Kontrola w wersji open source

Ochrona dostępu do sieci firmowej to obecnie podstawowy element systemu bezpieczeństwa w każdej firmie, o którym nie zapominają również producenci oprogramowania open source.

Ochrona dostępu do sieci firmowej to obecnie podstawowy element systemu bezpieczeństwa w każdej firmie, o którym nie zapominają również producenci oprogramowania open source.

W wielu instytucjach i firmach instalowane jest oprogramowanie NAC (Network Access Control) przeznaczone do kontroli dostępu do sieci. Są to przeważnie rozbudowane i względnie drogie pakiety komercyjne, przeznaczone do współpracy z zaawansowaną infrastrukturą sieciową. Ale na rynku dostępne są też znacznie prostsze i tanie rozwiązanie rozwijane w modelu open source, takie jak PacketFence lub FreeNAC, na które warto zwrócić uwagę, bo umożliwiają one istotne zwiększenie poziomu bezpieczeństwa przy stosunkowo niewielkich nakładach finansowych.

Techniki kontroli NAC

Zadaniem systemu NAC jest zapewnienie kontroli nad urządzeniami podłączanymi do sieci teleinformatycznej przedsiębiorstwa. Rozwiązania NAC można podzielić pod kątem mechanizmów zabezpieczenia na dwie grupy - separujące nieautoryzowane maszyny za pomocą zmiany stref DHCP i odpowiedniej modyfikacji ARP oraz wymuszające zmianę ustawień na przełącznikach sieciowych i innych elementach aktywnych.

Kontrola w wersji open source

Kontrola i zabezpieczanie dostępu do sieci firmowej to podstawowy element każdego systemu IT.

Pierwsze z rozwiązań jest najprostsze do wykonania, nie wymaga inwestycji w infrastrukturę teleinformatyczną (działa z każdym koncentratorem i przełącznikiem sieci lokalnej) i funkcjonuje w przypadku urządzeń korzystających z adresów przydzielanych za pomocą DHCP. Do tej grupy można zaliczyć także narzędzia instalowane na stacjach roboczych, które wprowadzają wymuszenie ustawień zapory sieciowej na hoście w razie niezgodności z polisami zabezpieczeń (self-enforcement). Niestety możliwość modyfikacji adresu IP przez użytkownika oraz manipulacje tablicami ARP czy zaporą obniżają skuteczność tego NAC.

Najbezpieczniejsze są rozwiązania wymuszające przełączenie maszyny do podsieci kwarantanny za pomocą wyboru odpowiedniego VLAN-u na przełączniku. Wtedy niezależnie od działań użytkownika, system dokona przełączenia do właściwej podsieci. W podsieci kwarantanny można przygotować dostęp do Internetu albo jakieś inne usługi przeznaczone dla gości, zaś podsieć firmowa będzie od niej odseparowana. Większość komercyjnych rozwiązań wykorzystuje właśnie taką metodę wymuszania ograniczeń dostępu.

Ochronna bariera PacketFence

Najłatwiejszym do wdrożenia pakietem NAC realizowanym w modelu jest PacketFence (http://www.packetfence.org/ ). W praktyce rozwiązanie to zostało już wdrożone na wielu uniwersytetach, zaś dzięki wykorzystaniu jedynie modyfikacji stref serwera DHCP oraz manipulacji tablicami ARP, może pracować w niemal każdym środowisku.

Oprogramowanie umożliwia uwierzytelnienie za pomocą serwera Apache i wielu jego schematów. PacketFence obsługuje portal naprawy (remediation portal) i pasywnie wykrywa systemy operacyjne komputerów analizując zapytania do serwera DHCP. Dzięki analizie zapytań, potrafi automatycznie rejestrować urządzenia nie podlegające uwierzytelnieniu, takie jak telefony IP, a także blokować niepożądane systemy operacyjne (na przykład nie wspierane już Windows 9x) oraz routery z włączoną opcją NAT. Dzięki integracji z programem Nessus, możliwa jest rejestracja stacji roboczych po ich uprzednim przeskanowaniu przy pomocy tego narzędzia.


TOP 200