Samenvatting

In dit document wordt het onderzoek naar NAC binnen de Hogeschool Utrecht beschreven. De aanleiding voor dit onderzoek komt voort uit het Strategisch ICT-beleid HU 2010-2015 van de Hogeschool Utrecht. In het Strategisch ICT-beleid HU 2010-2015 staat beschreven wat de ambities zijn van de Hogeschool Utrecht op ICT gebied. Hierin staan ook de doelstellingen van de Hogeschool Utrecht beschreven.
In de analysefase van het onderzoek naar NAC is gekeken hoe de Hogeschool Utrecht er op dit moment voorstaat ten aanzien van NAC. In de huidige situatie wordt geen gebruik gemaakt van NAC op het bekabeld netwerk. Hierdoor is het mogelijk dat iedereen gebruik kan maken van het bekabeld netwerk, zonder te authentiseren. Hierdoor is er geen zicht op wie en wat er gebruik maakt van het bekabeld netwerk van de Hogeschool Utrecht.
Op het huidige draadloos netwerk van de Hogeschool Utrecht wordt wel gebruik gemaakt van NAC. Echter is het niveau van NAC, op het draadloos netwerk, nog niet op het juiste niveau. Thread prevention en het koppelen van gebruikersnamen aan datapakketten wordt dan ook nog niet toegepast.
Om beeld te krijgen van de gewenste situatie, zijn er interviews gehouden met de manager infrabeheer, security officer, netwerk- en serverbeheerders en een aantal gebruikers van het netwerk. Tevens is er gekeken naar het strategisch ICT-beleid van de Hogeschool Utrecht. De resultaten die naar voren zijn gekomen uit de interviews en het strategisch ICT-beleid zijn gevormd tot eisen en wensen. Aan de hand van deze eisen en wensen is er gekeken naar een juiste NAC-oplossing voor de Hogeschool Utrecht.
Voor het nieuwe NAC-ontwerp is er gekozen om gebruik te maken van componenten die al in het bezit zijn van de Hogeschool Utrecht. Er is gekozen om gebruik te maken van de huidige componenten vanwege de volgende redenen:
• Met de huidige componenten is het mogelijk om het zelfde niveau te behalen als met de producten van Juniper of Cisco. Tevens zijn de componenten al reeds in productie, waardoor het implementatietraject korter zal zijn. Dit is tevens een doelstelling uit het beleid.
• In tijden van bezuinigingen moet er goed gekeken worden waar geld aan wordt uitgegeven. In het strategisch ICT-beleid wordt daarom gewezen op het zo efficiënt mogelijk om gaan met aanschaf van de middelen. Het is daarom van belang dat er eerst gekeken wordt of er al middelen aanwezig zijn, voordat er overgegaan wordt tot aanschaf van nieuwe middelen. Een belangrijk punt is dan ook om te kijken of componenten hergebruikt kunnen worden.
• Een ander belangrijk punt is dat het aanschaffen van een NAC-oplossing van Cisco of Juniper ver boven de aanbestedingsgrens van €193.000 zouden uitkomen excl. jaarlijkse support en licentiekosten. Bij Cisco gaat het hier zelfs om bedragen van €300.000 á €350.000. Terwijl bij het hergebruiken van componenten de kosten ver onder de aanbestedingengrens blijven van €193.000. Hierdoor hoeft het NAC-ontwerp niet aanbesteed te worden, waardoor een keuzevrijheid is om de componenten te selecteren.
• Het laatste punt waarom er gekozen is om geen gebruik te maken van de Cisco of Juniper oplossingen, is omdat de componenten die hergebruikt worden als in productie zijn. Hierdoor hoeven alleen de juiste koppelingen gemaakt worden. Dit zal de tijd van de implementatie van NAC verkorten.
Het nieuwe NAC-ontwerp is getest aan de hand van een pilot op de Oudenoord 370. Tevens zijn er op verschillende faculteiten diverse punten getest. Dit is gedaan om alle soorten apparatuur te testen in combinatie met het nieuwe NAC-ontwerp. Tijdens de pilot zijn er een aantal belangrijke en interessante resultaten naar voren gekomen, namelijk:
• Het mechanisme dat apparatuur authentiseert aan de hand van het MAC-adres, is gevoelig voor misbruik. Echter kan dit opgelost worden door dynamic APR inspection te configureren op het netwerk.
• Salto, het sleutelsysteem dat door de Hogeschool Utrecht wordt gebruikt, werkt niet met NAC. Omdat het om +/-20 punten gaat is het mogelijk om dit handmatig te beveiligen.
• Doordat er tijdens de pilot getest is met de thread management module van Palo Alto, kon er gekeken worden hoeveel apparaten er besmet zijn met virus en malware. Uit de test van twee weken zijn er 129 apparaten gedetecteerd die besmet zijn met virus en/of malware. Dit is veel hoger dan de huidige methode. In de huidig methode worden er gemiddeld 2 tot 3 gedetecteerd per week(dit is excl. de virusscanners die op computers van de Hogeschool Utrecht wordt gebruikt). Daarnaast is waargenomen dat hack pogingen gedaan worden op servers en computers van de Hogeschool Utrecht.
• Netwerkverkeer koppelen aan een gebruikersnaam is in het nieuwe ontwerp mogelijk. Tijdens de pilot was er zoveel enthousiasme voor deze functie, dat deze functie reeds geïmplanteerd is op het draadloos netwerk van de Hogeschool Utrecht.
• Authentiseren op het netwerk gaat snel. Gemiddeld wordt een apparaat op het bekabeld netwerk geauthentiseerd binnen 1 á 2 seconden. Op het draadloos netwerk duurt dit langer. Gemiddeld wordt een apparaat op het draadloos netwerk binnen 4 á 5 seconden geauthentiseerd. Dit komt omdat op het draadloos netwerk meer factoren meespelen dan op het bekabeld netwerk. Als alleen naar het authenticatieproces gekeken wordt, is dit net zo snel als op het bekabeld netwerk.
• Doordat gebruikers en apparaten dynamisch een netwerksegment krijgen toegewezen hoeven beheerders en steunpunt medewerkers geen extra handelingen te doen om een apparaat of gebruiker in het juiste netwerksegment te zetten. Tevens is het niet meer mogelijk dat gebruikers of apparatuur in verkeerde netwerksegmenten terecht komen.
Uit deze pilottest is gebleken dat NAC, op het juiste niveau, extra waarde geeft aan de veiligheid en beheersbaarheid van het netwerk. Daarnaast is NAC essentieel voor het bring your own device(BYOD) concept en het flexibele werken dat de Hogeschool Utrecht voor ogen heeft. Want door het toepassen van NAC kan bepaalt worden per apparaat en per gebruiker of gebruikersrol wie wel en wie geen toegang heeft tot de verschillende resources.