Współdziałanie rozwiązań NAC

Chociaż technologie NAC są obecne na rynku już od kilku lat, wielu użytkowników jest sfrustrowanych brakiem możliwości współpracy między tymi produktami, co jest jednym z głównych powodów ich powolnego wdrażania. Ostatnio pojawiła się nadzieja na rozwiązanie tego problemu.

Trusted Computing Group (TCG), konsorcjum non profit, zapowiedziało nową specyfikację dla swojej platformy kontroli dostępu do sieci (TNC - Trusted Network Connect), która pozwoli na tworzenie produktów integrujących się bezpośrednio z platformą NAC (Network Access Protection) Microsoftu. Połączenie standardu TCG, obsługiwanego w produktach wielu dostawców, z Microsoft NAP, który jest już zagnieżdżony w Windows Vista i będzie zintegrowany z Windows Server 2008, daje użytkownikom nadzieję na uzyskanie narzędzi NAC pracujących według pewnego standardu.

Nowa specyfikacja ma wyeliminować konieczność instalowania dodatkowego oprogramowania w punktach końcowych sieci i serwerach, umożliwiającego używanie technologii NAC pochodzących od różnych dostawców.

Również Juniper i Microsoft ogłosiły, że współpracują nad zapewnieniem współdziałania swoich rozwiązań: Juniper Networks Unified Access Control (UAC) oraz Microsoft NAP. Możliwość współdziałania NAP/UAC ma zapewnić użytkownikom zintegrowaną kontrolę dostępu z wykorzystaniem systemu Windows Vista, a także Windows XP SP3 i infrastruktury sieciowej Juniper Networks. Korzystający z systemów Windows będą mogli stosować urządzenia Juniper UAC bez potrzeby instalowania dodatkowego oprogramowania. Rozwiązania NAP i UAC mają też zapewniać współdziałanie i kompatybilność w heterogenicznych środowiskach sieciowych, wykorzystując standardy takie jak 802.1X oraz TNC. Juniper Networks UAC ma również obsługiwać nowy standard TNC w pierwszej połowie 2008 r.

Pojawiły się też systemy ochrony sieci VoIP zawierające architekturę NAC. VoIP jest trudnym obszarem do stosowania NAC, ponieważ ta kontrola dostępu opiera się głównie na ocenie punktów końcowych sieci jako głównym czynniku decydującym o tym, czy urządzenie może uzyskać dostęp do sieci. Telefony VoIP to zazwyczaj rozwiązania własne różnych firm, nieobsługujące oprogramowania klienckiego, które mogłoby skanować i dostarczać informacje o stanie bezpieczeństwa urządzenia końcowego, jakim jest telefon VoIP.

Ponieważ kontrola punktów końcowych NAC z wykorzystaniem oprogramowania klienckiego nie wchodzi w rachubę, kolejną możliwością jest uwierzytelnianie urządzenia końcowego na podstawie adresu MAC. Przy tworzeniu polityki bezpieczeństwa dla telefonów takie uwierzytelnianie może być połączone z identyfikacją systemu operacyjnego telefonu, używanego portu przełącznika i innych zewnętrznie rozpoznawalnych elementów.

<hr>

Andrzej Kroczek inżynier systemowy, Cisco

Mobilni pracownicy, którzy mają dostęp do sieci internet z domu lub poprzez publiczne sieci bezprzewodowe, często nieświadomie naruszają firmową politykę bezpieczeństwa, a powszechność serwisów Web 2.0 zwiększa niebezpieczeństwo udostępnienia poufnych danych. Potrzeba skutecznego zapobiegania tego typu zagrożeniom wymusza wzrost zainteresowania zintegrowanymi rozwiązaniami UTM oraz rozwiązaniami zapewniającymi kontrolę dostępu na styku z siecią korporacyjną. Obserwujemy duże zainteresowanie przedsiębiorstw technologią NAC (Network Admission Control). Daje ona możliwość uwierzytelniania pracowników łączących się z firmową siecią i weryfikacji zgodności ich działań z przyjętą polityką bezpieczeństwa. Technologia NAC zapewnia również automatyczną aktualizację i weryfikację oprogramowania używanego przez pracowników mobilnych. Coraz większe zainteresowanie rozwiązaniami zintegrowanymi w stosunku do rozwiązań punktowych wynika również z łatwiejszego zarządzania.

<hr>

IPS dla sieci 10 GE oraz IPv6

Systemy IntruShield 10GigE i IntruShield 4.1 firmy McAfee zapewniają ochronę szybkich sieci 10 Gigabit Ethernet i IPv6 w skali całego przedsiębiorstwa oraz krótszy czas reakcji na zagrożenia. Integracja z systemem McAfee Foundstone umożliwia natychmiastowe skanowanie na żądanie, co pozwala w czasie rzeczywistym ocenić zagrożenia i sprawdzić podatność na uszkodzenia.

To wszystko nie daje jednak gwarancji, że logujące się urządzenie jest telefonem i to właśnie z niego nawiązywane jest połączenie. Nie mówi też nic o tym, czy urządzenie jest zainfekowane.

Jedynym sposobem ochrony przed urządzeniem podszywającym się pod telefon lub zainfekowanym telefonem jest monitorowanie zachowań tego urządzenia z chwilą, gdy znajdzie się w sieci (post-admission NAC). Na przykład urządzenie przedstawiające się jako telefon i próbujące połączyć się z serwerem zasobów kadrowych przedsiębiorstwa telefonem prawdopodobnie nie jest. Egzekutor polityki post-admission NAC powinien odciąć takie urządzenie od sieci.