Dostęp regulowany automatycznie

Systemy Network Access Control (NAC) to jeden z najbardziej gorących tematów ostatnich miesięcy dotyczących bezpieczeństwa infrastruktury IT.

Systemy Network Access Control (NAC) to jeden z najbardziej gorących tematów ostatnich miesięcy dotyczących bezpieczeństwa infrastruktury IT.

Według analityków i dostawców rozwiązań NAC (Network Access Control) nadchodzi okres prawdziwej gorączki złota. Na przykład Infonetics, firma analizująca rynek przewiduje, że obroty w tym segmencie, które w 2005 r. wyniosły 323 mln USD, wzrosną w ciągu dwóch najbliższych lat nawet 10-krotnie, do poziomu 3,9 mld USD.

Trudno się temu dziwić. Systemy NAC oferują atrakcyjną kombinację funkcjonalności, obejmując zarządzanie identyfikatorami użytkowników, identyfikatorami maszyn, konfiguracjami oraz metodami przyznawania lub blokowania dostępu do precyzyjnie określonych zasobów. Co więcej, jeśli konfiguracja urządzenia nie pozostaje w zgodzie z ustaloną polityką bezpieczeństwa, może ona być automatycznie aktualizowana. Technologia NAC umożliwia także monitorowanie zmian w konfiguracji urządzeń, a jeśli one nastąpiły, wymusza ponowne skanowanie systemu.

Choć w dobie nieustannych zagrożeń i ataków na systemy IT technologia NAC daje nadzieję na istotne zwiększenie bezpieczeństwa, na spełnienie tych obietnic trzeba będzie jeszcze poczekać. Na przykład tego typu technologię opracowaną przez Microsoft - NAP (Network Access Protection) - i już zaimplementowaną w systemie Windows Vista, będzie można w pełni wykorzystać dopiero po aktualizacji Microsoft Systems Management Server. Z kolei Cisco nadal pracuje nad klientem NAC, który nie będzie wymagał instalacji w sieci dodatkowych urządzeń. Jednak z pewnością już teraz warto śledzić rozwój tej technologii i brać ją pod uwagę jako mechanizm umożliwiający rozwiązanie przynajmniej niektórych problemów związanych z bezpieczeństwem infrastruktury IT.

Szeroka kontrola

W swojej najprostszej formie NAC to rozwiązanie, które egzekwuje stosowanie ustalonych w organizacji reguł bezpieczeństwa. Dotyczy to systemów, które zgłaszają żądanie dostępu do sieci lub podejmują próbę wejścia do określonej jej części (np. kiedy próbują przejść z przełącznika brzegowego do wnętrza sieci).

NAC określa reguły związane z urządzeniem i reguluje dostęp w oparciu o wcześniej zdefiniowaną politykę bezpieczeństwa. System może wymuszać uwierzytelnienie przez użytkownika lub może też skanować urządzenie w poszukiwaniu znanych podatności na ataki lub otwartych portów. NAC może także sprawdzać parametry systemu operacyjnego, zainstalowane poprawki, zainstalowane lub uruchomione procesy, a także aktualność sygnatur wykorzystywanych przez aplikacje antywirusowe.

Kolejnym obszarem działania NAC są zmiany zachodzące w konfiguracji urządzenia już po przyznaniu mu dostępu do sieci. Bez względu na to, czy są one efektem działania użytkownika czy wirusów lub robaków internetowych, urządzenie może zostać uznane za zagrożenie dla bezpieczeństwa środowiska. Bardziej wyrafinowane systemy NAC mogą wykrywać zdarzenia tego rodzaju i uruchamiać działania zgodnie ze zdefiniowanymi regułami.

Amerykański Infoworld testował niedawno kilka rozwiązań NAC. W laboratorium znalazły się produkty: Enterasys Sentinel Trusted Access, McAfee Policy Enforcer, Symantec Network Access Control oraz Trend Micro Network VirusWall Enforcer.

Rozwiązania testowane były w sześciu typowych scenariuszach biznesowych (m.in. próba dostępu do sieci przez nieuwierzytelnionego gościa, próba wykonywana przez uwierzytelnionego gościa, uwierzytelnionego użytkownika i uprzywilejowany dostęp ze specjalnymi prawami dostępu). Testowano także zmianę konfiguracji urządzenia po udostępnieniu zasobów.

Równy poziom

Wszystkie cztery testowane produkty uzyskały zbliżone noty. Najlepiej z nich wypadł jednak produkt McAfee. Firma ta opracowała rozwiązanie, które potrafi współpracować z systemami dostarczanymi przez innych producentów i dobrze się sprawdza jako uzupełnienie dla firmowych platform do zarządzania bezpieczeństwem. Dobrze zaprojektowany interfejs użytkownika oraz szeroka gama predefiniowanych reguł sprawiają, że jest to atrakcyjna oferta dla organizacji niewymagających reguł bazujących na tożsamości indywidualnych użytkowników lub ich przynależności do grup roboczych.

Z kolei Enterasys Sentinel Trusted Access dostarcza szerokich możliwości tworzenia własnych polityk bezpieczeństwa i egzekwowania ich. Wielość dostępnych opcji sprawia jednak, że interfejsy administracyjne są dosyć skomplikowane. Ale integracja tego oprogramowania z przełącznikami Enterasys gwarantuje możliwość uzyskania głębokiej wiedzy na temat ruchu w sieci. Może ona zostać wykorzystana do tworzenia reguł i całej polityki bezpieczeństwa w firmie.

Pakiet oferowany przez Symanteca ma kompleksowy charakter. Wspiera kilka metod wykrywania i egzekwowania polityki. Interfejs użytkownika nie należy do najbardziej przyjaznych i dlatego tworzenie lub modyfikowanie reguł może sprawiać nieco problemów. Możliwości rozwiązania są jednak dosyć duże.

Podobnie ocenione zostało rozwiązanie Trend Micro. Produkt ma kompleksowy charakter i został oparty na zarządzaniu polityką na podstawie ruchu sieciowego. Stanowi dobre uzupełnienie standardowych mechanizmów przyznawania i odbierania dostępu do zasobów.

Standard dla NAC

Warto wspomnieć, że do laboratorium Inforworld trafił niedawno także system XpressConnect firmy Cloudpath Networks. Jest to niewielki agent dostarczany poprzez przeglądarkę, który umieszczony na stronie portalu dla gości czy pracowników automatycznie konfiguruje systemy żądające dostępu do sieci (przewodowych lub bezprzewodowych) przy wykorzystaniu protokołu 802.1x. W efekcie uwierzytelnianie 802.1x jest znacznie prostsze niż dotychczas.

XpressConnect zapamiętuje oryginalne ustawienia systemu i oferuje kilka sposobów ich przywrócenia. Jednym z nich jest wizyta na stronie internetowej Cloudpath. Jeśli organizacja rozważa wdrożenie 802.1x - a warto tego dokonać przed wdrożeniem NAC - i poszukuje prostego sposobu na zapewnienie, że wszyscy użytkownicy będą posiadać właściwie skonfigurowany system, XpressConnect może to istotnie ułatwić.

W tym kontekście należy też wspomnieć o dedykowanym urządzeniu Beacon firmy Great Bay Software. Jest to narzędzie, które pomaga w określeniu zakresu, w jakim 802.1x powinien zostać wdrożony w sieci. Wykorzystując profile elementów sieciowych dostarczane przez firmę Great Bay lub konfigurowane przez użytkowników, Beacon oferuje raporty tworzone w czasie rzeczywistym, dotyczące urządzeń aktywnych w sieci. Przykładowo, wykorzystując Beacon, można zweryfikować, ile zainstalowanych urządzeń nie pracuje pod kontrolą Windows i w efekcie musi być zarządzane w inny sposób niż oferowany przez typowe rozwiązania NAC.

Beacon oszczędza nie tylko czas poświęcony na inwentaryzację, ale ułatwia projektowanie i wdrożenia systemów NAC. Podobnie jak XpressConnect, Beacon pozwala nie tylko na uniknięcie wielu problemów związanych z wdrożeniem 802.1x, ale także zmniejszenie kosztów takiego przedsięwzięcia.

Zdaniem analityków z Forrester Research, standard autentykacji portów 802.1x będzie najprawdopodobniej dominującym mechanizmem wykorzystywanym przez systemy NAC w przyszłości.

Powoli, ale dokładnie

Wymienione wcześniej to oczywiście nie wszystkie dostępne na rynku produkty tego typu, bo rozwiązania takie oferuje znacznie więcej firm. Niemniej do wszystkich można odnieść stwierdzenie, że na realizację ich pełnego potencjału trzeba będzie jeszcze poczekać, zwłaszcza że w praktyce rozwiązania te muszą być dostosowane do specyficznych potrzeb konkretnych organizacji.

Ulegając marketingowi dostawców NAC nie należy zapominać o istotnych ograniczeniach tej technologii. Przykładowo, skanowanie komputera przed zapewnieniem mu dostępu do sieci może dostarczyć informacji o tym, czy oprogramowanie antywirusowe jest włączone oraz czy plik z sygnaturami wirusów jest aktualny. Nie pozwala jednak stwierdzić, czy komputer nie został zainfekowany wirusem. System NAC jest więc z pewnością przydatny, ale nie stanowi rozwiązania wszystkich problemów związanych z bezpieczeństwem.

Właściwym podejściem do NAC jest obecnie wykorzystywanie tej technologii do rozwiązywania konkretnych problemów. Użytkownik sam musi określić co jest dla niego najważniejsze. Oznacza to, że ewentualne wdrożenie należy rozpocząć od objęcia kontrolą użytkowników mających dostęp do zasobów najważniejszych z punktu widzenia przedsiębiorstwa.

Nowa strategia Check Point

W ciągu kilkunastu miesięcy Check Point wprowadzi na rynek nowe produkty oraz wyposaży swoje platformy w mechanizmy zabezpieczania danych. Kluczowy element strategii firmy będzie stanowić technologia przejęta od szwedzkiej firmy Pointsec, specjalizującej się w oprogramowaniu do szyfrowania danych na dyskach. Check Point planuje zabezpieczanie z wykorzystaniem technologii Pointsec urządzeń, w szczególności mobilnych. Ma to chronić ważne dla firm informacje, które przechowywane są na dyskach komputerów PC. Warto przypomnieć, że w grudniu Check Point ogłosił, że przejmie producenta rozwiązań wykrywania i prewencji włamań NFR Security. Technologia ta ma zostać zintegrowana z zaporami firewall, urządzeniami do zarządzania oraz modułami VPN oferowanymi przez Check Point.

Ważnym obszarem, na którym firma będzie się koncentrowała w tym roku, są również systemy NAC. Dotychczas, jak mówią jej przedstawiciele, Check Point nie zwracał na nie należytej uwagi. "Nie jestem zadowolony, że nie rozwiązaliśmy jeszcze tego problemu. Uważam, że mogliśmy sobie poradzić z tym lepiej" — przyznaje Gil Shwed, prezes Check Point. Niemniej już obecne rozwiązania VPN Check Point, podobnie jak systemy IPS do wykrywania i zapobiegania włamaniom, mogą działać jako elementy egzekwowania dla polityk NAC. "Egzekwowanie polityk NAC może być dokonywane na dedykowanych urządzeniach, ale może być także prowadzone z wykorzystaniem innych środków, takich jak bramki, które organizacja posiada już w swojej sieci" — przekonuje Gil Shwed. "Nasza oferta będzie wkrótce bardzo szeroka w zakresie egzekwowania polityk, ich definiowania, a także podłączania końcówek do ramowych systemów zarządzania".

Firma oferuje nawet własną wersję NAC, czyli TAP (Total Access Protection). Nawiązała także stosunki partnerskie z dostawcami rozwiązań NAC, m.in. Cisco oraz dostawcami przełączników — Enterasys Networks, Foundry Networks i Nortel. Wszystkie te firmy są uczestnikami programu TAP.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200