Symantec Network Access Control Komplexní zajištění shody s politikami pro přístup koncových bodů k síti

Datový list: Zabezpečení koncového bodu

Symantec™ Network Access Control Komplexní zajištění shody s politikami pro přístup koncových bodů k síti Přehled

Hlavní výhody

Symantec Network Access Control 11.0 je systémem

Organizace, které používají Symantec Network Access

pro úplné a komplexní řízení přístupu k síti, který zaručuje

Control, pozorují nejrůznější měřitelné přínosy. Mezi ně patří:

účinnou a spolehlivou kontrolu přístupu do podnikových sítí prostřednictvím integrace s existujícími síťovými infrastrukturami. Bez ohledu na způsob připojení koncových bodů

• další redukce šíření nebezpečného software, jako jsou viry, červi, spyware a jiný crimeware ve všech podobách • nižší riziko díky zvýšené kontrole koncových bodů

k síti. Symantec Network Access Control zjišťuje a vyhod-

pod vlastní nebo cizí správou, které žádají o přístup

nocuje jejich stav z hlediska shody s politikami, zajišťuje

do podnikové sítě

optimální přístup k síti, v případě potřeby zjednává nápravu a průběžně sleduje případné změny stavu shody koncových

• vyšší dostupnost sítě a nižší riziko narušení služeb pro koncové uživatele

bodů. Výsledkem je síťové prostředí, v němž lze dosáhnout

• ověřitelné informace o shodě s podnikovými politikami

významného snížení bezpečnostních incidentů a vyšší úrov-

na základě údajů o shodě získávaných od koncových

ně souladu s podnikovými bezpečnostními politikami.

bodů v reálném čase

Díky systému Symantec Network Access Control se zprovoz-

• minimální celkové provozní náklady díky architektuře

nění a správa řízení přístupu k síti stává reálným

s centralizovanou správou na úrovni odpovídající vel-

a z hlediska nákladů výhodným cílem.

kým podnikům • záruka, že zabezpečení koncových bodů v podobě anti-

Autorizace koncových bodů, nejen uživatelů V prostředí výpočetní techniky současnosti stojí organizace a síťoví administrátoři před úkolem zajistit přístup

virových programů a klientských firewallů je aktivní • bezproblémová integrace se systémem Symantec™ AntiVirus™ Advanced Endpoint Protection

k podnikovým zdrojům stále většímu počtu uživatelů. Mezi ně patří zaměstnanci v sídle firmy i na vzdálených pracoviš-

Hlavní funkce

tích, ale také hosté, smluvní partneři a jiní dočasní pracovníci. Dosud nikdy se nestalo, že by udržování integrity síťového prostředí byl tak obrovsky odpovědný úkol. Už není dále možné poskytovat nekontrolovaný přístup k síti. Díky výraznému zvýšení počtu a typů koncových bodů, které se hlásí o přístup do systémů podniků a jiných organizací, musí mít tyto organizace možnosti a prostředky k ověření nezávadnosti koncových bodů, a to před připojením

Sled činností Symantec Network Access Control

k podnikovým zdrojům i průběžně během připojení. Symantec Network Access Control pomáhá se zajištěním souladu

Proces řízení přístupu k síti

koncových bodů s politikami pro přístup k síti předtím,

Řízení přístupu k síti je proces, který se týká koncových

než jim povolí připojení k podnikovým sítím LAN, WAN,

bodů všech typů a všech druhů sítí bez rozdílu. Začíná před

VLAN nebo VPN.

připojením k síti a pokračuje po dobu trvání spojení. Jako u všech podnikových procesů slouží jako základ pro vyhodnocování a případné zásahy seznam politik.

Strana 1 z 6

Datový list: Zabezpečení koncového bodu Symantec Network Access Control

Proces řízení přístupu k síti se skládá ze čtyř kroků: 1.Vyhledání a vyhodnocení koncových bodů. Provádí se při připojení koncových bodů k síti a předtím, než mohou získat přístup ke zdrojům. Díky integraci s existující síťovou

sítě. Symantec Network Access Control umožňuje organizacím uplatňovat proces kontroly přístupu k síti na nejrůznějších počítačích a obdobných zařízeních – nacházejících se pod vlastní i cizí správou, starších i nových, známých i neznámých.

infrastrukturou a použití softwaru s inteligentními agenty si

Pro sítě všeho druhu

mohou být správci sítě jisti, že zařízení nově připojovaná

Typický podnikový uživatel se k síti připojuje více přístupovými

k síti jsou vyhodnocena podle základních požadavků politik.

metodami. Proto musí mít správci sítě dost prostoru k hodno-

2.Zajištění přístupu k síti. Úplný přístup k síti je systémům povolen až po vyhodnocení jejich shody s politikami, a to pouze skončí-li toto vyhodnocení závěrem, že se jejich konfigurace shoduje s politikou pro přístup k síti. Systémy, které s politikami nejsou v souladu, nebo které nesplňují základní bezpečnostní požadavky příslušné organizace, jsou umístěny do karantény s omezeným nebo žádným přístupem k síti. 3.Náprava stavu u koncových bodů, které nesplňují politiky. Nástroje k automatické nápravě stavu koncových bodů, které nejsou v souladu s politikami, umožňují správcům rychlé dosažení shody a následné povolení přístupu k síti. Správci mohou proces nápravy plně automatizovat, což je pro koncového uživatele zcela transparentní, nebo mohou koncovému uživateli poskytnout informace potřebné

cení shody s politikami a rozhodování o připojení k síti, a to bez ohledu na typ připojení. Symantec Network Access Control, jako jedno z nejvyspělejších, dnes dostupných řešení pro kontrolu přístupu k síti, umožňuje správcům sítě aktivně prosazovat shodu s politikami, a to s využitím existujících investic do síťové infrastruktury, aniž by bylo třeba inovovat síťové vybavení. Nezáleží na tom, zda použijete zařízení Symantec Network Access Control Enforcer, které se začleňuje přímo do sítě, řešení prosazující shodu jen na hostitelském operačním systému koncového bodu (bez nutnosti začlenění hardwarového zařízení do sítě), nebo kontrolu na vyžádání integrovanou do prostředí webových aplikací. Vždy si můžete být jisti, že koncoví uživatelé a koncové body jsou v bodě styku s podnikovou sítí ve shodě s politikou.

k manuální nápravě jím samým. Architektura Symantec Network Access Control 4.Aktivní sledování souladu s politikami. Na dodržování poli-

Symantec Network Access Control se skládá ze tří hlavních

tik je třeba dbát nepřetržitě. Proto Symantec Network Access

komponent: správa politik, hodnocení shody koncových bodů

Control aktivně sleduje (v intervalech určených správcem)

s politikou a prosazování politik v síti. Všechny tři komponenty

stav shody u všech koncových bodů. Pokud se stav shody

spolupracují jako jeden systém, aniž by k plnění všech svých

koncového bodu kdykoli změní (například dojde k neshodě),

funkcí potřebovaly externí moduly.

změní se i oprávnění koncového bodu získat přístup k síti (například dojde k odejmutí přístupu k síti a převedení do karantény).

Centralizovaná správa politik a reporting Pro efektivní provoz každého systému je klíčová řídicí konzola centrálně pokrývající celou podnikovou síť. Symantec Endpo-

Pokrytí všech koncových bodů Do sítí jsou dnes připojovány jak počítače s novými, tak i se staršími systémy, počítače smluvních partnerů, hostů, veřejné kiosky, obchodní partneři a různý počet dalších počítačů, které ani nejsou předem známy. Správci mají často malou nebo dokonce vůbec žádnou možnost kontroly mnoha těchto koncových bodů a přitom musí zajistit bezpečnost a dostupnost

Strana 2 z 6

int Protection Manager má konzolu založenou na technologii Java™. Tato konzola umožňuje centrálně vytvářet, zavádět, spravovat a zjišťovat aktivity agenta a také spravovat případná hardwarová zařízení Enforcer. Správce politik, kterého lze přizpůsobit na míru i v těch nejnáročnějších prostředích na světě, zaručuje detailní řízení všech správcovských úkolů a poskytuje přitom také architekturu zajišťující trvalou dostupnost.

Datový list: Zabezpečení koncového bodu Symantec Network Access Control

Hodnocení koncových bodů

Dodržování politik

Řízení přístupu k síti chrání síť před škodlivým software a před

Vytváření síťového prostředí probíhá u každé organizace na

neznámými nebo neoprávněnými koncovými body. Systém řízení

základě jejích specifických podmínek, a tak žádná jednostranná

přístupu k síti také ověřuje, zda koncové body připojené k síti jsou

metoda prosazování politik nedokáže sama o sobě efektivně

řádně nakonfigurovány, a tak chráněny před útoky. Proces začíná

řídit přístup do všech bodů sítě. Prostředky řízení přístupu k síti

(bez ohledu na cíl komunikace) hodnocením koncového bodu.

prostředky musí být dostatečně flexibilní, aby do existujícího

Za minimální předpoklady pro povolení přístupu k síti se obvykle

prostředí dokázaly snadno integrovat různé metody prosazování

považuje nainstalovaná ochrana proti virům, spywaru a opravné

politik, aniž by přitom došlo ke zvýšení režie správy a údržby.

záplaty. Většina organizací však brzy po instalaci systému řízení

Symantec Network Access Control umožňuje zvolit nejvhodnější

přístupu k síti toto nezbytné minimum podstatně rozšíří.

metodu prosazování přístupových politik pro různé části sítě,

Symantec Network Access Control nabízí ke zjišťování shody s politikou tři různé technologie pro hodnocení koncových bodů.

a to bez nároků na složitější provozní uspořádání nebo dodatečné náklady. Všechny síťové metody prosazování politik se dodávají buď jako vlastní software nebo jako hardwarová zařízení

• Trvale instalovaní agenti. Podnikové a jiné spravované sys-

s vlastním software, který je již předinstalován.

témy využívají ke zjištění stavu shody agenta instalovaného správcem. Ten kontroluje antivirus, antispyware a nainstalované opravné záplaty a také komplexní charakteristiky stavu systému, jako jsou položky registru, spuštěné procesy a atributy souborů. Trvale instalovaní agenti zajišťují nejhlubší, nejpřesnější a nejspolehlivější údaje o shodě systému s politikami a přitom nabízejí nejvíce možností oprav nedostatků, které byly při kontrole shody zjištěny.

• LAN Enforcer 802.1X je out-of-band proxy systém 802.1X RADIUS, který je kompatibilní s přepínači všech hlavních dodavatelů podporujících standard 802.1X. LAN Enforcer umí spolupracovat s existující architekturou správy identit AAA pro ověřování uživatelů a koncových bodů, nebo působit jako nezávislý prostředek RADIUS v prostředí, kde se vyžaduje pouze ověření shody koncového bodu. LAN Enforcer zprostředkovává přístup ke spínacímu portu na základě výsledků shody

• Kontrola na vyžádání. Pro zařízení nebo systémy, které mo-

připojených koncových bodů s platnou politikou.

mentálně nejsou pod správou síťového administrátora, se na přání dodávají agenti v Javě, kteří vyhodnotí stav koncového bodu (bez nutnosti disponovat oprávněním správce) a ověří jeho soulad s politikami. Na konci relace se tito agenti ze systému automaticky odstraní.

• DHCP Enforcer se zapojuje mezi koncové body a existující infrastrukturu služby DHCP a plní funkci DHCP proxy. Všem koncovým bodům, u nichž je právě kontrolována shoda s politikami, se přiděluje dočasná DHCP adresa, a to až do finálního ověření souladu s politikami, kdy se koncovému bodu schválí

• Zjišťování zranitelných míst na dálku. Díky metodě zjišťování zranitelných míst na dálku dostává řešení pro kontrolu a prosazování politik pro přístup k síti - Symantec Network Access

přidělení nové DHCP adresy. Integrace metody DHCP Enforcer s modulem Microsoft® DHCP Server umožňuje rychlé zprovoznění řízení přístupu k síti bez nutnosti v síti instalovat další zařízení.

Control - řadu informací o shodě či neshodě s politikami, které jsou založeny na výsledcích sledování slabých míst postrádajících patřičné opravné záplaty. Tato kontrola je nepřetržitě prováděna pomocí nástroje Symantec Network Access Control Scanner. Dálkovým sledováním se možnost sběru informací rozšiřuje i na systémy, které prozatím nepřipouštějí využití technologie agentů.

• Gateway Enforcer je in-line zařízení k prosazování politik, které se používá v bodech kontroly přístupu k síti. Zařízení řídí síťový provoz na základě shody vzdálených koncových bodů s politikami. Body kontroly přístupu do sítě mohou být v přípojných bodech na obvodu sítě, např. WAN nebo VPN, nebo v interních segmentech, které mají přístup k systémům klíčové důležitosti. Gateway Enforcer ve všech případech efektivně zajišťuje řízený

Strana 3 z 6

Datový list: Zabezpečení koncového bodu Symantec Network Access Control

přístup ke zdrojům a opravám nežádoucích stavů. • Vymáhání politik přístupu k síti cestou osobního firewallu (tato metoda je nazývána „self-enforcement“) využívá instalovaný osobní firewall, který je součástí agenta Symantec Protection, a to k lokálnímu nastavení předem připravené

řízení přístupu k síti, aniž by k tomu potřeboval externí nástroje. Zároveň však spolupracuje s jinými technologiemi pro řízení přístupu k síti a optimalizuje jejich funkce. Správci bezpečnosti se tak mohou vždy spolehnout, že mají zajištěné komplexní pokrytí a řízení bez ohledu na metodu prosazování politik.

sady pravidel firewallu podle toho, jak dopadla kontrola shody

Služby podpory

koncového bodu s politikou. To umožňuje správcům řídit pří-

Symantec nabízí širokou škálu konzultací, technických školení

stup do každé sítě obousměrně, jak do podnikové sítě, tak

a služeb, které mohou organizacím pomoci přejít na systém

i z podnikové sítě ven pro notebooky a podobná zařízení, která

Symantec Network Access Control, zprovoznit ho a naučit se

se běžně připojují střídavě k vícerým sítím.

ho optimálně spravovat. Tak budete moci využít svých investic co nejlépe. Organizacím, které chtějí zadat sledování a správu

Cisco Network Admission Control a Microsoft Network

bezpečnostních systémů externím dodavatelům, nabízíme také

Access Protection

naši vlastní službu Symantec Managed Security Services

Symantec Network Access Control zajišťuje úplné a komplexní

k zajištění nepřetržité ochrany v reálném čase.

Strana 4 z 6

Datový list: Zabezpečení koncového bodu Symantec Network Access Control

Symantec Network Access Control Scanner

Řada produktů Symantec Network Access Control

Operační systém: Symantec Network Access Control

Symantec Network Access Control Starter Edition

Dodržování zásad

• Windows 2000 Server SP4 • Windows 2003 Server SP1 Minimální výkon procesoru: Intel® Pentium® 4 1,8 GHz Minimálně 1 GB RAM

LAN 802.1

X

DHCP

X

Brána

X

X

Internet Explorer® 5.5 nebo vyšší Windows 2000

Vlastní prosazování zásad

X

X

Professional

Trvale instalovaní agenti

X

X

Kontrola na vyžádání

X

Zjišťování zranitelných míst na dálku

X

1 GB volného místa na pevném disku

Hodnocení koncových bodů

Symantec Network Access Control Enforcer řada 6100

Systémové požadavky Podpora platforem Symantec Endpoint Protection Manager

Base Appliance Option (brána, LAN a DHCP) Počet rack units 1 Rozměry 1,68“ x 17,60“ x 21,5“ Procesor 1 Intel Pentium 4 2,8 GHz Paměť 1 GB Paměťové úložiště 1 160 GB (SATA)

• Microsoft® Windows® 2003 (32 bitů a 64 bitů)

Fail Open Appliance Option (brána, LAN a DHCP)

• Microsoft Windows XP (32 bitů)

Počet rack units 1

• Microsoft Windows 2000 - SP3 a vyšší (32 bitů)

Rozměry 1,68“ x 17,60“ x 21,5“

Symantec Endpoint Protection Manager Console

Procesor 1 Intel Pentium 4 2,8 GHz

• Microsoft Vista® (32 bitů a 64 bitů)

Paměť 1 GB

• Microsoft Windows 2003 (32 bitů a 64 bitů)

Paměťové úložiště 1 160 GB (SATA)

• Microsoft Windows XP (32 bitů a 64 bitů) • Microsoft Windows 2000 - SP3 a vyšší (32 bitů) Klient Symantec Network Access Control Operační systém: • Windows 2000 Professional • Windows 2000 Server • Windows 2000 Advanced Server • Windows 2000 Datacenter Server • Windows XP Home Edition nebo Professional • Windows XP Tablet Edition • Windows Server 2003 Standard nebo Enterprise • Mac OS X 10.4 nebo vyšší

Strana 5 z 6

Microsoft DHCP Server Plug-in Option (instaluje se přímo na servery Microsoft DHCP, bez nutnosti externího zařízení DHCP Enforcer)

Datový list: Zabezpečení koncového bodu Symantec Network Access Control

Další informace Navštivte náš webový server na adrese www.symantec.com/endpoint O společnosti Symantec Společnost Symantec je světová jednička v infrastrukturním softwaru a umožňuje organizacím a spotřebitelům s jistotou využívat informační technologie v propojeném světě. Společnost pomáhá zákazníkům chránit jejich infrastrukturu, informace a interakce dodáváním softwaru a služeb, které snižují rizika v oblasti zabezpečení, dostupnosti, souladu s předpisy a výkonu. Společnost Symantec má ředitelství ve městě Cupertino v Kalifornii a pobočky v 40 zemích. Další informace jsou k dispozici na adrese www.symantec.cz. Symantec GmbH (ČR&SR) Office Park Nové Butovice - budova A Bucharova 2 158 00 Praha 5 tel.: +420 233 101 555 fax: +420 233 325 161 e-mail: [email protected] Světová centrála společnosti Symantec 20330 Stevens Creek Boulevard Cupertino, CA 95014 USA +1 (408) 517 8000 1 (800) 721 3934 www.symantec.com

Copyright © 2007 Symantec Corporation. Všechna práva vyhrazena. Symantec, logo Symantec, Symantec AntiVirus a Sygate jsou ochranné známky nebo registrované ochranné známky společnosti Symantec Corporation nebo jejích dceřiných společností v USA a dalších zemích. Ostatní názvy mohou být ochranné známky příslušných vlastníkù. Všechny informace o produktech se mohou změnit bez předchozího upozornění.

Strana 6 z 6