Kontrola dostępu do sieci - kierunki rozwoju NAC

Architektura NAC (Network Access Control), w najbardziej podstawowej formie, wymusza stosowanie polityki bezpieczeństwa, obowiązującej w organizacji, w systemach próbujących podłączyć się do sieci lub chcących uzyskać dostęp do określonej jej części. Systemy NAC ustalają stan bezpieczeństwa urządzenia i - w ramach kontroli dostępu - na tej podstawie podejmują decyzje.

Architektura NAC (Network Access Control), w najbardziej podstawowej formie, wymusza stosowanie polityki bezpieczeństwa, obowiązującej w organizacji, w systemach próbujących podłączyć się do sieci lub chcących uzyskać dostęp do określonej jej części. Systemy NAC ustalają stan bezpieczeństwa urządzenia i - w ramach kontroli dostępu - na tej podstawie podejmują decyzje.

Kontrola dostępu do sieci - kierunki rozwoju NAC

Proces kontroli dostępu do sieci (NAC)

Stan urządzenia można ustalić w sposób prosty - np. uwierzytelnienie na podstawie znajomości użytkownika, lub złożony - m.in. wewnętrzne i zewnętrzne skanowanie systemu klienckiego. Skanowanie zewnętrzne może dotyczyć znanych luk, otwartych portów itp., podczas gdy skanowanie wewnętrzne może kontrolować ustawienia konfiguracyjne systemu operacyjnego, poziom zainstalowanych łatek, zainstalowane lub pracujące procesy, ocenę aktualności aplikacji ochronnych (sygnatury wirusowe) itp. Opierając się na tak określonym stanie bezpieczeństwa (IETF stosuje tu termin "posture"), system NAC decyduje, jaki zakres dostępu (włącznie z jego odmową) można przyznać urządzeniu.

Niezależnie od tego, czy użytkownik szkodzi świadomie, czy nieświadomie, jego komputer może stać się zagrożeniem dla sieci, także już po uzyskaniu dostępu do niej. Bardziej wymyślne systemy (post-admission NAC) mogą wykrywać tego rodzaju zdarzenia i wyzwalać reguły polityki nie tylko wtedy, gdy urządzenie podłącza się do sieci.

Dostępne na rynku produkty reprezentują szeroki zakres opcji dla poszukujących kontroli dostępu do sieci opartej na regułach polityki.

Rozwiązania używające systemu bramowego, przez który przechodzi cały ruch, oraz te, które integrują się bezpośrednio z infrastrukturą przełączników pozwalają, aby kompleksowa analiza ruchu była integralną częścią NAC. Pozwalają także - w przypadku anomalii w ruchu - na wyzwalanie reguł dostępu do sieci izolujących zainfekowane systemy i chroniących sieć i inne systemy przed "zarazą".

Problem z telefonią IP

Trudnym obszarem do stosowania NAC jest VoIP, ponieważ kontrola dostępu opiera się głównie na ocenie punktów końcowych sieci jako głównym czynniku decydującym o tym, czy urządzenie może uzyskać dostęp do sieci. Telefony VoIP to zazwyczaj rozwiązania firmowe, nieobsługujące oprogramowania klienckiego, które mogłoby skanować i dostarczać informacji o stanie bezpieczeństwa urządzenia końcowego.

Ponieważ kontrola punktów końcowych NAC z wykorzystaniem oprogramowania klienckiego nie wchodzi w rachubę, kolejną możliwością jest wykorzystanie uwierzytelniania MAC - tzn. uwierzytelnianie urządzenia końcowego na podstawie adresu MAC. W celu tworzenia polityki bezpieczeństwa dla telefonów może być ono połączone z identyfikacją systemu operacyjnego telefonu, używanego portu przełącznika i innych zewnętrznie rozpoznawalnych czynników.

Taka ocena może dawać pewne gwarancje, że logujące się urządzenie jest telefonem i to właśnie z niego nawiązywane jest połączenie, ale też pozostawia otwartą możliwość, że urządzenie jest czymś, co udaje telefon. Nie mówi też nic o tym, czy narzędzie jest zainfekowane.

Sposobem ochrony przed urządzeniem podszywającym się pod telefon, lub telefonem zainfekowanym, jest monitorowanie zachowań tego urządzenia z chwilą, gdy znajdzie się w sieci (post-admission NAC).

Ochrona NAC w tej sytuacji powinna mieć możliwość egzekwowania zasad polityki, które określają, jakie zasoby i telefony IP są dopuszczane do połączeń. Na przykład: urządzenie przedstawiające się jako telefon i próbujące połączyć się z serwerem zasobów kadrowych przedsiębiorstwa, telefonem prawdopodobnie nie jest. Reguły polityki post-admission NAC powinny odciąć takie urządzenia od sieci.

Gdzie umieścić NAC?

Innym problemem jest to, czy urządzenia NAC mają być wpinane bezpośrednio w sieć produkcyjną, czy poza nią. Odpowiedź nie jest jednoznaczna i zależy od konkretnego przypadku.

Urządzenia "inline" umiejscawiane są w środku przepływu ruchu, zazwyczaj przed przełącznikiem dostępowym, i decydują czy dopuścić lub ograniczyć ruch z każdego punktu końcowego, który loguje się do sieci. Jest to więc zarówno punkt decyzyjny, jak i egzekwujący reguły polityki NAC.

Urządzenie "out-of-band" oddziela funkcje decyzyjne od wykonawczych i może wykorzystywać całą gamę innych urządzeń do egzekwowania reguł polityki, w tym przełączniki, bramy czy zapory ogniowe.

Kontrola dostępu do sieci - kierunki rozwoju NAC

Komponenty infrastruktury NAP

Cechą ujemną urządzeń "inline" jest to, że w momencie przeciążenia mogą zakłócić zwykły przepływ ruchu sieciowego i stanowią wąskie gardło. Z kolei rozwiązania "out-of-band" wnoszą dużo większe zaburzenia do konfiguracji sieci.

Problem polega na właściwym zaprojektowaniu systemu kontroli dostępu i wyborze opcji lepiej do niego pasującej. Oba modele są bowiem tak samo efektywne w działaniu.

Urządzenia włączane bezpośrednio do sieci - w celu zapewnienia kontroli punktów końcowych, uwierzytelniania i egzekwowania reguł polityki NAC - nie są odpowiednie dla większych wdrożeń z powodu dużej liczby urządzeń wymaganych w tym modelu. Problemem jest tu konieczność szybkiego włączenia do sieci zbyt wielu urządzeń, które wymagają zarządzania i rutynowych działań konserwacyjnych.


TOP 200