Netwerk Toegangscontrole

Vosko heeft een eigen proces ontwikkeld om succesvol bij klanten een netwerk toegangscontrole traject uit te voeren met Cisco Identity Services Engine (ISE). Netwerk toegangscontrole wordt in IT jargon ook wel bestempeld als Network Access Control (NAC).

 

Netwerk Toegangscontrole & Security

cisco-netwerk.pngNetwerk toegangscontrole voorkomt ongeautoriseerde toegang tot het netwerk voor zowel het bedrade netwerk als het draadloze. De toegangscontrole van het netwerk werkt voor zowel gebruikers als apparaten. Door netwerk toegangscontrole hebben zorgen we ervoor dat het netwerk, niet meer standaard ‘open’ staat maar op slot. Voor een draadloos netwerk is dit altijd de standaard geweest.
NAC wordt al jaren succesvol doorgevoerd op wireless netwerken maar nog niet op het bedrade netwerk. Dit heeft er grotendeels mee te maken dat ‘draagbare’ apparatuur de methode van wireless authenticatie al sinds het begin heeft ondersteund. Het was onderdeel van het fundament. Dit in tegenstelling tot het bedrade netwerk, waar we authenticatie zien als ‘een special.’ De afgelopen 5 jaar zien we dat netwerk toegangscontrole meer en meer geadopteerd wordt. De adoptie van netwerk toegangscontrole wordt versterkt door de ontwikkeling dat we ‘niet capabele devices’ toegang kunnen geven op een netwerk met behulp van toegangscontrole.

 

Netwerk Toegangscontrole & Netwerk Segmentatie

Netwerk toegangscontrole ligt in het verlengde van het automatisch segmenteren van het netwerk wat zorgt voor het compartimententeren van het netwerk. Het maken van compartimenten heeft een aantal voordelen. Bijvoorbeeld, een uitbraak van een virus resulteert NIET in een compromise van het gehele netwerk. Het compartimenteren biedt ook de mogelijkheid om een leverancier apparatuur in het netwerk te plaatsen en door hem te laten beheren zonder dat de leverancier in staat is om een verbinding te maken met de andere delen van het netwerk.

 

netwerk-segmentatie-en-toegangscontrole.png

 

Netwerk Toegangscontrole & Impact op organisatie

Netwerk toegangscontrole heeft ook impact op andere onderdelen van de infrastructuur. Hierbij kun je denken aan:

  • Impact op endpoints en user experience voor de gebruiker;
  •  Aanpassen van endpoints voor toegangscontrole (802.1x compatible);
  • Controle door Profiling van apparatuur die niet capabel is voor netwerk toegangscontrole;
  •  Inzicht (visibility) van de aangesloten apparatuur op de access laag van het netwerk.

Netwerk Toegangscontrole & Project

Het implementeren van netwerk toegangscontrole met Cisco ISE heeft, zoals we al beschreven hebben, een heel aantal raakvlakken met andere expertises. Je kunt stellen dat het impact heeft op alles wat op het netwerk wordt aangesloten. Omdat het van cruciaal belang is dat dit men, ondanks het toevoegen van een extra security laag of functionaliteit aan het netwerk, kan blijven werken over de infrastructuur, behandelen we de implementatie van de toegangscontrole als een project. De onderstaande punten beschrijven waarom het doorlopen van een gezamenlijk project noodzakelijk is:

  •  Vosko voert het Netwerk toegangscontrole traject uit niet zelfstandig uit maar doet dit in samenwerking met de klant. Vosko maakt samen met de klant een begin van een proces van inrichting wat vervolgens volledig uitgerold wordt door de beheerders van de klant.
  •  Netwerk toegangscontrole raakt niet alleen de netwerkindeling maar heeft impact op de gehele organisatie. Denk hierbij aan: Welke onderdelen vind ik op een werkplek? Moet ik de werkplek aanpassen om het geschikt te maken voor Netwerk toegangscontrole? Denk hierbij aan de volgende apparaten: computers, printers, telefonie apparatuur. Maar denk ook na over welk effect heeft het op de werknemer.
  •  Een stappenplan is ontwikkeld om draagvlak te creëren in de gehele organisatie
  •  Inventarisatie van de juiste licenties. Afhankelijk wat voor endpoints je actief hebt in het netwerk.
  • Doormiddel van interactie vorm je samen met de klant de haalbaarheid, de plateau’s en volgorde van de juiste implementatie. Oftewel de ene klant is in het begin klaar voor dot1x, de ander begint daarentegen eerst in een eenvoudigere vorm met MAB.

Netwerk toegangscontrole & Vosko’s Stappenplan!

Zoals we al beschreven heeft Vosko een eigen proces ontwikkeld om netwerk toegangscontrole te introduceren en te implementeren. De praktijk heeft ons geleerd dat dit een werkbare methodiek is om netwerk toegangscontrole succesvol uit te rollen.
We beginnen met een functionele intake waarin we een overzicht geven van de mogelijkheden met de netwerk toegangscontrole met Cisco ISE. Hierin bepalen we ook welke functionaliteit voor de klant wenselijk is om toe te passen in het netwerk en leggen dit vast in het verslag document. Hieraan vooraf moet de klant een project team hebben samengesteld die gecommitteerd zijn aan het project.

In de tweede stap, de technische intake, bespreken we de technische voorwaarden om netwerk toegangscontrole te kunnen implementeren. Denk hierbij aan de soorten van apparatuur en de bijbehorende authenticatie protocollen en methodieken. Voor deze fase dient de klant een overzicht gemaakt te hebben met de systemen die op het netwerk zijn aangesloten. Ook deze sessie of sessies en de gemaakte beslissingen leggen we vast in een verslag document.

Aan de hand van deze gegevens maken we een plan van aanpak die we vervolgens bespreken met de klant. De eventuele aanpassingen en opmerkingen verwerken we. In het plan van aanpak zit een kostenraming van de werkzaamheden en een configuratie van de Cisco ISE hardware, software en licenties van de mogelijke oplossing.