Gdzie się kończy sieć?
- Józef Muszyński,
-
- Krystian Ryłko,
- 01.11.2005
Ochrona punktów końcowych sieci
Szybki rozwój zdalnych metod dostępu - wykorzystywanych przez pracowników mobilnych, klientów czy partnerów biznesowych - jest poważnym wyzwaniem dla bezpieczeństwa infrastruktury IT. Tradycyjne rozwiązania zdalnego dostępu, takie jak VPN, zapewniają bezpieczne połączenia, ale nie obejmują bezpieczeństwa klienta podłączającego się do sieci.
Punktem końcowym sieci może być pecet lub urządzenie mobilne, a także aplikacja, np. przeglądarka webowa lub aplikacja messagingu z podłączeniami do innych punktów końcowych w sieci. Punkt końcowy to zakończenie połączenia sieciowego współpracujące z użytkownikiem, który ma zasadniczy wpływ na jego bezpieczeństwo, a tym samym i całej sieci.
Urządzenia klienckie stają się ostatnio coraz częściej celem ataków, które nie mają intencji ich niszczenia. Można natomiast zaobserwować wykorzystywanie klienta jako agenta transferu zagrożeń do sieci przedsiębiorstwa.
Krytycznym zagadnieniem staje się więc zarządzanie ochroną punktów końcowych oraz sieci, do których się podłączają.
Oznacza to konieczność dysponowania mechanizmami kontroli zainstalowania i pracy właściwych aplikacji ochronnych, ich regularnego uaktualniania i aktualności łatek programowych.
Na rynku pojawia się wiele produktów i architektur ochronnych, przeznaczonych do izolowania od sieci potencjalnie podatnych na infekcje lub zainfekowanych maszyn.
Przykładem jest urządzenie
Network VirusWall 2500 i oprogramowanie OfficeScan 7 firmy TrendMicro. VirusWall jest urządzeniem włączanym do sieci, które może dopuszczać lub zabraniać dostępu do sieci zgodnie ze zdefiniowanym zestawem reguł polityki ustawianym w samym urządzeniu. System, który próbuje uzyskać dostęp do sieci, jest skanowany pod kątem luk (brakujące łatki, nieszczelne usługi). Może pracować przez VPN i integruje się z różnymi bramami VPN.VirusWall 2500 i jego możliwości wymuszania reguł polityki są ściśle zintegrowane z OfficeScan - tak więc przeoczone oprogramowanie antywirusowe może być łatwo zainstalowane, a wykryte wirusy usunięte automatycznie.
Innym przykładem jest Cisco Clean Access - technologia działająca w urządzeniach wpiętych do sieci i egzekwująca zgodność punktów końcowych z wymogami polityki - w połączeniu z modułami Cisco Trust Agent (CTA), rezydującymi na maszynach klienckich.
CCA identyfikuje sygnatury antywirusowe oraz brakujące łatki systemu operacyjnego. Używając interfejsu zarządzania CCA, można ustawić w urządzeniu reguły uwzględniające takie zdarzenia, jak: uwierzytelniony użytkownik, nieuwierzytelniony użytkownik, luki wykryte przez skanowanie i niepomyślna kontrola zgodności.
Jeżeli użytkownik nie zostanie uwierzytelniony przez CCA, można ograniczyć mu dostęp jedynie do określonych obszarów sieci. Użytkownik uwierzytelniony może być poddany kontroli na wyższym poziomie w celu uzyskania szerszego dostępu do zasobów sieci. System niespełniający wymagań można wyposażyć w plik instalacyjny, powiadomić komunikatem alarmowym lub skierować pod wybrany URL (w celach naprawczych).
Sieci VPN
PRZEGLĄD PAKIETÓW IPS/IDP*
Pojawiły się urządzenia umożliwiające zestawianie połączeń wirtualnych opartych zarówno na IPSec, jak i protokole SSL/TLS. Użytkownicy niewymagający dostępu do specjalistycznego oprogramowania i otoczenia sieciowego zadowalają się połączeniem SSL, natomiast osoby o większych wymaganiach i wiarygodności mogą zestawiać tunele IPSec.
Sieci VPN są wykorzystywane do zabezpieczania transmisji w sieciach WLAN. Jest to, jak dotąd, na strone 65 najpewniejsza metoda gwarantująca poufność, wobec ujawnianych co pewien czas przypadkach przełamania zabezpieczeń sieci WLAN (WPA, WEP).
Sieci VPN znajdują również zastosowanie przy zabezpieczaniu transmisji VoIP. Dostępne są sprzętowe rozwiązania realizujące transmisję VoIP-VPN. Oferują one mechanizmy QoS. Dzięki połączeniu telefonii IP z usługą VPN zdalni pracownicy mogą korzystać z firmowych central.
Produkty VPN często oferują sprawdzanie maszyny klienckiej pod kątem złośliwego oprogramowania oraz czyszczenie pamięci po zakończeniu sesji. Różnym grupom klientów można przydzielać odmienne strefy bezpieczeństwa.
Rozwiązania open source VPN nadają się tylko do mniejszych instalacji. Przy większej liczbie połączeń i obciążeniu złożoność obliczeniowa przerasta możliwości przeciętnego serwera. Na tym polu rozwiązania sprzętowe są bezkonkurencyjne. Nawet w mniejszych sieciach są one także atrakcyjną ofertą. Koszty najmniejszych VPN appliance wahają się w granicach 350-1000 zł. W zamian otrzymujemy prostotę i szybkość konfiguracji - opcje nie zawsze dostępne w darmowych produktach, oraz względną niezawodność.
Firmy, które nie chcą inwestować w sprzęt VPN oraz jego obsługę, mogą wykupić zarządzaną usługę VPN u firmy zewnętrznej. Usługa VPN znajduje się w ofercie wielu operatorów i ISP. Przykładem jest warszawski urząd miasta, dla którego sieć VPN łączącą 22 oddziały stworzył Crowley. Również Energis, Netia czy TP SA oferują takie rozwiązanie swoim klientom. Infonetics szacuje, że firmy na usługi VPN wydają ok.10 razy więcej niż na sprzęt do ich realizacji.
<hr size=1 noshade>Brama do dławienia spamu
Zapory z funkcją IDP
Kontrola dostępu do Internetu
Kompleksowa ochrona serwerów
VPN w obu standartach