Cichy uczestnik NAC

Niewątpliwie szarą eminencją NAC - właściwie niezależnie od przyjętej koncepcji - jest standard 802.1x, który coraz częściej wykorzystywany jest do kontroli dostępu na niskim poziomie - warstwa 2. Bez jego znajomości dość trudno zaplanować całościową implementację NAC.

802.1x to standard umożliwiający przekazywanie EAP w sieciach przewodowych oraz bezprzewodowych, czyli mówiąc prościej zaszycie komunikatów EAP w ramkach ethernetowych. W sieciach Wi-Fi 802.1x wspomaga proces wymiany informacji o kluczach oraz samych kluczy (największa słabość protokołu WEP zostaje usunięta wraz z wprowadzeniem 802.1x).

Jak wspomnieliśmy, 802.1x jako protokół wykorzystuje EAP (Extensible Authentication Protocol), który daje możliwość zastosowania wielu metod uwierzytelniania. Powstał on w odpowiedzi na rosnące wymagania bezpieczeństwa i jest szeroko wykorzystywany m.in. w popularnym protokole PPP. Opiera się na modelu klient-serwer. W typowej konfiguracji na 802.1x składają się trzy elementy.

Pierwszym jest klient (tzw. suplikant) - może nim być urządzenie czy też użytkownik, który ma być uwierzytelniony. Drugi to punkt dostępowy (np. switch czy Access Point), określany mianem autentykatora. Nie jest on żadnym punktem decyzyjnym. Pełni jedynie funkcję pośrednika pomiędzy klientem a ostatnim z elementów - serwerem uwierzytelniającym, odpowiedzialnym za uwierzytelnianie urządzeń czy użytkowników.

Dwa kolejne terminy, które trzeba przyswoić, to TTLS (Tunneled TLS) oraz Protected EAP. Są to protokoły uwierzytelniania, wykorzystywane przez EAP, które zapewniają szyfrowanie asymetryczne. Korzystają również z certyfikatów oraz protokołu TLS, dzięki którym nawiązywany jest tunel pomiędzy autentykatorem a klientem.

Pomiędzy PEAP i TTLS istnieją różnice. Najistotniejszą z praktycznego punktu widzenia jest to, że PEAP pozwala skorzystać tylko z takich metod uwierzytelniania, jakie oferuje EAP, TTLS daje szersze pole do popisu. W przypadku NAC standard 802.1x oraz zbudowany za pomocą TTLS/PEAP tunel jest wykorzystywany do przesyłania informacji o "stanie" klienta do serwera uwierzytelniania. Całe obciążenie związane z obsługą 802.1x spoczywa na kliencie (suplikancie) oraz serwerze uwierzytelniającym.

Spróbujmy odpowiedzieć na pytanie, jak prezentują się trzy wiodące koncepcje NAC, oferowane przez Cisco, Microsoft oraz TCG. Zacznijmy od tego z graczy, który w propagację idei NAC włożył chyba najwięcej wysiłku - Cisco.

Cisco - Network Admission Control

W architekturze Cisco NAC jest rozumiany jako Network Admission Control. Po stronie klienta rezyduje oprogramowanie Cisco Trust Agent. Pełni ono rolę podwójną - pośrednika klienta oraz Network Access Requestor. Do tego jest darmowe. Jakiś czas temu pojawiła się pogłoska, że CTA zostanie udostępniony jako oprogramowanie typu open source. Radość była przedwczesna, gdyż w marcu tego roku Cisco niestety stanowczo temu zaprzeczyło.

Idźmy jednak dalej. Nieobsadzony pozostaje jeszcze jeden wakat - kolektora stanu. Tutaj Cisco ze swojej strony proponuje desktopowy IPS - Cisco Secure Agent. Daje też pole do popisu producentom, którzy zadeklarowali współpracę i zaimplementowali w swoich aplikacjach wsparcie dla NAC - są to głównie produkty antywirusowe. Lista współpracowników jest dość długa i stale się poszerza (http://www.cisco.com/web/partners/pr46/nac/partners.html.

W warstwie 2 Cisco wybrało EAP jako protokół uwierzytelniania, z tym że stworzyło w jego ramach własną metodę EAP-FAST (Flexible Authentication via Secure Tunneling). Rezydujący po stronie klienta Cisco Trust Agent wspiera dwa mechanizmy - EAP-over-802.1x oraz EAP-over-UDP. O ile ten pierwszy jest typowym rozwiązaniem, to drugi stanowi swego rodzaju novum. Chodzi tutaj o to, że w chwili przyłączania klienta do infrastruktury za pośrednictwem urządzenia, które nie obsługuje 802.1x (np. przełącznika), w dalszym ciągu mogą zostać przesłane informacje zawarte w EAP, z tą jednak różnicą, że zostają ekspediowane po UDP. Oprócz sposobu transportu danych jest tutaj jeszcze jedna, bardzo istotna różnica. EAP-over--UDP nie niesie w sobie danych uwierzytelniających użytkownika - muszą więc zostać zastosowane inne mechanizmy. Jeżeli więc wykorzystywany jest EAP-over-UDP, to sprawdzany jest tylko i wyłącznie stan stacji klienckiej.

Cisco Trust Agent natywnie nie wspiera środowisk WLAN - konieczne jest zastosowanie produktu innego producenta. W swoim podejściu do NAC Cisco skupia się na badaniu poziomu bezpieczeństwa stacji końcowej, spychając problem uwierzytelnienia użytkownika na dalszy plan. Jeżeli chodzi o urządzenia kontrolujące dostęp do sieci, czyli punkty kontroli dostępu, to w tej roli mogą wystąpić wszelakiego rodzaju produkty. Mogą to być routery, przełączniki, koncentratory VPN czy firewalle. Warunkiem jest, aby były one zgodne z koncepcją NAC wg Cisco.

Wreszcie na drugim końcu barykady - tj. w centrum weryfikacji, rolę pierwszoplanową pełni Cisco Secure ACS (Access Control Server) - serwer AAA (authentication, authorization, accounting). Bierze on na siebie zadanie pośrednika serwera oraz urzędu dostępu (jest serwerem RADIUS, uwierzytelnia użytkowników).

Weryfikatorami stanu są z kolei aplikacje innych producentów - z reguły stanowiące komplet z kolektorami stanu. Ciekawym pomysłem wprowadzonym przez Cisco jest możliwość dodania do farmy centrum weryfikacji skanera podatności. Dzięki niemu na stacjach, które podłączają się do infrastruktury i nie posiadają oprogramowania CTA, może być przeprowadzony audyt zabezpieczeń. W oparciu o informacje otrzymane od skanerów podatności lub weryfikatorów stanu (albo i jednego, i drugiego) ACS podejmuje stosowne decyzje.