Network Access Control – czy to ma jeszcze sens?

Warto dodać, że w Stanach Zjednoczonych rozwiązania NAC cieszą się dość dużą popularnością – w szczególności tam, gdzie przewija się duża liczba osób mogących lub chcących mieć dostęp do sieci. Przykładem są uniwersytety, takie jak choćby Uniwersytet Południowej Karoliny. Jego władze twierdzą, że dzięki tej technologii oszczędzają rocznie około 40 tysięcy dolarów blokując wykorzystanie aplikacji P2P przez studentów. W przypadku wykrycia obecności oprogramowania tego typu student otrzymuje komunikat ostrzegający i zostaje mu odcięty dostęp do sieci. Ma następnie dwie możliwości – albo odinstaluje oprogramowanie P2P, albo cyfrowo podpisze oświadczenie, że świadom jest ewentualnej odpowiedzialności w przypadku naruszenia prawa. Nie wszyscy jednak są tak zadowoleni. Po drugiej stronie barykady mamy np. Uniwersytet Wolverhampton. Zaimplementowany w 2007 roku system przerosły wymagania stawiane współczesnym środowiskom. Co miesiąc z dostępem do sieci miało problem średnio 20–30 uprawnionych osób korzystających przede wszystkim z access pointów. Niby nie dużo, ale obciążenie lokalnego zespołu IT wzrosło. Zapewne rzeczywistość nie była taka jednoznaczna – można się domyślać, że część problemów wynikała z „leciwości” wdrożonego systemu.

• Mówiąc o dowolnej technologii, z reguły padają pytania o przypadki użycia. Te dla technologii NAC (w skrócie) można podzielić następująco:

• Weryfikacja poziomu zgodności z polityką bezpieczeństwa urządzeń podłączanych do sieci korporacyjnej, a następnie po uzyskaniu dostępu stałe jego monitorowanie.

• Prowadzenie zautomatyzowanych akcji naprawczych w przypadku stwierdzenia niezgodności z polityką bezpieczeństwa, np. brak odpowiednich poprawek, obecność nieautoryzowanego oprogramowania, występowanie krytycznych podatności.

• Zarządzanie dostępem dla gości i współpracowników bez względu na kanał dostępowy.

• Bezpieczne zarządzanie dostępem do sieci urządzeń innych niż pecety lub laptopy, np. drukarki, telefony IP, zestawy wideokonferencyjne.

Ewolucja, nie rewolucjaa

Jak zatem ewoluowały rozwiązania NAC i czego można się po nich obecnie spodziewać? Jest to połączenie kilku mechanizmów – uwierzytelniania, weryfikacji atrybutów podłączanej końcówki, analizy behawioralnej, kontroli dostępu w L2 OSI.

Na rynku jawią się dwa główne trendy – dedykowane rozwiązania NAC i te, tworzone poprzez dobudowywanie funkcjonalności NAC do innych produktów. Zacznijmy od tego drugiego. Trend ten widoczny jest przede wszystkim wśród producentów, którzy historycznie wyrośli z rozwiązań typu Endpoint Security. Mając zainstalowane na stacji oprogramowanie tego rodzaju można wykorzystać funkcje monitorowania np. kluczy rejestru, uruchomionych procesów, badania wersji systemu operacyjnego, zainstalowanych łatek. W zależności od wyników sprawdzenia lokalny firewall może umieścić stację w kwarantannie, ograniczając możliwość nawiązywania połączeń do serwerów naprawczych np. WSUS, serwerów aktualizacji AV. Funkcjonują też hybrydy, tj. agent Endpoint Security ma wbudowanego suplikanta 802.1x, a zatem obok sprawdzenia parametrów stacji możne nastąpić jej uwierzytelnienie. Dalej pojawiają się urządzenia, które potrafią świadczyć dodatkowe funkcje NAC-owe dla tak uzbrojonych agentów. Dobudowywanie NAC-a do własnych rozwiązań widać również u producentów związanych z siecią – klasycznym przykładem jest Juniper, który bardzo aktywnie uczestniczył w pracach TCG i stworzył bądź co bądź cenioną platformę UAC (Unified Access Control). Skoro mowa o sieci, to nie można zapominać Cisco, który będąc twórcą NAC-a kontynuuje swoje tradycje rozbudowując ISE (Identity Services Engine). Dobrze widoczny jest również Enterasys – znany przede wszystkim jako dostawca infrastruktury. Pojawiają się także nowi gracze, którzy nie byli kojarzeni z NAC, np. firma TrustWave. W zależności od producenta i podejścia będziemy mieli do czynienia z różnym poziomem wsparcia funkcjonalności NAC-owych zbliżających je w mniejszym lub większym stopniu do dedykowanych rozwiązań NAC.

Z biegiem czasu ukonstytuowała się też grupa producentów, którzy żyją z NAC-a, m.in. Bradford Networks, ForeScout, StillSecure i obecnie to oni walcząc o przetrwanie najaktywniej promują ideę NAC.

Network Access Control – czy to ma jeszcze sens?

Zasady działania - 802.1x


TOP 200