Ви є тут

ForeScout CounterACT for Network Access Control. Огляд системи мережевого контролю доступу нового покоління

network access control technology

Контроль доступу до мережі (NAC) являє собою спробу об'єднати Endpoint Security технології (антивірус, IPS...) та системи аутентифікації. Саме NAC, керуючись налаштованими політиками, приймає рішення про допуск до корпоративної мережі.

Як приклад, розглянемо CounterACT від ForeScout.

Чому саме CounterACT?

Згідно з дослідженням Gartner, ForeScout являється одним з лідерів (поряд з Cisco та Aruba) в напрямку Network Access Control:

Нажаль, не мав пожливості порівняти продукти трьох лідерів.

Як отримати демо-версію CounterACT?

На офіційному сайті немає можливості напряму завантажити демо-версію продукту, а форма для запиту результатів не дала. Але, звернувшись в підтримку з запитом мене направили в європейський відділ, а згодом і до дистриб'ютора в регіоні (для України це Head Technology). У Head Technology дали заповнення анкету для вендора, після цього я і отримав архів для інсталяції віртуалки та ліцензію на місяць.

Як працює CounterACT?

ForeScout CounterACT реалізовує контроль доступу до мережі нового покоління і являє собою автоматизоване управління безпекою платформи, яка дозволяє бачити, відстежувати і контролювати на всіх мережевих пристроях, для всіх операційних систем, всі програми, всіх користувачів. CounterACT проста в установці, тому що не вимагає програмного забезпечення, ні встановлення агентів, ні оновлення обладнання або зміни конфігурації.

По суті, CounterACT моніторить мережевий трафік (за допомогою SPAN порту від комутатора) та реагує на небезпеку блокуванням порта комутатора, до якого підключено ініціатора атаки. Керування мережевими пристоями відбувається за допомогою SNMP чи ComandLine. 

Установка та налаштування CounterACT

CounterACT доступний у вигляді фізичного чи віртуального пристою та має три мережевих інтерфейси:

  • management interface - керування самим пристроєм CounterACT 
  • monitor interface - отримання від SPAN порта комутатора трафік для моніторингу та аналізу
  • responce interface - реакція на шкідливу активність згідно з налаштованими політиками (наприклад, блокування порта)

Основна схема підключення:

Віртуальна машина розповсюджується у ovf форматі (VMware). Після запуску потрібно сконфігурувати мережу:

1) Configure CounterACT-6.3.X
2) Restore saved CounterACT-6.3.X configuration
3) Identify network interfaces
4) Configure keyboard layout
5) High Availability Setup
6) Turn machine off
Choice (1-6) :1

Після цього, з веб-інтерфейсу (http://<ip>/install) можемо скачати клієнта під Windows чи Linux:

І вже з програми буде доступна повна конфігурація пристрою, яка починається з візарду налаштування (Initial Setup Wizard):

Окремо важливо відмітити:

  1. налаштування домену ActiveDirectory (авторизація користувачів)
  2. налаштування комутаторів (для виконання політик блокування)
  3. налаштування каналів (зеркальний трафік для аналізу)

Після початкового налаштування, система знайде в мережі відповідні системи і видасть по них інформацію:

По доменним комп'ютерам буде більше інформації. Інші ж будуть розглядатись як гостьові.

Якщо під час початкового налаштування (Initial Setup Wizard) був пропущений якийсь крок, можна його зконфігорувати в опціях (Tools - Options):

Також, варто активувати потрібні плагіни (наприклад, Switch та Syslog):

Налаштування політик 

На вкладці Policy ми можемо редагувати існуючі та створювати нові політики - реакції на виявлену шкідливу активність:

Наприклад, ми можемо створити політику перевірки встановленого та оновленого антивірусу і відповідні реакції:

Види реакцій на політики можуть бути різноманітні. Від інформування по e-mail, до блокування на порту комутатора:


З.І. На цьому огляд системи буду завершувати. Можливо повернусь до цього продукту і опишу деякі цікаві політики чи можливі реалізації.

З.І.І. Також непогано було б порівняти можливість різних NAC продуктів.

Додати коментар

Filtered HTML

  • Адреси сторінок і електронної пошти атоматично перетворюються у посилання.
  • Дозволені теги HTML: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Рядки та параграфи відокремлюються автоматично.

Plain text

  • HTML теґи не відображаються
  • Рядки та параграфи відокремлюються автоматично.
By submitting this form, you accept the Mollom privacy policy.

Вхід

Powered by Rublin team