכמה . אצלם

הוא לא רואה מלחמה בין התשתיות לתקשורת ואצלם . (layer 2)עוברת לרשת יהיו NACיכול להיות שחלק מפתרונות ה . קיים שיתוך פעולה מלא בין הגורמים

כמו למשל פתרונות של )ברמת הרשת וחלק יהיו ברמת תחנות העבודה Microsoft ,Trend Microמבחינתו ישנה דרישת סף ממוצר . ( או אחרים

NAC : חייב להיות פיתרון של ייצרן גדול ומוכר ברמה העולמית שיודעאבל הם עדיין , התקן בתחום מעניין אותו מאוד. להתממשק עם יצרנים אחרים



Tel: (972)-9-7907000 Fax: ( 972)-9-7442444

. יש להם מספר רשתות. לא הגיעו לבחירת פיתרון ולכן זה פחות רלוונטי כרגעהפיתרון יהיה חייב להיות . 3COM אבל יש גם Ciscoרוב התשתית מבוססות

. כי הוא רוצה למנוע מצב של גישת אורחים לרשת הפנימית, ברמת הרשת יהיה משולב גם עם NAC-בארגונו יש כוונה להטמיע פיתרון אלחוטי וה

הם עדיין צריכים לחשוב מה עושים עם התקנים שהם לא תחנות . האלחוטינקודה עקרונית אחרת . ולכך לא מצאו פיתרון (כמו מדפסות למשל)עבודה

של המוצר בתחנות (remediation)שמאוד חשובה להם היא יכולת הטיפול אין להם מספיק כוח אדם להעסיק בעדכון אנטי וירוסים על כל תחנה . הקצה

. והם מתכוונים לתת ליכולות הטיפול של המוצרים בתחנות הקצה משקל גדולהמטרה שלו היא למצוא מוצר ניהול ריכוזי שיוריד ממנו את כמת העבודה

.בתחזוקה השוטפת בתחנותב ומצאי בארגון "אחד המשתתפים מארגון גדול סיפר על פיתוח של מערכת שו

בסיסי ברמת NACאשר במסגרתה פותחה מערכת שיודעת לתת פיתרון , שלולמרות יכולות המערכת הם רוצים להתקדם למוצרי מדף . address MAC- ה

. שירחיב את המענה הניתן כיום והשנה נכנסו לעניין בצורה יותר מעמיקהלכל חלק ברשת הארגונית יש גוף : אחת הבעיות אצלם קשורה למבנה הארגון

: בארגון נבחנו מספר מוצרי נישה כמו. נדה משלו ששומר עליו'חזק עם אגPortNox ו Insightix. , אך כרגע הם הולכים לכיוון של מספר פתרונות מקיפים

מבחינתו הבעיה הגדולה היא אחרי . יותר שמתוכם יבחר במכרז מוצר אחד ? איך מתחזקים מערכת כזו ביעילות. ההטמעה

וזה NACממה שהוא יודע אין בארץ הטמעות שיכולות להוות מודל מלא ל להם יש התלבטות שנכונה תמיד לארגונים גדולים בין פיתרון . מאוד חסר

. שאופטימלי לארגון לבין מה שיהיה קל להטמעהאבטחת המידע . NACארגון ממשלתי נמצא בהליכי כתיבת מכרז לתחום ה

ולא מדובר בתחום שהולך רק NACעם ה , לדעתם, משתלבת טוב מאודמבחינתם חשוב מאוד שתהיה השלמה דרך החבילה של הפיתרון . לרשת

. אנטי וירוס וכן הלאהEPSלפתרונות אחרים של המוצר נראה להם טוב ומתאים . McAfeeהם בדקו מספר פתרונות וביניהם את

הכל עתיד : הבעיה אצלם היא אחרת. בארגוןEPOלעובדה שיש להם את ה כך שכרגע לא ברור לאיזה , Trend Microל ב "להיות מוחלף דרך מכרז חשכ

- וSymantecמלבד הפתרונות לעיל הם בדקו במעבדה את . כיוון המכרז יילךForeScout .

, self remediation, במכרז שמתבשל עולים נושאי סגירת הפורטיםcompliance ,policy awareness ,אינטגרצייה , אינטגרציה עם ציוד תקשורת

י הארגון ולא דורשים "אילו דברים ניתנים לעשייה ע, עתידיתSIMעם מערכת , Symantec ,McAfeeאת המכרז כנראה יציעו ל . פיתוח של היצרן ועוד

CheckPoint Cisco ו ForeScout . אחד המשתתפים האחרים הציע לארגוןכי לא בטוח , עתידיתSIMהזה לא לבנות על הצהרות לאינטגרציה עם מערכת

.שכל ספק יוכל לעמוד מאחורי ההבטחות הללו כדי לוודא חיבור מאושר לרשת ויש SWAT- ארגון נוסף עושה שימוש ב

SAFENDה. להגנה מפני זליגת מידע החוצה -SWAT בא לפתור בעיקר



Tel: (972)-9-7907000 Fax: ( 972)-9-7442444

כלומר כל , בעיות של שקעים חמים והטיפול בציוד מתחיל מניהול המצאי בארגוןמקבל שקע מסויים ופוליסי מסויים ממנהל הרשת , מחשב משוייך לאתר מוסיים

כל אלה מנוהלים במספר מערכות שונות שיש ביניהם אינטגרציה . כתוצאה מכך– PC אחר שהוא לא ITבמערכת שלהם יש ציוד . טובה שמאפשרת ניהול יעיל. או לפעמים קצת יותר מזהMAC addressשם ניתן לקחת לפעמים רק

בארגון יש רשתות שהן לא מוגדרות ציבוריות אבל ניתן לגשת אליהן בקלות יש להם . כך שאין סכנה לארגון, יחסית ולכן יש הפרדה מלאה בין הרשתות

אבל הם אינם מורשים לגשת לרשת PDAsמיכשור נייד כמו מחשבים ניידים או –כרגע מטפלים בנושא של גישה רנדומלית לרשת . הסטרילית של הארגון

מי אתה ומה אתה : כלומר. מנסים להבין מהי הדרך עם התקורה הנמוכה ביותרנכון להיום התקורה נמוכה כי הם לקחו . פ צורך"לפי זה לתת משאבים ע–צריך

אין –ברשתות פחות קריטיות . תהליכים שהיו מובנים בארגון כמו ניהול נכסיםיש מחשב של חדר –חדרי הישיבות . להם בקרה אלא הפרדה מהרשת הפנימית

. יש אפשרות לחבר מיחשוב מסויים ויש רשת ציבורית לצרכי מצגות, הישיבותחייבים לגייס את המנהלים לטובת הפרויקטים וזה לא : קידום הפרוייקט בארגון

צריך לתת למנהל להתנסות במצב שבו הנייד שלו יכול להפיל –עובר במצגת פ "אצלם אין מלחמה על תקציב כי המוטיבציה היא ניהול סיכונים ע. את הארגון

נציג הארגון רואה את התפקיד שלו . חישוב של כמה תעלה השבתה של הארגון. כמנהל אבטחת מידע כאחד שבא להציע חלופות ולא לפחד ממה שעלול לקרות

NAC בראיה שלו הוא חישוק הארגון ליישור קו עם מדיניות ניהול סיכונים כזו או הנציג הביא דוגמא של עובד אשר הכניס לארגון וירוס כי השתמש ב . אחרתUSBככה צריך . כתוצאה מכך העובד הושעה למחרת. למטרות שהן לא עבודה .להיות

בארגון עם נוכחות גלובלית מדובר על זה – NAC כשנת ה 2007אם דובר על הם התחילו את התהליך בתקשורת עם הרבה חששות מהתחום . כבר שנתיים

. ונבחנו אצלם במעבדה רוב הכלים שהוזכרו לעילחוץ . AC אלא יותר אכיפת EPS לכיוון של NACארגון זה לא לקח את ה

מהבעיות שהוזכרו כמו התנגדויות פנימיות ואחרות יש להם בעיות נוספות בשל אצלם החליטו לחלק את הארגון לחלקים גיאוגרפיים : היותם ארגון גלובלי

אך הכלים , כך שמדיניות אבטחת המידע אולי דומה, ותפעוליים אוטונומיים .בשימוש אינם בהכרח זהים

הבעיה שבה נתקלים בהקשר הזה היא שעל הנייר רוב המוצרים יודעים הרבה הבעיות הכי גדולות . אבל הם לא מצאו מענה לכל הדרישות שלהם, דברים

מה עושים איתו ברמת ה : הן–לא משנה הפיתרון -בתחום מבחינתם complianceואיך מסנכרנים בין מספר גופים אוטונומיים ? שרוצים לעמוד בו

משלו ואין סטנדרט אחד בכל הארגון לגבי ITבארגון כשלכל אחד יש ציוד שמגיע Y נותן שירותים ומשאבים לעובד מסניף Xכלומר איך סניף ? מדיניות

? י שונה לגמריNACאליו לארגון עם עולם הוא רוצה שהיצרנים או האינטגרטורים ייתנו לו פיתרון לבעיית ניידות עובדים

איך עובד שהגיע . יות שונות וזרותNACבתוך אותו ארגון אבל בין שתי יישויות האם צריך לבנות מספר פתרונות ? מקומי אמור לעבודagentל ללא "מחו



Tel: (972)-9-7907000 Fax: ( 972)-9-7442444

NAC ? משתתף אחר מציע לארגון זה לעבוד לפי נוהל מסודר שבו עובד אורחבמדינה מחוייב לעבור דרך הסיסטם לפני תחילת עבודה בסניף שהוא לא שלו

. רלוונטי לסניף המקומיagentולהתקין מנסיונו האישי . NACלאחד המשתתפים ניסיון קודם כאינטגרטור של פתרונות

היו מקרים שלא נצפו מראש . במעבדה הכל יכול ללכת חלק אבל בשטח לקרוסלכן צריך לקחת גם את , י הלקוח בשלבי הבדיקה במעבדה"או שלא הועלו ע

.הבדיקות הללו בעירבון מוגבלהייצור גובר וצריך –מ לפס הייצור הארגוני "אצלו בארגון בשיווי המשקל בין אב

המורכבות של הפרויקטים האלה וחוסר הבשלות של . למצוא איזון בין השנייםהפתרונות הקיימים מביאים אותו לחשוב שכדאי להישאר בתחום הזה כמה

כל . שבמקרה הזה מספק פיתרון טובSWATיש לו . ACשיותר קרוב ל במגוון הפתרונות . הפתרונות האחרים מציעים סוויטות עשירות אבל לא בשלות

הארגון . מאוד כדאיSWAT –הקיימים בשוק ותחת שיקולי עלות מול תועלת התחזוקה של הכלי . שלהם הצליח לספוג את הכלי הזה וזה מספק אותם

.מעסיקה מישהו באחוזי משרה בודדים של FWבארגון יש להם ? איך מושלם תהליך הזיהוי של המשתמשים

Foretinet שמגן על המשתמשים שלא ממש עומדים ב compliance של ה NAC (בעדכוני האנטי וירוס וכו') . הוא לא ייצא במכרזNAC כי הוא לא מאמין

הפתרונות . ניהול סיכונים ותקציב, צריך לאזן בין צרכים, לדעתו. הזהbuzzב . הנוכחיים מאוד לא מספיקים

802.1xיישום אותנטיקצייה מבוססת סטנדרט

רובם המוחלט של המשתתפים אינם מיישמים תהליכי אותנטיקצייה מבוססי

802.1xאחד . רובם גם אינם רואים יישום כזה מגיע באופק הקרוב. בארגונםזה יהיה רק דרך רגולציה – 802.1xהמשתתפים אמר כי אם אצלו בארגון יישמו

משתתף מארגון אחר אמר שבמקרה שלהם קיימת . בגלל שיקולי עלות גבוהההתנגדות גדולה להטמעת פיתרון מהסוג הזה עקב בעיות ניהול ותחזוקה

במקרה של נציג אחד הארגונים שעומדים בפני מכרז . מסובכים ומורכבים מדי כנראה לא יופיע בתור דרישת סף במסמך 802.1xפיתרון של , בתחום

.שמתגבשמשתתף אחר אמר כי הם לא רוצים להתחיל את הפרוייקט עם פיתרון של

גם בשל התנגדות של אנשי התקשורת וגם בשל 802.1xאותנטיקצייה מבוססת נציג . הם מעדיפים להגיע לזה כבר מתוך הפרוייקט. העדר תקן מסודר לנושא

כי עד כמה שהוא יודע יש כמה פתרונות שמחייבים עבודה עם , הארגון אומר802.1xוצריך לקחת את זה בחשבון .

ארגון אחר שכבר ניסה בעבר יישום של פיתרון מסויים נתקל בהרבה מאוד . עקב אי עמידה בעומס של ציוד התקשורת, בין השאר, קשיים ובעיות

באחד מהגופים האקדמיים בארץ יצאו למכרז לפני יותר משנה וחצי בתחום ה NAC . לבסוף בחרו בEnterasys לכל תקשורת ה LAN . בארגון מנסים עכשיו

כלומר סגל המרצים , על האוכלוסיה החשובה שלהם802.1xאת כל הנושא של



Tel: (972)-9-7907000 Fax: ( 972)-9-7442444

האוכלוסיה של הסטודנטים . ועוזרי המחקר ובנוסף ציוד אחר כמו מדפסותכל . כפופה למדיניות גישה קבועה שאינה משתנה ומגיעה ממש עד רמת הפורט

הפרוייקט מתייחס רק לרשת קווית כרגע וישנן תוכניות להמשך ברשת ה : לדוגמא. מאוד קשה ליישום ומהווה כאב ראש לא קטן802.1xה . האלחוטית

SP3 של Microsoft בעט החוצה את כל האותנטיקציה שכבר הוחלה נאלצו . service pack 3 את ההגדרות בעמדות הקצה שעברו GPOלתקן באמצעות

היתרון שלהם על פני גופים אחרים סביב השולחן הוא שאין להם משהו מנדטורי גם , מצד שני. ("שמחים להיות שפני ניסיונות")והם יכולים לעשות מה שרוצים

.אצלם השבתת הרשת גוררת צעקות בארגוןהכוונה המקורית . קבוצות באוכלוסייה15יש להם : מבחינת מבנה הארגון

לפי כל קבוצה על כל הקבוצות וזה לא הלך בגלל 802.1xהייתה לאכוף את ה כתוצאה מכך הם החליטו . שהמתגים הספציפיים שיש להם לא עמדו בעומס

את . במתג המרכזי בלבדlayer 3ללכת צעד אחורה ולכפות את המדיניות על משתנה לפי הקבוצות ב policyהדקויות של זיהוי כל קבוצה השאירו בינתיים ל

Active Directory .י "ע)אם המדפסת לא מאומתת : לגבי מדפסותMAC address)–למשתמשים יש צורך ב . אין לה חיבור לרשתagent ספציפי

בחיבור המשתמשים לרשת הם מקבלים זיהוי ברירת . שמתאים לכל אחד ואם הם לא עוברים אימות של המערכת הם מופנים guest policyמחדל עם

. הקבועה עובד מצויןה של האוכלוסיי802.1xאימות וזיהוי על פי . guestלבכל רגע , גם כאשר עובד עובר לעבוד מנקודה אחרת הזיהוי שלו הוא מלא

נתון ניתן לראות מי מהעובדים מחוברים כרגע לרשת והיכן על פי שם החשבון .ואו לפי שם המכונהActive Directory של המשתמש ב NACהצורך בפרוייקט

עולה בעקבות חוסר שליטה של מנהל NACבמרבית המקרים הצורך בפרוייקט

במיוחד בולטת . אבטחת המידע או מנהלי הרשת על הנעשה ברשתות בארגוןהבעיה בארגונים מבוזרים בעלי מספר רב של סניפים או כאלה שבאים במגע

.עם לקוחות חיצונייםנציג אחד הארגונים סיפר כי הצורך בפרוייקט מסוג זה עלה אצלם כי בעבר היה

היום הבעיה . צורך לרדוף אחרי מתקינים של מחשבים שהכניסו וירוסים לארגוןבעיה אחרת שנתקלו בה היא עם עובדים שמתחברים בתמימות . פחתה מאוד

בארגון זה סבלו בעבר . לרשת או מחברים התקנים ניידים ללא אישור . ממחשבים שסרקו להם את הרשת

בארגון אחר מדובר בארגון מבוזר מאוד ולכן הצורך שלהם בפיתרון כלשהו נובע בעבר . מהרצון למנוע כניסה לא מאושרת בתחנות הקצה לאחד מסניפי הארגון

היה מצב שרשת הארגון נפרצה דרך אחד הסניפים כתוצאה מפעילות אלחוטית .לא מאובטחת

בגוף ציבורי עלה בעקבות רצונם לדעת מה קורה NACהצורך בפרוייקט בגוף זה מאוד חוששים . complianceבתשתיות מבחינת העמידה ב

.שמחשבים שמתחברים לרשת לא יהיו מעודכנים



Tel: (972)-9-7907000 Fax: ( 972)-9-7442444

policy מכמה סיבות כמו NACגם בחברה מהמגזר הפרטי הלכו לכיוון enforcement או policy compliance – הם רואים בהטמעה מוצלחת של

. הזדמנות טובה לכךNACפיתרון

סוגי פתרונות

. ובליagentsעם : לשני סוגי פתרונותNACניתן לחלק את עולם פתרונות ה יש את המגבלות שלו כי מדובר במכונה שמקבלת מידע agentlessלפיתרון . מאשרת או לא מאשרת את הגישה פנימהWMIים ולפי בדיקות 'מהסוויצ

. userפיתרון זה לא יודע לטפל בתחנות זרות או כאלה ללא פתרונות מבוססי רשת ופתרונות מבוססי תחנת : חלוקה אחרת יכולה להיות

חלק מהספקים שמגיעים מאחד הכיוונים מציעים פיתרונות משלימים כדי . קצה שמגיע מכיוון ForeScoutכמו למשל , להראות שיש להם חבילה מלאה

הרשתות ומציע עכשיו פיתרון משלים ברמת תחנות הקצה או פתרונות שמגיעים מהקליינט ומראים שיש להם גם התממשקות כלשהי לרשת שבונה

. חבילה מקיפה הוא להשאיר NACלדעת חלק מהמשתתפים בדיון הפיתרון האידיאלי של

אבל לא תמיד , היצרנים הלכו והוסיפו ערך מוסף ותוספות. אותו ברמת הרשתצריך : משמעותו– NAC. יש בהן צורך ויותר מכך הן עלולות לפגוע בביצועים

.לראות מי מתחבר וזהולעומתם ישנם משתתפים סביב השולחן שחושבים שישנם ארגונים שיעדיפו

במצב . ACהכולל גם מענה לטיפול בתחנות הקצה ולא רק , לקבל פיתרון מקיףזה יש יתרון לפיתרון שמשלים פורטפוליו בתחום אבטחת המידע או הרשת מצד

במקרים אלה הסכמי רכש גדולים בארגון יכולים לקבל .ספק שכבר נוכח בארגון. משקל גדול יותר על חשבון עדיפות טכנולוגית

תגובת ספקים לנאמר במפגש

Bynet

[email protected], 972-52-5529059, 03-6459043, נתי אמסטרדם כגון )ארגונים כיום מחפשים פתרון אשר יבדוק את תחנת הקצה אשר אינה יחידת מחשב .1

. באמצעות תוכנת סריקה כלשהיMAC Addressלא על בסיס של (מדפסתאו ברמת תחנת הקצה )ארגונים מחפשים מוצרים שישלימו את המוצרים הקיימים ברשת .2

.וידעו לעבוד עם אחד מהם בצורה חלקה (או ברמה התשתית עצמה נדרש לבצע בדיקה פנימית של מגבלות NACמארגון הרוצה להיכנס להטמעת מוצר .3

האם ניתן להתקין סוכן על , 802.1Xהאם מוכנים לעבוד )קיימות לפני בדיקת הפתרונות

ל "ורק על סמך המידע הנ ('האם מבקשים לבצע אכיפה או רק בדיקה וכדו, תחנת הקצה .ניתן לבחור פתרון מתאים לארגון

mailto:[email protected]




Tel: (972)-9-7907000 Fax: ( 972)-9-7442444

NAC isn’t just Layer2 access control, it must be part of EPS.

Adding more agents is a real problem, this is why we think that Antivirus companies or Microsoft will take over.

There is a problem with devices which doesn’t have an agent, like visitors and agent less like printers, black boxes etc.

Cisco has a very good solution. The main challenges of Cisco NAC solution is its complexity and that on LAN solutions you must have Cisco switches. On the next version they will add 802.1x to NAC appliance solution, so the

solution can be implemented also on none Cisco environment.

SWAT isn’t a solution for NAC, which must include compliance admission and not just access control . It is very simple to implement but can be bypassed easily.

We believe that best NAC players today are: Symantec/McAfee Microsoft Cisco In some cases we should combine between 2 vendors.

Enterasys

[email protected], 054-6898833, 09-9503092, ליאור דרעי

שיישמנו בארץ היה תהליך ה NACאין ספק שהחלק הקשה ביותר בפרויקטי

AUTHENTICATION . מרבית הארגונים רוצים ליישםAUTHENTICATION מבוסס 802.1x אבל ביכולתינו להציע מגוון פתרונות NAC גם מבוססי web portal, MAC

ADDRESS בכדי להתמודד עם סביבת רשת תקשורת המבוססת , ועוד שילובים מיוחדים . rfc 3580על יצרנים שונים ומעורבים ועל ידי שימוש בתקנים קיימים ומוכרים כגון

ארגונים צריכים להחליט מהו התקציב שיש ברשותם או שמצדיק פתרון , בסופו של דברNAC לעצב פתרון ואין שום בעיה NACכאשר ארגון רוצה . לכל תקציב ולכל ארגון בכל גודל

יש ליישם , על גבי תחנות הקצהCLIENT באופן המחמיר ביותר ללא שימוש ב NACלממש חברת אנטרסיס . את מנגנון האכיפה והמניעה הכי קרוב לנקודת החיבור של התקן הקצה

לרזולוציה PORT בקצה וגם ברמת ה PORT שמגיעים עד לרמת ה NACמספקת פתרונות . השאלה היא שאלת התקציב ליישום שכזה. שונים מהתקן הקצהflowsשל

וגם . IPלטלפוני 802.1x באה מכוון לקוח שלנו שדרש ליישם NACמגמה חדשה בנושא על ידי אכיפת פרוטוקול פרטני של יצרן הטלפון802.1xבמקרה זה ייצרנו מנגנון השלמה ל

למצלמות NACל לגבי לקוח אחר אשר דרש ליישם "כנ, שאליו מתחבר הטלפוןPORTעל ה CCTVבארגונו .

ומרבית לקוחותינו בארץ בחרו , מבחינתינו בתאוצהNACהמגמה של יישום פרוייקטי

הקצה ללא תלות במערכות portבפתרון שלנו כדי ליישם מנגנוני זיהוי ואבטחה ברמת או תחנות עבודה IPטלפוני , CCTVמצלמות , פקסים , מדפסות )ההפעלה או התקני הקצה

: כאשר השלבים ליישום נראו כך (

[email protected]

[email protected]



Tel: (972)-9-7907000 Fax: ( 972)-9-7442444

על גבי כל מבואות הרשת ללא תלות restrictions and enforce policyהגדרת : שלב א. בהתקן הקצה ובזיהויו

activeהקמת שרת רדיוס וסינכרון לשרת , בארגוןauthenticationהגדרת שיטת ה : שלב בdirectory

מה מותר ומה אסור – בניית קבוצות עבודה וקביעת מדיניות אבטחה לכל קבוצה : שלב ג. ברמת האפליקציה ותרגומה לפרוטוקולים ותת פרוטוקולים השונים

ומתן , על גבי כל מבואות רשת הנתונים (על קבוצותיה השונות)אכיפת מדיניות זו : שלב דהרשאה לכל מבוא רשת לשנות את פרופיל ההגדרות שלו באופן אוטומטי ובהתאם לאימות

. authenticationהזיהוי כחלק מתהליך או assessment clientמבוסס)הוספת מנגנון בדיקת תקינות של התקן הקצה : שלב ה

client-less assessment ) ומימוש תהליך בידוד ותיקון עד למעבר תקינות מוצלח .כך שגם במצב שהתקן , הוספת מנגנון מעקב ובדיקה לאחר אישור גישה לרשת: שלב ו

הפרעות או איומים ולנטרלן באופן מיידי בזמן אמת ועל ידי , מחובר ועובד ניתן לאתר סטיותבידוד וניטרול : לדוגמא). מינימום הפרעה ליישומים אחרים שרצים ברקע מאותו התקן קצה

אשר פועל ללא softphoneזמנית גם -אפליקציה נגועה בווירוס בתחנת קצה שמריצה בו. (בעיה

Matrix

[email protected] , 054-4967636- כוגן לאוניד :מחולק לארבע קטגוריות עיקריות, נכון להיום, NAC-עולם ה

Edge Enforcement

In-line Enforcement

Hybrid Enforcement

Protocol Enforcement

. Edge Enforcementצריך לציין שניתן להגיע לרמת אבטחה מרבית באמצעות שיטת

.802.1Xשיטה זו מושתת על שימוש בפרוטוקול הטמעת השיטה כרוכה בקשיים יישומיים ותחזוקתיים ומייצרת חששות רבים בקרב לקוחות

. NACפוטנציאלים של . Edgeי רמות שונות אך נחותות יותר לעומת שיטת "שאר השיטות המפורטות מאופיינות ע

. שיטות אלו מאופיינות ביכולות הטמעה קלות וגמישות כוללת של פתרוןהדבר . Client Remediation היא להגיע למצב של NAC השאיפות של תאח, בנוסף לכך

.Agentlessות שימוש בסוכן המקומי וגם בשיטת עניתן לביצוע באמצ

ולא ניתן , ואילוציו אנחנו במטריקס מאמינים כי יש להתאים את הפתרון לצרכי הלקוח .להמליץ על מוצר מדף מסוים ללא ניתוח מעמיק של המצב הקיים ודרישות אבטחת המידע

נקודת האיזון האופטימאלית בין רמת כרוכה במציאתNACהצלחת פרויקט , מניסיוננו

. לבין עלויות כוללות של הטמעה ותחזוקת המערכת( לאחר היישום)אבטחת המידע הסופית

נעוצה בטבע מולטי דיסציפלינארי של NACיש לקחת בחשבון שייחודיות של פרויקטי גם מבחינת . IT משלבים כל תחומי ידע של תשתיות NACפרויקטי , במילים אחרות. הנושא

. חלוקת האחריות פרויקטים הללו מייצרים ניגודי אינטרסים פנים ארגוניים ובין מחלקתיים





Tel: (972)-9-7907000 Fax: ( 972)-9-7442444

והטמיעה ( Edgeעם יכולות ) Hybrid Enforcement-בחרה בשיטת ה, כדוגמא,מטריקס Ciscoבמסגרת הפרויקט בוצע גם מעבר מוחלט לתשתיות מיתוג של . Ciscoפתרון מבית

. ביצועים וניהוליות הכללית של הרשת, דבר שבפני עצמו שיפר את רמת אבטחת המידה– Edgeעל ידי שימוש בשיטת )בתור פתרון שמספק אבטחת מידע מקסימאלית

Enforcements ) 802.1ומבוסס על פרוטוקולx . Avenda של חברת E-Tipsחטיבת התשתיות ואינטגרציה של מטריקס מציעה מוצר

Ness

[email protected], 052-8342313, 03-5483595, משה פרבר

. הינם בגדר טכנולוגיה שעוד לא הוכיחה את עצמהEPS אשר מכילים גם NACפתרונות ה , בניית מערך יחסי גומלין בין מערכי אבטחה. הפתרונות מורכבים וקשים עד מאוד ליישום

ואף על (Windows)תקשורת ותחנות קצה הנו מוגבל לחלק יחסי של לקוחות הרשת בלבד . אלו בלבד קשה ליישום

נכון לו שיחכה לבשלות – remediation– ו EPS כולל NACלקוח שמבקש ליישם פתרון . Microsoft/Cisco/McAfeeהמוצרים מבית

תחום זה בשל , רוב לקוחותינו מוטרדים יותר מנושא גישה של מחשבים שאינם מורשים. layer2יחסית וניתן להגיע איתו להצלחות מהירות בעזרת פתרונות

הנו נכון ומהיר למימוש בשל העובדה שאינו (layer 2)מימוש פתרונות בשכבת הגישה היכולת . רכיב ברמת הרשת באשר הואכלמצריך כל תאימות מצד תחנת הקצה ומזהה

גישה חשובה יותר ללקוחותינו מאשר בדיקת תקינות רכיב / להוציא לפועל בקרת חיבור מערכי האנטי וירוס וכמו גם עדכוני התוכנה עשו כברת דרך משמעותית . אנטי וירוס לדוגמא

במידה ורכיב זר . win32בשנים האחרונות ומספקים מענה הולם לתחנות קצה מבוססות והעדכון אינם רלונטים (אנטי וירוס)כל מערכי הבדיקה – מנסה לקשור עצמו אל הרשת

!עבורו ממילא

Symantec

[email protected], 0547711902, 039180404, אשר גנחובסקי

תוך המנעות מתלות ביצרן , 802.1Xי שימוש בטכנולוגיית " הוא עNACהדרך הנכונה לבצוע

חילופיים כגון שימוש NACמתן פתרונות , חומרת המתגים והצורך לעבוד רק עם יצרן אחדבפיירוול של מערכת ההפעלה למניעת גישה לרשת או לקבלת תשדורת מתחנה שאינה

.תוך שילוב עם כלל מנגנוני ההגנה בתחנות קצה, מוכרת

כלומר יכולת Auto-Remediation היא תכונות ה NAC אחת התכונות החשובות ביותר של

הורדת והעלאת , שדרוג, ים-Patchהתקנת , תיקון עצמית של המערכת כגון עדכון אנטי וירוס Remediation אינו מאפשר ביצוע Agent-lessשימוש במערכות . שירותים או כל צורך אחר

ון שהוא כופה שימוש ו של יצרן החומרה אינו נסבל מכיAgentאיכותי בזמן אמת ושימוש ב צריך ויכול NACולכן הפתרון האמיתי ליישום . בחומרות מסויימות באתרים מסויימים

. האחראי לאבטחת המידע Agentי ה "להעשות ע

[email protected]

[email protected]

[email protected]

[email protected]



Tel: (972)-9-7907000 Fax: ( 972)-9-7442444

מקנה את האמינות והיכולות של , המשולב בתוכנת ההגנה למערכות קצהNACפתרון ה כולל אפשרות להמנעות משימוש , תוך פתרון כל החסרונות, 801.1xפרוטוקול

.ניהול מרכזי ויכולות נוספות, שאינם אסורותMACניהול כתובות , בסרטיפיקטים

אין ספק שהרחבת השימוש בתוכנת האנטי וירוס הארגונית הקיימת לתוכנת אבטחה מלאה

היא NACו , בקרת התקנים נתיקים, הקשחה, NIPS ,HIPS, לתחנות קצה כולל פיירוול. הפתרון הנכון לשימוש והטמעה

rt nac v4

Documents