Po co NAC

Kontrola dostępu do sieci nadal nie jest standardem w większości systemów korporacyjnych, a rozwój ten napotyka różne ograniczenia, wśród których najłatwiejszym do usunięcia jest niedostatek informacji, co umożliwiają systemy NAC.

Kontrola dostępu do sieci nadal nie jest standardem w większości systemów korporacyjnych, a rozwój ten napotyka różne ograniczenia, wśród których najłatwiejszym do usunięcia jest niedostatek informacji, co umożliwiają systemy NAC.

Mało która firma ma choćby minimalną ochronę przed atakiem polegającym na podłączeniu komputera przenośnego do sieci lokalnej wewnątrz budynku firmy. Taki atak, wsparty odrobiną socjotechniki ("potrzebuję odebrać pocztę, czy można skorzystać z waszej sieci?"), powiedzie się w wielu przypadkach. Intruz omija w ten sposób zaporę sieciową i dostaje się wprost do wrażliwej sieci lokalnej. Aby podwyższyć odporność na ataki z użyciem obcych urządzeń, stosuje się m.in. rozwiązania NAC (Network Acces Control).

NAC wypełnia poważną lukę w bezpieczeństwie, bo umożliwia automatyczne oddzielenie urządzeń, które stanowią potencjalne zagrożenie. Najczęściej jest to podłączenie do sieci lokalnej komputera z systemem operacyjnym i programem antywirusowym, które nie zostały zaktualizowane, lub maszyny już zarażonej złośliwym kodem. Dzięki NAC prawdopodobieństwo rozsiania wrogich kodów w sieci lokalnej przez taki komputer istotnie spada. Najlepsze efekty przynosi on w firmach, w których pracownicy są mobilni, a ich komputery są często podłączane do różnych sieci.

Automatyzacja i separacja

Twórcom NAC przyświecały dwa główne cele - automatyzacja ochrony przed obcymi urządzeniami i separacja tych autoryzowanych komputerów, które nie spełniają określonych przez administratora zasad zabezpieczeń.

W przypadku obcych urządzeń sprawa jest prosta - należy je całkowicie odseparować od sieci firmowej. Metody ochrony przed obcym sprzętem są znane od dawna, np. nakładane na adresy sprzętowe restrykcje wymuszane przez przełączniki sieciowe. Nie jest to w pełni skuteczne, a oprócz tego z reguły wymaga "ręcznego sterowania", które jest pracochłonne, gdyż każdy nowy adres MAC wymaga autoryzacji. Ponadto każdy komputer należy sprawdzić przed wydaniem zgody na podłączenie do sieci, co wymaga pracy informatyka. Metoda ta nie zapewnia też wysokiego poziomu bezpieczeństwa, gdyż nie pozwala na odróżnienie sfałszowanego adresu MAC. Rozwiązania NAC mogą znacząco uprościć ten problem automatycznie kierując obce komputery do osobnego segmentu sieci, oddzielonego od intranetu, dając im ograniczone uprawnienia, np. tylko prawo dostępu do Internetu. Restrykcjom takim podlegają wszystkie komputery podłączone do odpowiedniego portu, więc sztuczka z włączeniem huba nie zda się na nic.

Jeśli chodzi o ochronę przed złośliwym kodem, który może się pojawić w firmowych komputerach, np. z powodu nieaktualności systemu operacyjnego Windows lub programu antywirusowego, NAC umożliwia automatyczne wymuszenie aktualizacji oraz przetestowanie jej poprawności i zgodności z polityką bezpieczeństwa, zanim komputer dostanie zgodę na dostęp do LAN. Oprócz tego wiele dostępnych na rynku rozwiązań NAC umożliwia mocne uwierzytelnienie użytkownika i maszyny. Po połączeniu z systemem wymuszania restrykcji możliwa jest separacja danych przesyłanych przez pracowników zgodnie z informacjami o ich funkcjach i uprawnieniach. Dzięki temu wewnątrz jednej infrastruktury teleinformatycznej można zapewnić całkowite logiczne rozdzielenie strumieni danych zależnie od poziomu uwierzytelnienia użytkownika.

Kontrola dostępu

Oprócz wykrywania urządzeń i sprawdzania ich zgodności z zasadami bezpieczeństwa systemy NAC umożliwiają wymuszanie zasad dostępu. Niektóre rozwiązania pozwalają na wymuszanie restrykcji przez oprogramowanie zainstalowane w komputerze użytkownika. Dokonuje ono modyfikacji ustawień zapory sieciowej, resetuje tablice ARP itd. W przypadku typowego użytkownika, który nie ma uprawnień do modyfikacji systemu, takie zabezpieczenie może się okazać wystarczające. Jest to metoda tania, nie wymagająca szczególnej infrastruktury i w typowym biurze, gdzie nie wymagany jest szczególnie wysoki poziom zabezpieczeń, dobrze się sprawdza. Wiele programów antywirusowych ma opcje umożliwiające kontrolę dostępu właśnie w taki sposób. Niestety zabezpieczenie takie nie zadziała, gdy użytkownik ma uszkodzoną lub wyłączoną zaporę sieciową, a także wtedy, gdy jest to obcy komputer.

Wymuszenie zgodności z zasadami bezpieczeństwa można też realizować za pomocą modyfikacji serwera DHCP. Niestety, jeśli obce urządzenie posiada statyczny adres IP, metoda ta zawodzi. Jest skuteczna tylko w przypadku komputerów korzystających z DHCP. Jest jednak skuteczniejsza niż modyfikacje zapory na stacji roboczej. Dzięki opcji przechwytywania, DNS umożliwia także realizację automatycznie wyświetlanego portalu z narzędziami naprawczymi. Znacznie lepszym sposobem ograniczenia dostępu są restrykcje nakładane za pomocą przełączników sieciowych. W takim systemie urządzenie, które nie spełnia wymagań bezpieczeństwa, zostaje przełączone do specjalnego segmentu sieci lokalnej. Ze wszystkich metod ta jest jedyną, która daje jakąkolwiek ochronę przed intruzem wyposażonym we własny sprzęt i zapewnia separację podsieci przeznaczonej dla obcych komputerów.

Pozostaje mała luka

Niestety sieć, nawet mocno zabezpieczona przez system NAC, może być podatna na atak, bo niektóre urządzenia, jak telefony IP lub drukarki, najczęściej nie dają możliwości instalacji oprogramowania autoryzującego. A takie ogniwa sieci również można przechwycić i wykorzystać do ataku. Rozsądnym rozwiązaniem tego problemu jest całkowita separacja sieci przeznaczonej dla urządzeń uwierzytelnianych (komputery) od tych, które nie mogą spełnić wymagań związanych z kontrolą dostępu (drukarki, telefony IP, rejestratory).