LAN bezpieczny jak Wi-Fi

Takie założenia utrudniają pozyskanie uprawnień przez intruza przez skradzione hasło. Implementacja rozwiązań, które różnicują poziom dostępu, łącząc tożsamość, miejsce i sposób połączenia, nadal są rzadkością w Polsce, przez to firmowa sieć rzadko osiąga dostateczny poziom bezpieczeństwa.

Kto się łączy?

Uwierzytelnienie komputerów przy wykorzystaniu NAC zakłada instalację agenta uwierzytelniającego w systemie operacyjnym Microsoft Windows. Podczas zestawiania połączenia port jest blokowany lub przypisany do podsieci o ograniczonych uprawnieniach. Dopiero po spełnieniu wszystkich warunków (takich jak aktualność systemu, oprogramowania antywirusowego, uprawnienia użytkownika) komputer zostanie przełączony do właściwej podsieci, uzyskując dostęp do firmowych zasobów.

Zobacz również:

W przypadku urządzeń innych niż stacje robocze z Windows i nieposiadających przeglądarki internetowej, można przeprowadzić proces uwierzytelnienia z pominięciem 802.1x, niemniej występuje wtedy opóźnienie w dostępie komputera do sieci (typowo są to trzy próby, po 30 sekund każda), zatem należy odpowiednio dostosować ustawienia DHCP. Ponadto trzeba opracować i utrzymywać bazę danych znanych adresów sprzętowych MAC. W ten sposób można sprawnie uwierzytelnić telefony IP.

Jeśli urządzenie nie ma zainstalowanego agenta, a nie można zastosować uwierzytelnienia na podstawie adresu MAC, można skorzystać z metody logowania przy pomocy przeglądarki internetowej. W ten sposób można uwierzytelnić użytkowników sieci i niezbędna jest do tego przeglądarka internetowa, ponadto użytkownik musi ręcznie wpisać login i hasło. Niemniej może być to kolejny etap, w przypadku niepowodzenia poprzednich metod.

Tekst powstał na podstawie prezentacji wygłoszonej przez Przemysława Pisarka i Adama Obszyńskiego na konferencji Cisco Forum 2011 w Zakopanem. Computerworld był patronem medialnym tej konferencji.

Szyfrowanie połączenia

Przy połączeniu w sieci LAN poważnym problemem jest brak sprzętowego szyfrowania transmitowanych danych. Poprawę przynosi technologia Media Access Control Security (MACSec), która zapewnia szyfrowanie dla połączeń LAN równoważne typowym połączeniom VPN lub WLAN, za pomocą algorytmu AES GCM z kluczem 128 bitów. Zabezpieczenia te są zaaprobowane przez NIST (IEEE802.1AE - szyfrowanie, IEEE802.1X-2010/MKA - zarządzanie kluczami). W odróżnieniu od modelu typowego dla VPN, w którym szyfrowanie odbywa się na poziomie oprogramowania instalowanego w systemie klienta, tutaj można skorzystać ze wszystkich dostępnych dotąd metody inspekcji i analizy danych.


TOP 200