Bezpieczeństwo: zalew spamu i wycieki danych
- Józef Muszyński,
- 05.11.2007
Współdziałanie rozwiązań NAC
Chociaż technologie NAC są obecne na rynku już od kilku lat, wielu użytkowników jest sfrustrowanych brakiem możliwości współpracy między tymi produktami, co jest jednym z głównych powodów ich powolnego wdrażania. Ostatnio pojawiła się nadzieja na rozwiązanie tego problemu.
Trusted Computing Group (TCG), konsorcjum non profit, zapowiedziało nową specyfikację dla swojej platformy kontroli dostępu do sieci (TNC - Trusted Network Connect), która pozwoli na tworzenie produktów integrujących się bezpośrednio z platformą NAC (Network Access Protection) Microsoftu. Połączenie standardu TCG, obsługiwanego w produktach wielu dostawców, z Microsoft NAP, który jest już zagnieżdżony w Windows Vista i będzie zintegrowany z Windows Server 2008, daje użytkownikom nadzieję na uzyskanie narzędzi NAC pracujących według pewnego standardu.
Nowa specyfikacja ma wyeliminować konieczność instalowania dodatkowego oprogramowania w punktach końcowych sieci i serwerach, umożliwiającego używanie technologii NAC pochodzących od różnych dostawców.
Kontrola dostępu do LAN/WLAN Kontrolery NAC (Network Access Controller) firmy Edimax - AC-M1000 i AC-M3000 - zapewniają kontrolę dostępu do sieci kablowych i radiowych. Zawierają zestaw zintegrowanych narzędzi, takich jak: VPN, zapora, uwierzytelnianie i poziomy dostępu. Urządzenia umożliwiają konfigurację, monitorowanie i uaktualnianie maks. 12 punktów dostępu (AC-M3000) poprzez centralny interfejs zarządzania.
Cisco NAC w skrócie
Ponieważ kontrola punktów końcowych NAC z wykorzystaniem oprogramowania klienckiego nie wchodzi w rachubę, kolejną możliwością jest uwierzytelnianie urządzenia końcowego na podstawie adresu MAC. Przy tworzeniu polityki bezpieczeństwa dla telefonów takie uwierzytelnianie może być połączone z identyfikacją systemu operacyjnego telefonu, używanego portu przełącznika i innych zewnętrznie rozpoznawalnych elementów.
<hr>
Andrzej Kroczek inżynier systemowy, Cisco
Andrzej Kroczek
<hr>
IPS dla sieci 10 GE oraz IPv6
Systemy IntruShield 10GigE i IntruShield 4.1
To wszystko nie daje jednak gwarancji, że logujące się urządzenie jest telefonem i to właśnie z niego nawiązywane jest połączenie. Nie mówi też nic o tym, czy urządzenie jest zainfekowane.
Jedynym sposobem ochrony przed urządzeniem podszywającym się pod telefon lub zainfekowanym telefonem jest monitorowanie zachowań tego urządzenia z chwilą, gdy znajdzie się w sieci (post-admission NAC). Na przykład urządzenie przedstawiające się jako telefon i próbujące połączyć się z serwerem zasobów kadrowych przedsiębiorstwa telefonem prawdopodobnie nie jest. Egzekutor polityki post-admission NAC powinien odciąć takie urządzenie od sieci.