Dostęp jak zaszczyt

Forsowanie przez Microsoft, Cisco, Juniper i innych inicjatyw zmierzających do weryfikacji stanu bezpieczeństwa każdego urządzenia zanim uzyska ono dostęp do sieci to duży postęp w architekturze zabezpieczeń. Do doskonałości jeszcze im jednak daleko - wciąż pozostają pytania i nierozwiązane problemy.

Krytyczna jest zwłaszcza kwestia stworzenia wydzielonej podsieci (zapewne dynamicznie, za pomocą VPN), w której komputery będą mogły korzystać z niektórych usług, zaś dostęp do najważniejszych z punktu widzenia firmy zasobów nie będzie możliwy.

Oczywiście poprawne (czytaj: bezpieczne) skonfigurowanie takiej sieci może być w wielu przypadkach zadaniem bardzo skomplikowanym. W tym celu Cisco proponuje "advanced services" - oddzielnie płatny pakiet usług polegających na pomocy w prawidłowym skonfigurowaniu sieci. Wydaje się, że jest to krok w dobrą stronę i jeśli wsparcie udzielane przez Cisco będzie stało na wysokim poziomie, prawidłowa implementacja Network Admission Control może stać się dużo prostsza, szybsza i potencjalnie tańsza od pozostałych rozwiązań.

Zaufanie do agenta

Na tym oczywiście problemy się nie kończą. Na przykład nadal nie do końca wiadomo, kiedy uznać, że dany komputer może już opuścić kwarantannę. Wyobraźmy sobie sytuację, w której użytkownik został skierowany do kwarantanny, ponieważ nie miał uaktualnionego oprogramowania antywirusowego. Pobranie uaktualnień to jednak nie wszystko. Aby mieć pewność, że na komputerze nie zdążył zainstalować się jakiś wirus, należy przed wpuszczeniem go do sieci przeprowadzić skanowanie twardego dysku. Biorąc pod uwagę, że typowe dyski w nowych komputerach mają pojemność rzędu 80-120 GB, taka operacja może potrwać.

Kluczowym elementem opisywanego tu systemu bezpieczeństwa jest zaufanie do poprawności i pewności informacji na temat stanu i konfiguracji komputera łączącego się z siecią. Przed połączeniem z siecią firmową, np. w domu, komputer mógł zostać przejęty przez włamywacza, tymczasem żadne z trzech omawianych tu rozwiązań nie posiada mechanizmów, które chroniłyby np. przed przesyłaniem przez komputery fałszywych informacji o swoim stanie. System chroni więc tylko komputery, nad którymi nikt nie przejął wcześniej kontroli. Można się także spodziewać, że w niedalekiej przyszłości powstaną wirusy i robaki internetowe, które będą miały w sobie zaimplementowane oszukiwanie tego typu systemów, bowiem z technicznego punktu widzenia jest to zadanie łatwe.

Network Access Protection, Network Admission Control oraz Endpoint Defense Initiative są więc rozwiązaniami, które tylko wspomagają zarządzanie już istniejącą infrastrukturą bezpieczeństwa. Dzięki zautomatyzowaniu wielu działań, o których użytkownik musiał do tej pory pamiętać sam, mogą jednak w znacznym stopniu podnieść poziom bezpieczeństwa sieci. Szczególnie widać to w dużych sieciach LAN, gdzie kontrola nad podłączanymi komputerami jest utrudniona (np. sieci uczelniane, głównie akademiki). Nie są jednak na pewno odpowiedzią na wszelkie problemy związane z bezpieczeństwem.

Konkurencja i współpraca

Na dziś, z punktu widzenia administratora, najważniejsze jest chyba to, że wszystkie trzy firmy współpracują przy rozwoju wszystkich trzech rozwiązań. To bardzo ważny sygnał. Producenci rozwiązań zaczynają w końcu dostrzegać, że posiadając tak znaczące udziały w rynkach związanych z sieciami komputerowymi, mogą relatywnie małym nakładem wprowadzić systemy, służące integracji poszczególnych komponentów bezpieczeństwa. Dziś bowiem, mimo tego, że istnieją mechanizmy pozwalające na zapewnienie każdemu komputerowi w sieci firmowej bardzo wysokiego poziomu bezpieczeństwa, głównym problemem pozostaje kontrola nad ich konfiguracją i aktualnością.

Możemy więc przypuszczać, że trzy opisywane systemy będą rozwijały się równolegle, wzajemnie się uzupełniając i wspierając. Na końcu tej drogi powstanie zapewne jeden spójny system, zapewniający wsparcie we wszystkich warstwach modelu OSI. Już teraz bowiem widać, że rozwiązania te zakładają dużą integrację ze sobą, a fakt, że mają inne nazwy, jest bardziej podyktowany wymaganiami marketingowymi mającymi na celu promowanie własnej marki. Potwierdzają to także spisy firm, które są partnerami trzech gigantów w rozwijaniu tych systemów: są prawie identyczne.

Cokolwiek jednak powiedzieć o zaletach i wadach poszczególnych rozwiązań, jedno jest pewne: będą one pomocne przy wdrażaniu polityki bezpieczeństwa w każdej większej sieci LAN, stanowią bowiem znaczny postęp w myśleniu o architekturze zabezpieczeń. Niezależnie od tego, jaką ewolucję jeszcze przejdą, rozwiązania typu NAP, NAC, EDI staną się za kilka lat standardem w większości sieci LAN.