macmon do škol

Naše řešení NAC pro školy vychází z výše uvedených potřeb a nabízí vysokou míru automatizace spolu s nenáročností obsluhy. Obsahuje tyto komponenty (ve školním slovníku):

• Prezence žáků do třídní knihy - zaznamenávání přesného času a místa připojení a odpojení každého zařízení v síti a archivování těchto událostí
• Přísný školník (stojící u vchodu do školy a kontrolující, zda vcházejí pouze studenti, kteří v danou dobu mají výuku a stávající profesoři) - kontrolu přístupu k síti na základě napsaných pravidel
• Vestibul (pro usazení návštěv, než si je vyzvedne zodpovědná osoba) - webový portál pro návštěvníky, kterým chce škola umožnit např. internetové připojení, ale přitom je bezpečně izolovat od vlastní školní sítě. Pro mimoškolní zájmové kroužky, rodiče apod. Řešení nabízí jak variantu, že se návštěvník sám zaregistruje, tak variantu, že mu přístup povolí pověřená osoba
• Samostudium – možnost aby studenti (všichni nebo vybraná skupina) sami autorizovali svoje vlastní zařízení (tablety, chytré telefony), které jim škola podle předem definovaných pravidel (časových, prostorových...) umožní použít pro účely výuky, nebo zájmových kroužků. Tady, na rozdíl od „vestibulu“, je dobře známá a prověřená identita uživatele, což umožňuje rozšířit části sítě, kam se student může připojit (např. počítačová laboratoř...)
• Dispozice školy (rozdělení objektu na patra, jednotlivé třídy, kabinety, sborovnu…) – řešení umožní v podobném duchu rozčlenit i školní síť tak, aby bylo možné dát „klíče“ od jednotlivých místností pouze autorizovaným uživatelům, aniž by to vyžadovalo zdatného administrátora. V síťařském termínu je to „segmentace sítě“, která je důležitým prostředkem pro dosažení celkové kybernetické bezpečnosti
• Třídní učitel (který na základě informací od kolegů zajistí izolaci žáka s teplotou a zavolá rodiče) – Compliance modul komunikuje s okolními síťovými systémy a na jejich popud izoluje zařízení v síti, např. při detekci infekce antivirovým systémem a informuje o tom zodpovědnou osobu. Poté, co je tato hrozba vyřešena, připojí zařízení k síti

NAC řešení německé společnosti macmon, které pro tento projekt nabízíme má všechny zmíněné vlastnosti. Ke své činnosti využívá stávající síťovou infrastrukturu, se kterou komunikuje především prostřednictvím SNMP, ale také protokoly SSH, HTTPS, RADIUS či pomocí API.

Jedná se o plně softwarové řešení nabízené formou VA pro vmware nebo HyperV hypervizory a poskytuje tyto funkce:

• Přehledné uživatelsky přívětivé grafické prostředí založené na webové technologii
• Komunikace a ovládání síťových přepínačů – umožní v krátké době zmapovat síťové prvky, jejich vzájemné propojení, nakonfigurované VLAN, připojená zařízení včetně jejich MAC adres
• Mapování a zobrazování vazby MAC – IP a DNS jméno čtením ARP tabulek z aktivních L3 prvků (směrovače, FW ..) a z DNS a DHCP serverů
• Ověření identity uživatelů i zařízení komunikací s adresářovými službami AD, nebo LDAP
• Ověření podrobností o připojených zařízeních prostřednictvím WMI, SNMP nebo jejich skenováním.
• Vlastní řízení přístupu (autentizace a autorizace) na základě nakonfigurovaných pravidel ať už prostřednictvím povelování přepínačů SNMP protokolem, nebo poskytnutím služeb RADIUS serveru v případě standardního 802.1x
• Logování všech událostí
• Izolace připojených zařízení na základě informace z integrovaných AV systémů, systémů síťové behaviorální analýzy, DLP a SIEM systémů či systémů detekujících zranitelnosti
• Samoobslužný portál umožňující uživatelům, podle předem připravených pravidel, identifikovat vlastní zařízení a připojit jej k síti
• Webový portál pro hosty (captive portal), který umožní řízené připojení hostů do hostovských částí sítě včetně logování těchto událostí

Nabízené řešení pro školy je založené na výše popsané technologii a má tato specifika:

• Zajištěná před implementační i po implementační podpora
• Licencování zohledňující letní prázdniny
• Možnost zaplacení jednorázovou platbou, nebo v měsíčních splátkách bez navýšení ceny
• Výhodné licencování pro zařízení studentů (BYOD)
• Řešení pro školy je přímo podporované výrobcem
• Stránky Bezpečí do škol

Guest portál macmonu je více než vhodný ke splnění všech těchto potřeb. S jediným uživatelským jménem a heslem, nebo ještě lépe s využitím stávajícího uživatele z Active Directory, mohou studenti registrovat a spravovat svá zařízení pomocí Captive portálu macmonu. Takto je možné povolit mnoho definovatelných zařízení, přičemž každá registrace zařízení v síti je pro uživatele srozumitelná. Instituce tak mohou udržovat přehled o řízených zařízeních a spojení s uživateli bez vlastního administrativního úsilí.  

Na základě umístění může být přístup definovaný mnoha způsoby, například podle uživatele nebo skupiny – přístup pouze k internetu, pouze k vnitřní síti, obojí atd. – zatímco samotná přístupová práva jsou k dispozici tak dlouho, jak dlouho je validní uživatelský účet. Graficky přizpůsobené příslušné instituci, bez ohledu na použitou síť LAN a WLAN strukturu a hardware, vysoce flexibilní díky plně rozvinutému konceptu rolí a snadno použitelný díky automatické a dynamické sadě pravidel, macmon NAC s portálem Guest Service a BYOD je vhodný pro každou instituci. 

Kvůli komplexitě zařízení a fluktuaci uživatelů nabízí macmon licenční model upravený pro potřeby školství. Zatímco v administrativních oblastech jsou počty zařízení stálé, pro studenty je k dispozici flexibilní model licencování na základě uživatelů. Každý uživatel může provozovat několik zařízení, jednoduše s využitím jednoduchého registračního portálu. S cílem podpořit zásadní význam výzkumu a výuky, jsme počítali i s využitím studentských přístupů tak, aby cena našich EDU licencí reflektovala jejich využití. 

Benefity macmon NAC 

• Kompletní přehled o celé síti, všech jejich zařízeních a spojeních
• Žádná administrativní zátěž díky samoobslužnému portálu
• Přiřazování definovaných pravidel, jako například internet, interní síť, oboje atd.
• Platnost přístupu související s platností studentova uživatelského účtu
• Speciální EDU licenční model
• Více zařízení na uživatele