Symantec Network Access Control

Bebaru ni aku, abu dan Nini pergi ke Symantec untuk dengar taklimat tentang teknologi terkini Symantec namanya Symantec Network Access Control (SNAC).

Software ni hanya boleh digunakan bersama dalam Produk Symantec Endpoint Protection (SEP)(versi 11) sahaja. Kat pejabat aku guna Symantec Antivirus Corporate Edition versi 10.2. So kira dalam proses untuk upgrade ke versi SEP ni la.

So terus ke topik produk SNAC ni.
Ok SNAC ni berfungsi untuk kawal network kita daripada sebarang cubaan untuk orang luar/ orang dalam (baru) / guest daripada masuk ke dalam network kita tanpa kebenaran dan juga bagi memastikan PC/Notebook yang disambungkan itu telah mempunyai updated patch dan melepasi polisi keselamatan yang ditetapkan. Kira kalau nak masuk tu kena la ketuk pintu dulu.

So cemana agaknya SNAC ni berfungsi.

Ok skang kira kita ada 1 network namanya muzzonet.
So polisi yang muzzonet tetapkan untuk penggunanya untuk guna muzzonet ialah mereka perlu memastikan beberapa perkara berikut :
1) Antivirus ada dalam PC (tak kisah jenis apa)
2) Antivirus signature adalah terkini
3) Personal Firewall On
4) Service Pack Windows adalah terkini
5) Patch Windows adalah terkini

Kalau semua tu lepas maka baru lah lepaskan masuk ke dalam muzzonet.
SNAC ni ada pelbagai cara untuk kawal mende ni, antaranya :

1) Guna cara agent di install pada setiap PC yang nak bersambung dengan muzzonet. SNAC ni juga terdapat dalam SEP 11, kira nak guna kena beli lesen utknya selain lesen antivirus SEP 11
- So kirenya jika pc ada agent ni di semak belum update semua tu, dia akan di hantar ke kuarantin area (dapat IP Pool) untuk suh dia update dulu semua mende tu. Kalau ada patch management server leh update dari situ.
- Setelah selesai, refresh semula untuk SNAC agent check dan jika dah fullfill semua mende tu baru lepas guna muzzonet

2) Guna LAN Enforcer yang ada 802.1x (Manageable switch)
- So SNAC device ni akan tag pada port LAN Switch untuk semakan polisi muzzonet tu dulu sebelum dibenarkan guna. Ia akan semak polisi di SEP 11 Server.
- Kiranya kalau network tu besau dan byk switch naye la nak plugin semua switch.
- Ianya sesuai untuk network yang kecil sahaja dan guna IP Statik.

3) Guna DHCP enforcer device / plugin (Only on Microsoft DHCP)
- Memula tu bila dia kata microsoft sahaja, frust aku yang baru ingat nak guna DHCP linux. Leceh la pakai Microsoft ni. Kurang suke..hehehe...
- Ok, kirenye kalau cara ni, sesiapa yang cuba masuk dalam muzzonet akan perlu dapat IP dari DHCP server. So plugin SNAC yang dalam tu akan route semakan kepada server SEP 11 yang manage polisi tersebut. Jika ok baru lepas jika tidak masuk kuarantin area dulu
- Kalau guna cara device DHCP Enforcer tu kiranya alat tu akan berfungsi sebagai kawalan dahulu sebelum masuk ke dalam DHCP Server untuk dapatkan IP. Dari switch ke DHCP Enforcer kemudian baru ke DHCP Server.
- Kaedahnya tetap sama, jika tak penuhi polisi akan ditendang masuk kuarantin area.
- Kalau guna WiFi sesuai guna yang ni sebab kebiasannya WiFi guna DHCP server. Jadi guest luar nak masuk network muzzonet pun kira yang selamat je la.
- Kalau nak setkan blok application pun boleh juga...

4) Gateway enforcer
- Yang ni menarik dan aku suke. Ianya akan tapis sebarang user VPN yang nak masuk ke dalam muzzonet ni dahulu.
- Dari user tu login VPN, sebelum masuk VPN Server untuk authenticate dia akan pergi ke gateway enforcer ni dulu baru authenticate.
- Konsepnya sama jika tak penuhi polisi ditendang ke kuarantin area.

Kalau keempat-empat kaedah tu digunakan memang kawalan sepenuhnya la pada network kita dari sebarang kemasukan virus dan cubaan masuk ke dalam network oleh orang luar.

Kekadang kita pun tak tau vendor ni main tap je dalam network kita guna kabel memana yang kosong. Dia akan dapat ip (kalau kita wat fix ip) terus leh masuk dan merayap ke mana-mana.
Kan ke bahaya tu.

Perisian kawalan tu ada cuma pelaksanaannya memerlukan kos tinggi juga.
Kalau nak laksana untuk 3000 user muzzonet kena langgan lesen SNAC tu utk sebanyak tu, kalau nak guna kaedah Gateway enforcer/DHCP Enforcer kena beli device tu dengan harga lain pula.

Jadi jika duit ada, semua jadi. Bagi network muzzonet ni mungkin sesuai guna utk subnet tertentu yang kritikal je la...jimat kos sikit.

Yang aku perasan SEP 11 ni lebih banyak fungsi kawalan. Lebih kurang fungsinya untuk saing dengan AVG yang semakin popular, dahle free. Dalam version ni baru ada heuristic scan yang boleh go detail scan untuk check virus yang semakin bijak.

Kalaulah ada solution ni dalam OSS kan ke best...
Sesapa ada maklumat tolong maklumkan ke aku...

Renung-renungkan dan selamat beramal.

~ Be a Creator Not a User ~
http://muzzotechspot.blogspot.com
http://muzzoshah.blogspot.com

Ulasan