Platform Architectures for Policy-Based Network Access Control

Tämä diplomityö käsittelee sääntöpohjaisen verkkoon pääsyn hallinnan (NAC) ratkaisuja arkkitehtonisesta näkökulmasta. Työssä käydään läpi Trusted Computing Groupin, Microsoft Corporationin, Juniper Networksin sekä Cisco Systemsin NAC-ratkaisuja. NAC koostuu joukosta uusia sekä jo olemassa olevia teknologioita, jotka auttavat ennalta määriteltyyn sääntökantaan perustuen hallitsemaan suojattuun verkkoon pyrkivien laitteiden tietoliikenneyhteyksiä. Käyttäjän tunnistamisen lisäksi NAC pystyy rajoittamaan verkkoon pääsyä laitekohtaisten ominaisuuksien perusteella, esimerkiksi virustunnisteisiin ja käyttöjärjestelmäpäivityksiin liittyen ja paikkaamaan tietyin rajoituksin näissä esiintyviä puutteita verkkoon pääsyn sallimiseksi. NAC on verraten uusi käsite, jolta puuttuu tarkka määritelmä. Tästä johtuen nykymarkkinoilla myydään ominaisuuksiltaan puutteellisia tuotteita NAC-nimikkeellä. Standardointi eri valmistajien NAC-komponenttien yhteentoimivuuden takaamiseksi on meneillään, minkä perusteella ratkaisut voidaan jakaa joko avoimia standardeja tai valmistajakohtaisia standardeja noudattaviksi. Esitellyt NAC-ratkaisut noudattavat standardeja joko rajoitetusti tai eivät lainkaan. Mikään läpikäydyistä ratkaisuista ei ole täydellinen NAC, mutta Juniper Networksin ratkaisu nousee niistä potentiaalisimmaksi jatkokehityksen ja -tutkimuksen kohteeksi TietoEnator Processing & Networks Oy:lle. Eräs keskeinen ongelma NAC-konseptissa on työaseman tietoverkolle toimittama mahdollisesti valheellinen tietoturvatarkistuksen tulos, minkä perusteella pääsyä osittain hallitaan. Muun muassa tähän ongelmaan ratkaisuna voisi olla jo nykytietokoneista löytyvä TPM-siru, mikä takaa tiedon oikeellisuuden ja koskemattomuuden.

This thesis discusses policy-based network access control (NAC) platforms from architectonic perspective. The paper addresses NAC solutions from Trusted Computing Group, Microsoft Corporation, Juniper Networks, and Cisco Systems. NAC consists of a set of new and already existing technologies which assist, based on a set of predefined policies, to control the network access for devices requesting it. In addition to user authentication, NAC is capable of limiting the network access based on device-specific characteristics, such as antivirus signature level and operating system patch level. The shortcomings in noncompliant devices can be fixed, although with some limitations, to meet the requirements for network access. NAC is a relatively new concept lacking a proper definition. Because of this, the products sold today on the market as “NAC” have the tendency to come short in features. There are ongoing standardization efforts to assure the interoperability between the NAC components from different vendors. NAC solutions can be categorized into two groups; open-standards based and vendor-proprietary based solutions. The solutions in this thesis have a limited or no support to open standards. None of these offers a perfect NAC, but Juniper Networks’ solution comes the closest and will be a potential target for TietoEnator Processing & Network for future research and development. One of the problems in NAC concept is that the endpoint security report provided to NAC, on which the access limitation decisions partly rely on, may be tampered. A TPM chip, for example, may become a solution for this problem of tampered information. Today’s desktops and laptops already have this chip implemented in their hardware.