NAC dostępny - tylko dla sprawdzonych

Kontrola dostępu do sieci, czy inaczej ochrona punktów końcowych sieci, jest uważana za jedną z najważniejszych technologii bezpieczeństwa sieciowego od czasu pojawienia się zapór ogniowych. NAC (Network Access Control) jest szeroko stosowanym pojęciem marketingowym. Poszczególni dostawcy mają różne pomysły, jak ze swoimi produktami i usługami najlepiej się w to pojęcie wpasować.

Kontrola dostępu do sieci, czy inaczej ochrona punktów końcowych sieci, jest uważana za jedną z najważniejszych technologii bezpieczeństwa sieciowego od czasu pojawienia się zapór ogniowych. NAC (Network Access Control) jest szeroko stosowanym pojęciem marketingowym. Poszczególni dostawcy mają różne pomysły, jak ze swoimi produktami i usługami najlepiej się w to pojęcie wpasować.

Pojawia się coraz więcej architektur i narzędzi zaprojektowanych do tworzenia silnych powiązań między użytkownikami, systemami i dostępem do zasobów sieciowych.

W początkowej fazie rozwoju, w jakiej się obecnie znajduje, NAC wydaje się zagmatwana i skomplikowana w poprawnej implementacji. Chociaż ogólna idea kontroli dostępu do sieci wciąż pozostaje bardzo prosta: to, kim jesteś, powinno decydować o tym, co możesz wykonać w sieci. NAC jest więc metodą stosowania reguł polityki w odniesieniu do dostępu w ramach LAN, czy infrastruktur VPN. Reguły kontroli dostępu NAC mogą być bardzo proste: np. wpuścić - nie wpuścić do sieci, ale też bardziej złożone, jak np. wiązanie użytkownika z dostępem do wybranych części sieci.

W ramach NAC używa się trzech podstawowych elementów do określania reguł dostępu: uwierzytelnianie, ocena bezpieczeństwa punktów końcowych i informacje środowiskowe sieci.

Uwierzytelnianie jest prostą transakcją typu kim jesteś?, z pomocą której użytkownicy są kojarzeni z innymi aplikacjami. Koncepcja NAC nie stawia specjalnych wymogów odnośnie do uwierzytelniania.

Dobre wdrożenie NAC powinno jednak używać takiego samego schematu uwierzytelniania, jak inne aplikacje. Na przykład jeżeli stosuje się NAC do zdalnego dostępu IPSec VPN, to do zestawienia tunelu powinno się używać takiego samego uwierzytelniania jak dla użytkownika.

Ocena bezpieczeństwa punktów końcowych jest najbardziej złożoną częścią wyboru reguł polityk NAC, ale jest jednocześnie największą motywacją do wdrażania NAC.

Główna idea polega na tym, że właściwa ochrona łączących się z siecią laptopów, desktopów czy serwerów powinna być częścią polityki kontroli dostępu. Przykładowo, jeżeli podłączający się system nie zawiera standardowo przyjętych pakietów antywirusowych, to powinien podlegać innym regułom kontroli dostępu, niż gdyby posiadał prawidłową ochronę antywirusową i aktualne sygnatury wirusów.

Informacje środowiskowe sieci to niewielka, ale ważna część wyboru reguł polityki dostępu w schemacie NAC. Informacje środowiskowe mogą być szczegółowymi danymi o tym, czy użytkownik łączy się przez sieć bezprzewodową czy przez VPN, lub czy znajduje się on w tym samym budynku, czy też w innym kraju lub mieście.

Takie okoliczności mogą wpływać na decyzje, jaką politykę dostępu przyporządkować łączącemu się systemowi. Na przykład łącząc się przez VPN, można nie otrzymać takiego zakresu dostępu, jak przy łączeniu się bezpośrednio przez sieć LAN w budynku.

Przed przystąpieniem do rozpoznania, kto jest kim w dziedzinie NAC, konieczne jest określenie podstawowych elementów tego typu kontroli.

Istnieją trzy podstawowe podejścia do zagadnienia kontroli dostępu, klasyfikowane wg miejsca, w którym jest ona egzekwowana w przedsiębiorstwie: kontrola na obrzeżu sieci, kontrola wewnątrz sieci i kontrola na poziomie klienta.

Kontrola brzegowa przejmuje reguły gry zapory ogniowej i stosuje je na obrzeżu sieci, gdzie łączą się systemy. Jeżeli chroniony jest LAN, to punktem kontrol-nym NAC staje się indywidualny port przełącznika.

Jeżeli pracuje się z połączeniami VPN, to zadanie egzekwowania kontroli dostępu spada na koncentrator IPSec lub urządzenie SSL VPN. W środowisku WLAN rola NAC przypada bezprzewodowemu przełącznikowi lub punktowi dostępowemu.

W schemacie kontroli wewnątrzsieciowej ochrona taka może być egzekwowana gdziekolwiek w sieci pod warunkiem, że jest to punkt poza urządzeniami brzegowymi. Urządzenie NAC można włączyć do sieci bezpośrednio lub jako pasywne odgałęzienia przełączników, gdzie zbierane będą informacje związane z uwierzytelnianiem i ochroną punktów końcowych sieci, aby następnie wymuszać odpowiednią politykę kontroli dostępu. Takie urządzenia sprawdzają ruch lub tylko informacje czysto sterujące, które przez nie przechodzą, i komunikują się z siecią w celu zmiany konfiguracji mającej na celu egzekwowanie reguł polityki.

NAC na poziomie klienta skupia się na ochronie punktów końcowych sieci, gdzie większą uwagę poświęca się zarządzaniu i kontroli systemów końcowych. Można w każdym systemie końcowym zainstalować aplikację, która egzekwuje reguły kontroli dostępu do sieci, jak również kontrolę dostępu lokalnego, np. wyłączanie dostępu bezprzewodowego, jeżeli nie jest używany klient VPN.

Chociaż podejście z kontrolą na poziomie klienta jest atrakcyjne z powodu kosztów i uproszczonego zarządzania, to jednak nie dość silnie pokrywa się z koncepcją NAC zakładającą integrację z siecią w celu wymuszania uwierzytelniania czy zapewnienia kontroli dostępu opartej na tożsamości.

Żadna też ze struktur NAC promowana przez najważniejszych graczy na rynku sieciowym nie pasuje tylko do jednej z trzech wymienionych kategorii.

I tak np. strategia Infranet firmy Juniper, producenta zapór ogniowych i urządzeń SSL VPN (ale już nie przełączników), jest bardziej zorientowana na kontrolę w rdzeniu sieci, z wyjątkiem sytuacji, gdy jest stosowana do użytkowników SSL VPN, w którym to wypadku strategia wygląda raczej na kontrolę brzegową.

Network Admission Control Cisco jest bardziej skupiona na urządzeniach brzegowych i została tak zaprojektowana, aby zachowywać się zgodnie z regułami strategii kontroli na obrzeżu sieci, a to głównie z tego powodu, iż większość przełączników sieci przewodowych w przedsiębiorstwach to produkty Cisco. Firma wykorzystuje też strumień sterowania generowany przez jej przełączniki do obsługi środowisk, gdzie są zainstalowane stare przełączniki, które nie mogą obsługiwać NAC. Tak więc architektura ta zawiera również aspekty kontroli w rdzeniu sieci.

Istnieją też inne charakterystyki różnicujące podejścia do NAC. Niektórzy dostawcy zakładają, że do oceny bezpieczeństwa punktów końcowych wystarczy jednorazowa kontrola w czasie podłączania systemu, podczas gdy inni widzą konieczność ciągłego sprawdzania i weryfikowania stanu punktu końcowego. Część dostawców koncentruje się na bezpieczeństwie punktów końcowych jako kluczowym czynniku implementowania NAC, inni natomiast skupiają się na uwierzytelnianiu i regułach polityki bezpieczeństwa. Niektóre rozwiązania pracują dobrze w środowiskach, w których instalują własne moduły agentów w punktach końcowych, inne próbują objąć swym zasięgiem środowiska bez agentów.

Chociaż trzy podejścia implementacyjne pozwalają na wstępny wybór rozwiązania NAC na własne potrzeby, to jednak konieczna jest bardziej szczegółowa ocena architektury proponowanych rozwiązań w celu określenia, które z nich najlepiej nadaje się do danego środowiska.

Pierwszą trudność w ocenie architektur NAC stanowi spora liczba opracowań na papierze, ale wcale nie tak wiele produktów.

Kiedy w lipcu 2004 r. Microsoft wkroczył w obszar NAC z koncepcją Network Access Protection, to w roli podstawowego mechanizmu egzekwowania reguł założył stosowanie sieciowego serwera DHCP: jeżeli kontrola punku końcowego wypada niepomyślnie, to otrzymuje on adres IP kierujący go w obszar kwarantanny, tak aby nie zakłócał reszty sieci, ale jednocześnie mógł rozwiązać swój problem zgodności.

Chociaż takie podejście doskonale nadaje się dla zamkniętej społeczności współpracujących ze sobą użytkowników, to jednak nie chroni dobrze przed intruzami chcącymi uzyskać nieautoryzowany dostęp do sieci.

W rezultacie firma zmieniła swoją architekturę, dodając silniejsze mechanizmy oparte na 802.1X.

Zmiana była stosunkowo łatwa, ponieważ wszystko, co Microsoft musiał w tym wypadku zrobić, to wprowadzenie opisu takich mechanizmów do kilku dokumentów publikowanych na swoich stronach WWW. Network Access Protection ma być dostępny wraz z wersją Vista systemu operacyjnego Windows, mającą się pojawić na początku przyszłego roku. Jednak nie ma żadnej pewności, że na dyskach dystrybucyjnych będą zawarte wszystkie mechanizmy architektury NAC.