NAC - cztery sposoby dyscyplinowania dostępu

W epoce internetowych robaków, zombie i botnetów komputery mobilne same w sobie stają się końmi trojańskimi - często nie wiadomo dokładnie, gdzie się znajdują i czym zostały "nakarmione" poza firmową siecią. Rozwiązaniem problemu może stać się wdrożenie rozwiązania NAC (Network Access Control).

W epoce internetowych robaków, zombie i botnetów komputery mobilne same w sobie stają się końmi trojańskimi - często nie wiadomo dokładnie, gdzie się znajdują i czym zostały "nakarmione" poza firmową siecią. Rozwiązaniem problemu może stać się wdrożenie rozwiązania NAC (Network Access Control).

W swej podstawowej formie architektura NAC wymusza stosowanie obowiązującej polityki bezpieczeństwa w systemach próbujących podłączyć się do lub chcących uzyskać dostęp do jej określonej części. Systemy NAC ustalają stan bezpieczeństwa urządzenia i - opierając się na tych ustaleniach - podejmują decyzje o dostępie do sieci. Stan urządzenia można ustalić w prosty sposób, np. przez uwierzytelnienie znanego użytkownika lub złożony, np. przez wewnętrzne i zewnętrzne skanowanie systemu klienckiego. Skanowanie zewnętrzne może dotyczyć znanych luk, otwartych portów itp., podczas gdy skanowanie wewnętrzne może kontrolować ustawienia konfiguracyjne systemu operacyjnego, poziom zainstalowanych łatek, zainstalowane lub pracujące procesy, ocenę aktualności aplikacji ochronnych (sygnatury wirusowe) itp. Opierając się na tak określonym stanie bezpieczeństwa (IETF stosuje tu termin "posture"), system NAC decyduje, jaki zakres dostępu, włącznie z odmową, można przyznać urządzeniu.

Pod uwagę mogą być brane także zmiany, które pojawiły się w urządzeniu po tym, jak uzyskało gwarancję dostępu. Urządzenie może stać się zagrożeniem dla sieci po uzyskaniu dostępu, kiedy nowe procesy staną się aktywne. Bardziej wymyślne systemy NAC mogą wykrywać tego rodzaju zdarzenia i wyzwalać reguły polityki nie tylko wtedy gdy urządzenie podłącza się do sieci.

Cztery rozwiązania do testu

W przeprowadzonych testach sprawdzono cztery rozwiązania:

  • Enterasys Sentinel Trusted Acceess
  • McAfee Policy Enforcer
  • Symantec Network Access Control
  • Trend Micro Network VirusWall Enforcer

Stworzono sześć różnych scenariuszy typowych dla biznesu i skonfigurowano każde z rozwiązań NAC, tak by w jak najlepszy sposób było przygotowane na postawione zadania. Scenariusze obejmowały dostęp gościnny nieuwierzytelniony, gościnny uwierzytelniony (używając uwierzytelnienia 802.1x lub uwierzytelniania webowego), uwierzytelniony użytkownik (z urządzenia w dobrej kondycji i z urządzenia w złej kondycji pod względem bezpieczeństwa) oraz uprzywilejowany użytkownik ze specjalnymi uprawnieniami dostępu. Testowano także jak rozwiązania obsługują urządzenie, które było w dobrym stanie w momencie uzyskiwania dostępu, a następnie przeszło w nieodpowiedni po uzyskaniu dostępu (zob. "Jak testowano").

Enterasys zapewnia sieciowy system wymuszania reguł polityki w przełącznikach i do określenia kondycji bezpieczeństwa urządzeń próbujących uzyskać dostęp do sieci używa: systemu skanowania, systemu określania stanu oraz (opcjonalnie) sieciowego wykrywania wtargnięć.

System jest bramą egzekwującą, sprawdzającą ruch przechodzący przez urządzenie i używającą na kliencie kolektorów stanu (posture collectors) do określenia jego kondycji.

Symantec oferuje zarówno bramę NAC, jak i działanie oparte na DHCP. W zależności od potrzeb możliwe jest używanie jednego lub obu rozwiązań. Podobnie jak rozwiązanie Trend Micro, system używa agentów kolektora stanu i sprawdza ruch przechodzący przez bramę w celu określenia co jest dozwolone, a co nie.

Ostatni z testowanych systemów, McAfee Policy Enforcer, używa kombinacji: menedżera polityk, dowolnego z obsługiwanych łączników sieciowych (Network Access Requestor) i kolektora stanu. Pozwala to na stosowanie dostatecznie szczegółowych reguł opartych na charakterystykach dostarczanych przez wiele różnych weryfikatorów stanu (posture validators), włączając w to systemy antywirusowe konkurentów. Do kontrolowania dostępu używa przydziałów VLAN.

W sieciach, gdzie do segregowania urządzeń używa się VLAN-ów, wszystkie cztery rozwiązania dają możliwość przerzucania systemów do odpowiednich VLAN z uwagi na różne stany. System McAfee ma możliwość rozróżniania lokalizacji i może wybierać odpowiedni VLAN opierając się na lokalizacji użytkownika. System Enterasys uzupełnia przydział VLAN o reguły oparte na portach firmowych przełączników.

Inną rzeczą różniącą produkty jest obsługa 802.1x. Niektóre przedsiębiorstwa będą zapewne wykorzystywać uwierzytelnianie 802.1x w celu zapewnienia różnych usług i poziomów dostępu do sieci opartych na tożsamości użytkownika. Dla nich system, który integruje 802.1x i tożsamość użytkownika, będzie zapewne interesujący. Symantec i McAfee nie zapewniają tego.

Jeżeli istotny jest jedynie problem stanu bezpieczeństwa podłączających się systemów i łatwy dostęp internetowy dla gości, implementacja 802.1x nie jest konieczna.

Sentinel Trusted Access 1.1

Producent: Enterasys Networks (http://www.enterasys.com)

Cena: 36 tys. USD za komponenty NAC i polityki; 125 tys. USD za opcjonalną ochronę przed intruzami.

Cechy: Pełna oferta NAC Enterasys daje przedsiębiorstwu możliwość projektowania precyzyjnie dostrojonych polityk i ich egzekwowania. Tak szeroki zakres prowadzi do pewnej niezbędnej złożoności interfejsu administracyjnego, ale integracja z przełącznikami Enterasys pozwala na wykorzystanie dogłębnej wiedzy o ruchu jako elementu tych polityk.


TOP 200