Dostęp jak zaszczyt

Forsowanie przez Microsoft, Cisco, Juniper i innych inicjatyw zmierzających do weryfikacji stanu bezpieczeństwa każdego urządzenia zanim uzyska ono dostęp do sieci to duży postęp w architekturze zabezpieczeń. Do doskonałości jeszcze im jednak daleko - wciąż pozostają pytania i nierozwiązane problemy.

Forsowanie przez Microsoft, Cisco, Juniper i innych inicjatyw zmierzających do weryfikacji stanu bezpieczeństwa każdego urządzenia zanim uzyska ono dostęp do sieci to duży postęp w architekturze zabezpieczeń. Do doskonałości jeszcze im jednak daleko - wciąż pozostają pytania i nierozwiązane problemy.

Po powrocie z kilkudniowej wycieczki podłączam laptopa do firmowej sieci. Na ekranie pojawia się informacja, że przed uzyskaniem dostępu mój komputer musi zostać uaktualniony. W kolejce zadań jest pobranie łatek do systemu operacyjnego, uaktualnienie bazy danych oraz pobranie najnowszych sygnatur ataków do zapory. W tym czasie mogę tylko pooglądać niektóre strony WWW, wolę jednak przejść się po biurze, przywitać z kolegami i napić się kawy. Gdy wracam do biurka, aktualizacja jest już zakończona - mam dostęp do wszystkich zasobów i mogę brać się do pracy.

Powyższy scenariusz to na razie dla większości sieciowych administratorów tylko marzenie, czysta mrzonka. Narzędzia, które w imieniu administratora dopilnują, by każde urządzenie podłączane do sieci było wnikliwie weryfikowane pod kątem rzeczywistego poziomu zabezpieczeń, a przed udzieleniem dostępu aktualizowane, istnieją. Są to jednak na razie rozwiązania wycinkowe, niepełne, a ponadto niestandardowe. Próby standaryzacji, jeszcze nieformalnej, a jedynie de facto, dopiero się zaczynają. Trzech wielkich graczy walczy, by to właśnie ich pomysły stały się podstawą przyszłego standardu, jeśli taki kiedykolwiek powstanie. Oczywiście, nie chodzi jedynie o glorię.

Pomysł w kilku wersjach

Microsoft nazwał swoją architekturę bezpiecznego dostępu do sieci Network Access Protection (NAP), Cisco lansuje swoją koncepcję pod nazwą Network Admission Control (NAC), zaś Juniper Networks forsuje inicjatywę Endpoint Defense Initiative (EDI). Poszczególne rozwiązania są w różnych fazach rozwoju. Microsoft na razie tylko mówi - jest prawdopodobne, że NAP pojawi się dopiero w systemie Longhorn. Cisco dopiero zaczęło implementację swoich pomysłów w produktach - na razie w dość ubogiej wersji, która pozbawiona jest wielu interesujących możliwości, lepsze jednak to niż nic. Najdalej zaszedł Juniper, który od dłuższego czasu umieszcza elementy EDI w produktach z serii NetScreen Secure Access.

Microsoft implementuje swoje rozwiązanie bezpośrednio w serwerowym i biurkowym systemie Windows, zaś Cisco i Juniper w systemach operacyjnych swoich urządzeń sieciowych oraz w formie agentów działających na stacjach roboczych. Funkcjonalność poszczególnych rozwiązań, bez względu na pewne różnice, jak również bez względu na zabiegi marketingowe firm zmierzające do odróżnienia się od ofert konkurentów, jest w sumie bardzo zbliżona.

Ogólna koncepcja działania jest wspólna dla wszystkich trzech rozwiązań. W sieci LAN muszą stanąć dedykowane serwery, których zadaniem jest weryfikacja poziomu zabezpieczeń urządzeń próbujących uzyskać dostęp do zasobów i usług sieci. Założenie jest takie, by po nawiązaniu połączenia z siecią urządzenie mogło komunikować się wyłącznie z takim dedykowanym serwerem i niczym więcej. Za pośrednictwem agentów działających na urządzeniu podłączającym się właśnie do sieci sprawdzi zgodność systemu operacyjnego oraz systemów zabezpieczeń (obecność, kompletność, spójność, fakt uruchomienia, stan aktualizacji, konfiguracja, wersja załadowanego zestawu reguł itp.).

Jeśli komputer będzie spełniać stawiane przez politykę bezpieczeństwa wymagania, uzyska dostęp do sieci. Jeśli okaże się, że komputer musi zostać zaktualizowany, serwer zabezpieczający sieć włączy go do wydzielonej podsieci-kwarantanny. Jest to osobna sieć, zrealizowana najczęściej za pomocą technologii VPN, w której komputer ma bardzo ograniczony dostęp do zasobów sieciowych - zwykle jest to tylko możliwość pobrania uaktualnień. Kiedy już wszystkie niezbędne uaktualnienia zostaną pobrane i zainstalowane, komputer zostanie automatycznie przeniesiony z sieci kwarantanny do właściwej sieci LAN z uprawnieniami, jakie normalnie przysługują jego użytkownikowi.

Budowanie siatki

Powyższe podejście wydaje się na pierwszy rzut oka eleganckie i skuteczne, gdy jednak zagłębić się nieco w szczegóły, okaże się, że w praktyce pojawia się bardzo dużo problemów i ograniczeń, czyniących implementację rozwiązania w sieci firmowej trudną. Pierwsza sprawa to obecność agenta po stronie klienta sieci. Druga to jego zdolność do rozpoznawania konfiguracji przeróżnych dostępnych na rynku pakietów oprogramowania zabezpieczającego stacje robocze. Trzecia sprawa to sprzeczne z powyższym postulatem oczekiwanie, że agent nie będzie wymagać "ręcznej" konfiguracji.

Firma, której system operacyjny jest zainstalowany na największej ilości stacji roboczych, będzie mieć najmniej problemów z dystrybucją swojego agenta i stworzenia z niej standardu de facto. To dlatego strategia Microsoftu, choć wciąż tylko na papierze, wzbudza tyle emocji. Oprogramowanie klienckie Cisco Trust Agent, które zajmuje się zbieraniem informacji o stanie stacji roboczych, jest dostępne już dziś. Trzeba je jednak osobno kupić i zainstalować, co w niektórych przypadkach może być problematyczne, a w każdym razie zniechęcające, gdy alternatywą będzie skorzystanie z "gotowca" dostępnego w systemie operacyjnym i to bez dodatkowych opłat. Być może, gdy rozwiązanie Microsoftu trafi już na rynek, Cisco będzie musiało co najmniej dostosować politykę cenową.

Sama dostępność oprogramowania klienckiego to jeszcze nie wszystko. Cisco i Juniper nie są na straconej pozycji, ponieważ kontrola dostępu i przyznawanie dostępu musi odbywać się na poziomie sieci. Nawet jeżeli ostateczna decyzja w dziedzinie praw dostępu byłaby podejmowana na poziomie Active Directory czy zintegrowanego z nią dedykowanego serwera, pośrednictwo urządzeń działających w warstwie trzeciej (TCP/IP), a nawet drugiej (tu: Ethernet) jest niezbędne.


TOP 200