Network Access Control Based on Endpoint Integrity - Industry Standards and Commercial Implementations
No Thumbnail Available
URL
Journal Title
Journal ISSN
Volume Title
Elektroniikan, tietoliikenteen ja automaation tiedekunta |
Master's thesis
Unless otherwise stated, all rights belong to the author. You may download, display and print this publication for Your own personal use. Commercial use is prohibited.
Authors
Date
2010
Department
Major/Subject
Tietoverkkotekniikka
Mcode
S-38
Degree programme
Language
en
Pages
[10] + 64
Series
Abstract
Tietoturva on keskeinen osa nykyaikaista verkkosuunnittelua. Perinteisesti tietoturvaa on pyritty parantamaan käyttämällä mm. verkkojen segmentointia, palomuureja sekä erilaisia IDS/IPS-järjestelmiä. Ongelma nykypäivän organisaatioissa on yhä enemmän ja enemmän liikkuvat käyttäjät. Kannettavat tietokoneet ovat syrjäyttäneet perinteiset pöytätietokoneet, mikä tuo uusia riskejä tietoturvanäkökulmasta sillä laitteet liikkuvat suojatun yritysverkon ulkopuolelle. Käyttävät kytkevät laitteita julkiseen verkkoon lentokentällä, kahviloissa sekä hotellien aulassa. Julkisissa verkoissa koneet altistuvat helpommin hyökkäyksille. Mikäli laitteen tietoturva-asetukset eivät ole ajan tasalla tai esimerkiksi palomuuri on kytketty pois päältä, laite saattaa saada tartunnan. Siinä vaiheessa kun saastunut kone kytketään takaisin yrityksen sisäverkkoon, tartunta saattaa levitä koko verkon laajuisesti. Päätelaitteen eheyteen pohjautuva verkon pääsynvalvonta on joukko mekanismeja, joiden avulla päätelaitten tietoturva-asetukset voidaan pakottaa määritettyjen tietoturvakäytäntöjen mukaisiksi. Laitteen muodostaessa yhteyden verkkoon sille tehdään tietyt tarkistukset, joiden pohjalta päätetään sallitaanko laitteen pääsy verkkoon. Laitteet, jotka eivät vastaa tietoturvakäytäntöjä, voidaan eristää erilliseen karanteeniverkkoon, jossa laitteiden asetukset voidaan palauttaa käytäntöjen mukaisiksi esimerkiksi asentamalla uusimmat virustunnisteet.Network security is an essential part of designing today's corporate networks. Traditionally security threats have been addressed by using network segmentation, firewalls, intrusion detection systems and so forth. However, most of the networks are still vulnerable to attacks coming from inside the internal network. Users in enterprise environments are becoming increasingly mobile when desktop computers are changing to portable computers and handheld devices. From a security perspective this poses new threats. The devices are moved outside the secure corporate network and connected to insecure networks in airports, hotels, caf es, etc. Their security software that defends from malicious users might not be up to date which may expose the device to infection. When the device is connected back to the corporate environment, the whole network might become under threat. Network Access Control based on Endpoint Integrity is a set of mechanisms to enforce security policies for network devices. The idea is that network access is granted only after certain compliance checks have been passed. Non-compliant endpoints can be denied access or they can be isolated into a dedicated network segment where they can be remediated. Remediation is the process where a non-compliant node is made compliant by applying necessary changes into configurations, installing the latest virus signatures, etc.Description
Supervisor
Manner, JukkaThesis advisor
Jørgensen, Thomas G.Keywords
authentication, authorization, access control, trusted network connect