Chci být partnerem

Děkujeme za váš zájem...

macmon do škol

budování bezpečnosti ve specifickém prostředí

Každé odvětví má své specifické charakteristiky a požadavky. Školství je jedním z odvětví, které Network Access Control potřebuje. Když vezmeme v potaz velké množství studentů a rozmanitost (ne)spravovaných zařízení, musíme zvážit i ochranu informačních toků a studentů samotných. 

Internet k dispozici pro zařízení jako jsou smartphony, tablety nebo herní zařízení, je v dnešní době brán jako samozřejmost, avšak je nutno taková zařízení oddělit od těch, která vyžadují přístup přímo k interním zdrojům. Studenti, kteří mění, upravují a využívají svá zařízení vždy a všude, jsou mnohdy méně opatrní, pokud jde o nastavování hesel, a to nejen u vlastních zařízení.

MÁM ZÁJEM O TUTO SLUŽBU
mám zájem o tuto službu

Děkujeme za váš zájem...

Více

Řízení přístupu k síti (NAC)

Řízení přístupu k síti (NAC) je počítačové síťové řešení, které zajišťuje přístup k síti (LAN) prověřeným a důvěryhodným zařízením a uživatelům podle připravených pravidel, a naopak odepře přístup všem ostatním. Toho dosáhne pomocí standardního autentizačního protokolu 802.1x, nebo pomocí jiných prostředků využívaných výrobci NAC řešení i jejich kombinací. Další důležitou vlastností kvalitních NAC řešení je integrace s dalšími bezpečnostními systémy v síti s jejichž přispěním NAC systém automaticky izoluje již připojená důvěryhodná zařízení v případě výskytu škodlivého kódu, nebo nedostatečné vlastní ochrany (vypnutý nebo neaktuální antivirový systém, zastaralé aktualizace…). NAC, jak z názvu vyplývá, je proces který řídí přístup k síti na základě pravidel a kontrol bezpečnostních politik.

Z pohledu školy jde o poměrně dynamické síťové prostředí s různorodými potřebami:

  • aplikace pro řízení a hospodaření školy
  • podpora výuky, plány, citlivé informace o žácích …
  • výuka žáků s podporou počítačů
  • zájmové kroužky apod.

Tento seznam není úplný, ale přesto je z něj zřejmá obtížnost vtělení všech požadavků do jedné sítě provozované školou, také proto, že posláním školy je vzdělávání studentů, nikoli síťová administrace.

Seriál o technologii macmon

Krátká videa osvětlující fungování jednotlivých modulů řešení macmon.

1. Topologie – macmon moduly

2. Advanced Security – macmon moduly

3. NAC – macmon moduly

4. VLAN manager – macmon moduly

5. Guest Service – macmon moduly

6. 802.1X – macmon moduly

7. Compliance – macmon moduly

1. Topologie – macmon moduly

2. Advanced Security – macmon moduly

3. NAC – macmon moduly

4. VLAN manager – macmon moduly

5. Guest Service – macmon moduly

6. 802.1X – macmon moduly

7. Compliance – macmon moduly

Vy umíte učit, my umíme zabezpečovat sítě.

NAC - Oprávněný přístup do sítě​ je řešením na ochranu přístupů k vašim datům a zařízením před těmi, kteří je chtějí z jakéhokoliv důvodu zneužít. ​ A zneužít cizí chyby není tak těžké jak si možná myslíte…​

detailní popis

Aktivní bezpečnost sítě

Většina lidí vnímá útok z internetu jako největší bezpečnostní riziko současných sítí a posiluje ochranu před takovým útokem. A právě proto jsou úspěšné kybernetické útoky z více než 90-ti % provedeny zevnitř organizace – z lokální sítě. Lokální sítě jsou často rozsáhlé a dynamické systémy a je nesnadné zpětně zmapovat, kde jsou jaké aktivní porty, zda si uživatelé nepřidali rozbočovače pro zvýšení počtu zásuvek či pro připojení svých neautorizovaných zařízení. Současně stále více uživatelů používá bezdrátový přístup k síti, a to jak z pracovních, tak soukromých přístrojů a také z různých IoT zařízení. Je těžké dohledat, kdo a odkud se připojil, k jaké aplikaci a jaká přenesl data. Při změnách v síti zůstávají volné adresy a nepoužívané části konfigurace jsou vítaným „dárkem“ pro kybernetického útočníka, proti němuž jsme pak bezbranní a nedokážeme jej ani identifikovat.

Důsledná kontrola

= eliminace rizik

Důsledná kontrola přístupu do sítě eliminuje většinu bezpečnostních rizik a zároveň umožňuje inventarizaci zdrojů a optimalizuje výdaje na provoz sítě. Řízení přístupu podle standardu 802.1x autentizuje uživatele a na základě lokálních a globálních autorizačních pravidel provede jejich dynamické přiřazení do odpovídajících segmentů sítě (VLAN).

Monitorování

= identifikace podezřelého

Monitorováním stavu sítě identifikujeme podezřelého uživatele, kterého na dálku deaktivujeme, nebo přeřadíme do karanténní VLAN. Dojde-li k rozsáhlejšímu útoku, dokážeme přepnout síť do nouzového stavu tak, že odpojíme všechny uživatele, ale kritické aplikace stále poběží. Stejným způsobem řešíme přístup firemních Wi-Fi zařízení, nebo uživatelem používaných soukromých zařízení pro firemní účely (BYOD).

Další informace detailního popisu

NAC pro školy

Naše řešení NAC pro školy vychází z výše uvedených potřeb a nabízí vysokou míru automatizace spolu s nenáročností obsluhy. Obsahuje tyto komponenty (ve školním slovníku):

  • Prezence žáků do třídní knihy - zaznamenávání přesného času a místa připojení a odpojení každého zařízení v síti a archivování těchto událostí
  • Přísný školník (stojící u vchodu do školy a kontrolující, zda vcházejí pouze studenti, kteří v danou dobu mají výuku a stávající profesoři) - kontrolu přístupu k síti na základě napsaných pravidel
  • Vestibul (pro usazení návštěv, než si je vyzvedne zodpovědná osoba) - webový portál pro návštěvníky, kterým chce škola umožnit např. internetové připojení, ale přitom je bezpečně izolovat od vlastní školní sítě. Pro mimoškolní zájmové kroužky, rodiče apod. Řešení nabízí jak variantu, že se návštěvník sám zaregistruje, tak variantu, že mu přístup povolí pověřená osoba
  • Samostudium – možnost aby studenti (všichni nebo vybraná skupina) sami autorizovali svoje vlastní zařízení (tablety, chytré telefony), které jim škola podle předem definovaných pravidel (časových, prostorových...) umožní použít pro účely výuky, nebo zájmových kroužků. Tady, na rozdíl od „vestibulu“, je dobře známá a prověřená identita uživatele, což umožňuje rozšířit části sítě, kam se student může připojit (např. počítačová laboratoř...)
  • Dispozice školy (rozdělení objektu na patra, jednotlivé třídy, kabinety, sborovnu…) – řešení umožní v podobném duchu rozčlenit i školní síť tak, aby bylo možné dát „klíče“ od jednotlivých místností pouze autorizovaným uživatelům, aniž by to vyžadovalo zdatného administrátora. V síťařském termínu je to „segmentace sítě“, která je důležitým prostředkem pro dosažení celkové kybernetické bezpečnosti
  • Třídní učitel (který na základě informací od kolegů zajistí izolaci žáka s teplotou a zavolá rodiče) – Compliance modul komunikuje s okolními síťovými systémy a na jejich popud izoluje zařízení v síti, např. při detekci infekce antivirovým systémem a informuje o tom zodpovědnou osobu. Poté, co je tato hrozba vyřešena, připojí zařízení k síti
MÁM ZÁJEM O TUTO SLUŽBU
Řešení a jeho cíle

Řešení macmon

NAC řešení německé společnosti macmon, které pro tento projekt nabízíme má všechny zmíněné vlastnosti. Ke své činnosti využívá stávající síťovou infrastrukturu, se kterou komunikuje především prostřednictvím SNMP, ale také protokoly SSH, HTTPS, RADIUS či pomocí API.

Jedná se o plně softwarové řešení nabízené formou VA pro vmware nebo HyperV hypervizory a poskytuje tyto funkce:

  • Přehledné uživatelsky přívětivé grafické prostředí založené na webové technologii
  • Komunikace a ovládání síťových přepínačů – umožní v krátké době zmapovat síťové prvky, jejich vzájemné propojení, nakonfigurované VLAN, připojená zařízení včetně jejich MAC adres
  • Mapování a zobrazování vazby MAC – IP a DNS jméno čtením ARP tabulek z aktivních L3 prvků (směrovače, FW ..) a z DNS a DHCP serverů
  • Ověření identity uživatelů i zařízení komunikací s adresářovými službami AD, nebo LDAP
  • Ověření podrobností o připojených zařízeních prostřednictvím WMI, SNMP nebo jejich skenováním.
  • Vlastní řízení přístupu (autentizace a autorizace) na základě nakonfigurovaných pravidel ať už prostřednictvím povelování přepínačů SNMP protokolem, nebo poskytnutím služeb RADIUS serveru v případě standardního 802.1x
  • Logování všech událostí
  • Izolace připojených zařízení na základě informace z integrovaných AV systémů, systémů síťové behaviorální analýzy, DLP a SIEM systémů či systémů detekujících zranitelnosti
  • Samoobslužný portál umožňující uživatelům, podle předem připravených pravidel, identifikovat vlastní zařízení a připojit jej k síti
  • Webový portál pro hosty (captive portal), který umožní řízené připojení hostů do hostovských částí sítě včetně logování těchto událostí

 

Nabízené řešení pro školy je založené na výše popsané technologii a má tato specifika:

  • Zajištěná před implementační i po implementační podpora
  • Licencování zohledňující letní prázdniny
  • Možnost zaplacení jednorázovou platbou, nebo v měsíčních splátkách bez navýšení ceny
  • Výhodné licencování pro zařízení studentů (BYOD)
  • Řešení pro školy je přímo podporované výrobcem
  • Stránky Bezpečí do škol
Alternativa řešení

macmon BYOD – speciálně pro potřeby škol, univerzit a výzkumných institucí

Guest portál macmonu je více než vhodný ke splnění všech těchto potřeb. S jediným uživatelským jménem a heslem, nebo ještě lépe s využitím stávajícího uživatele z Active Directory, mohou studenti registrovat a spravovat svá zařízení pomocí Captive portálu macmonu. Takto je možné povolit mnoho definovatelných zařízení, přičemž každá registrace zařízení v síti je pro uživatele srozumitelná. Instituce tak mohou udržovat přehled o řízených zařízeních a spojení s uživateli bez vlastního administrativního úsilí.  

Na základě umístění může být přístup definovaný mnoha způsoby, například podle uživatele nebo skupiny – přístup pouze k internetu, pouze k vnitřní síti, obojí atd. – zatímco samotná přístupová práva jsou k dispozici tak dlouho, jak dlouho je validní uživatelský účet. Graficky přizpůsobené příslušné instituci, bez ohledu na použitou síť LAN a WLAN strukturu a hardware, vysoce flexibilní díky plně rozvinutému konceptu rolí a snadno použitelný díky automatické a dynamické sadě pravidel, macmon NAC s portálem Guest Service a BYOD je vhodný pro každou instituci. 

Kvůli komplexitě zařízení a fluktuaci uživatelů nabízí macmon licenční model upravený pro potřeby školství. Zatímco v administrativních oblastech jsou počty zařízení stálé, pro studenty je k dispozici flexibilní model licencování na základě uživatelů. Každý uživatel může provozovat několik zařízení, jednoduše s využitím jednoduchého registračního portálu. S cílem podpořit zásadní význam výzkumu a výuky, jsme počítali i s využitím studentských přístupů tak, aby cena našich EDU licencí reflektovala jejich využití. 

 

Benefity macmon NAC 

  • Kompletní přehled o celé síti, všech jejich zařízeních a spojeních
  • Žádná administrativní zátěž díky samoobslužnému portálu
  • Přiřazování definovaných pravidel, jako například internet, interní síť, oboje atd.
  • Platnost přístupu související s platností studentova uživatelského účtu
  • Speciální EDU licenční model
  • Více zařízení na uživatele
MÁM ZÁJEM O TUTO SLUŽBU
cross