Access Guardian Overview
Introduction
Network Access Control(NAC)一直以來在Cyber Security領域中都有它的角色存在,各網通大廠也都相繼提出解決方案,當然Alcatel-Lucent Enterprise也不例外。
當時(大約十多年前),因應越來越多的Mobile移動裝置以及新型態的威脅,網路安全變得越來越難以掌控,在Alcatel-Lucent時期推出了名叫Access Guardian的security function,以user/device的identity based resource control概念提供動態、主動式的安全管控機制,而在Bring Your Own Device(BYOD)一詞出現時(約2012年),Alcatel-Lucent更整合了Aruba Networks的ClearPass Policy Manager(CPPM),強化了Access Guardian對於BYOD的管控能力。
參考Alcatel早期的technical white paper,Access Guardian的前身應該是Authentication VLANs(A-VLANs),是Alcatel早期發展CrystalSec的security framework component,當時已整合IEEE 802.1X與VLAN Mobile技術,據white paper所述,是市場上第一個authenticated port/VLAN的solution。
後來
CrystalSec也延伸到Wireless領域,與Aruba Networks共通發展,所以從那時開始Alcatel的Wireless產品線OmniAccess WLAN其實就是Aruba Networks的設備,換上Alcatel的Logo。
ALE也在2016年開始發展自己的Wireless產品線OmniAccess Stellar。
Feature
Access Guardian主要的目的是可以讓網路管理者知道誰接入了網路環境,他所接入的設備及軟體是否符合我們要求的資安規範,並且依據他的角色賦予相對應的授權,以達到最小權限原則。
| 功能 | 說明 |
|---|---|
| Authentication | 利用802.1X、MAC Address、Captive Portal搭配組合 |
| Classification | 定義User Network Porfile(UNP)的classification rule、DHCP Fingerprint、MAC/IP Range |
| Role Profile | UNP定義VLAN、QoS、ACL、SPB、VXLAN |
| Restrict/Block | 針對Authentication與Classification的結果,進行Roles apply、Re-authentication、Quarantine、Remediation、filter MAC |
而後端AAA Server可以搭配ALE OmniVista 2500 NMS,內建Unified Policy Authentication Management(UPAM),也可以使用Aruba Networks ClearPass Policy Manager(CPPM),若有Freeradius的知識基礎也可以自行架設。
References
- CrystalSec: Alcatel Information Security Framework
- 阿爾卡特與Aruba合作無線網路產品 - 電子工程專輯