NAC to termin, który mniej więcej od półtora roku coraz szybciej toruje sobie drogę w środowisku informatyki. Skrót ten jest na tyle chwytliwym i nośnym narzędziem marketingowym, że chcący nadążyć za modą menedżerowie IT chętnie otwierają drzwi przed handlowcami. Co tak naprawdę stoi za trzema magicznymi literami i czy skórka jest warta wyprawki?

NAC to koncepcja, której realizacja w idealnym kształcie powinna zapewniać pełną kontrolę dostępu do infrastruktury informatycznej. Stąd też nazwa, bo NAC to Network Access Control. Nazw tego podejścia, jak się za chwilę okaże, jest wiele, ale koncepcja pozostaje ta sama. Przyjmijmy więc, że NAC to wspólna nazwa bez względu na producenta, z którym mamy do czynienia.

Wydaje się, że NAC zrodził się wraz z rozwojem sieci VPN typu client-to-site, a w szczególności ich "bezklienckiej" odmiany, czyli clientless VPN. Rozwiązanie to okazało się w krótkim czasie bronią obosieczną. Z jednej strony użytkownicy przestawali narzekać, że nie mogą pracować będąc poza firmą, z drugiej wnosili do sieci tony poważnych zagrożeń. Powstała wówczas potrzeba kontrolowania tego, co dzieje się w miejscach, na które administratorzy mają znikomy wpływ - laptopach podróżujących pracowników lub - co gorsza - kawiarniach internetowych, z których sprawdzana jest np. firmowa poczta. Stąd był już tylko krok do rozszerzenia kontroli także o szczegółowe zasady dostępu w zależności od występujących warunków.

NAC obejmuje swoim zasięgiem trzy krytyczne obszary infrastruktury informatycznej. Na pierwszy ogień idzie jej brzeg: tutaj znajdą się wszystkie elementy, za pomocą których uzyskiwany jest dostęp do sieci, np. przełączniki, koncentratory VPN czy punkty dostępowe Wi-Fi. Po drugie, sięgając w głąb może to być dowolne miejsce wewnątrz infrastruktury, dodatkowo egzekwujące politykę bezpieczeństwa. I po trzecie, o czym już napomknęliśmy, jest to stacja robocza łącząca się do sieci. Tutaj oprócz weryfikacji samej stacji może zostać dodatkowo uwierzytelniony również użytkownik. W technologii NAC chodzi więc o to, żeby poddać kontroli możliwie wiele elementów infrastruktury pod kątem ich zgodności z polityką bezpieczeństwa.

Z czego to się składa?

Jak więc zbudowany jest NAC? Zacznijmy od wyjaśnienia tego, co wchodzi w jego skład. Tworzą go trzy grupy elementów: klient, punkt kontroli dostępu oraz centrum weryfikacyjne. W każdej z tych grup znajdują się elementy, które współpracując ze sobą tworzą spójny system kontroli dostępu.

Po stronie klienta muszą znaleźć się komponenty odpowiedzialne za weryfikację zarówno parametrów samej stacji, jak i tego w czyich rękach się ona znajduje.

Sprawdzaniem samej stacji zajmują się kolektory stanu (posture collectors). Ich zadaniem jest diagnoza, czy np. stacja ma zainstalowane aktualne oprogramowanie antywirusowe, czy nie są uruchomione "wrogie" aplikacje, jak np. VNC, czy pracuje zapora itp.

Po zebraniu informacji muszą być one gdzieś przekazane celem normalizacji i dalszego przetworzenia. Do tej roli zaprzęgnięty jest pośrednik klienta (client broker).

Wreszcie jakiś element musi podjąć się zadania połączenia z siecią - jest to łącznik sieciowy (Network Access Requestor). Jego funkcję może pełnić klient IPSec VPN czy też suplikant 802.1x (o tym więcej za chwilę). Tutaj też może zadziałać mechanizm uwierzytelnienia użytkownika.

Kiedy wszystkie te informacje zostają zebrane, są przesyłane do punktu kontroli dostępu (enforcement point). Jest to nic innego jak współpracujący z NAC firewall, switch czy brama VPN.

W momencie kiedy informacje płyną od klienta, punkt kontroli dostępu zachowuje się jak przekaźnik - podaje je dalej wprost do centrum weryfikacji. Rezydują tu komponenty, które w pewnym stopniu są odwzorowaniem tego, co znajduje się na kliencie. Są więc weryfikatory stanu (posture validators), które analizują dane przesłane przez kolektory stanu. Jest pośrednik serwera (server broker), który przekazuje dane pomiędzy weryfikatorami stanu a następnym klockiem - urzędem dostępu (network access authority). Ten z kolei, po otrzymaniu wszystkich danych i skonsultowaniu ich z weryfikatorami stanu, serwerem uwierzytelnienia oraz polityką bezpieczeństwa podejmuje decyzję, którą komunikuje punktowi kontroli dostępu.

Klient, w zależności od werdyktu, otrzymuje światło zielone- zgodę na dostęp, czerwone - odmowę dostępu, bądź żółte, które oznacza mniej więcej: "Żeby dostać zgodę, musisz wykonać następujące czynności... (np. zaktualizować bazę definicji antywirusowych). Daję ci dostęp do zasobów, które pomogą w wykonaniu tych czynności. Potem spróbuj ponownie, a jeżeli spełnisz określone wymogi, to zezwolę na dalszy dostęp".

Trudna droga do porozumienia

Wydaje się więc, że jest to po prostu genialny pomysł na podniesienie poziomu bezpieczeństwa. Problem w chwili obecnej polega na tym, że nie ma zgody co do standardów. Jest kilka wiodących koncepcji, z których każda próbuje torować sobie drogę na rynku. Nie znaczy to, że temat NAC jest niezauważany przez organizacje zajmujące się tworzeniem standardów.

Świadczy o tym chociażby działalność IETF (Internet Engineering Task Force), która powołała zespół mający zająć się właśnie tą problematyką. Nosi on nazwę NEA (Network Endpoint Assessment). NEA rozpoczął prace dosyć późno, kiedy producenci wprowadzali już do sprzedaży mniej lub bardziej kompletne rozwiązania. Dlatego też wysiłki skupiają się nie tyle na stworzeniu kolejnego standardu, co wypracowaniu mechanizmów, które pozwolą na komunikację tego, co już funkcjonuje - tak aby możliwa była współpraca pomiędzy wieloma produktami. Ostatecznego rezultatu prac IETF NEA powinniśmy się spodziewać już całkiem niedługo - latem tego roku. Naturalne jest zatem, że wiodący producenci lobbują na rzecz wykorzystywanej przez siebie technologii. Już teraz wiadomo, że NEA przede wszystkim wzięła pod uwagę trzy całkiem dobrze opracowane standardy - Cisco NAC, Microsoft NAP oraz Trusted Computer Group TNC. Śledząc doniesienia prasowe można odnieść wrażenie, że największy wpływ na decyzje IETF wywiera pierwszy producent.