Dobre praktyki przy kontroli dostępu do sieci

Przy udostępnianiu podstawowych możliwości NAC (Network Access Control), istotną warstwą, która uniemożliwia nieautoryzowanym stacjom roboczym połączenie się z siecią korporacyjną, jest warstwa 802.1x. Najłatwiejszym sposobem spełnienia takich wymogów w środowisku opartym na Windows jest skorzystanie z usług katalogowych Microsoft Active Directory i ich wbudowanego w system operacyjny "petenta", który jest w pełni funkcjonalny, począwszy od Windows XP SP2.

Mając do dyspozycji 802.1x, kolejnym krokiem jest wdrożenie którejś z odmian NAC, takiej jak: Cisco NAC, Microsoft NAP, Juniper UAC. To zapewni niezbędne mechanizmy do ustanawiania stacji roboczych we VLAN na podstawie ich statusu (sprawdzone pod względem bezpieczeństwa, poddane kwarantannie, gościnne itp.).

Na koniec, technologia ochrony punków końcowych, kompatybilna z wdrożonym rozwiązaniem NAC, powinna przenosić możliwości NAC do agenta punktu końcowego, który będzie zapewniał dodatkową pomoc w utrzymaniu odpowiedniej "kondycji zdrowotnej" stacji roboczej poprzez kwarantannę, czyszczenie i naprawienie oraz kontrolę stacji roboczej.

Aby zapewnić dobry poziom polityki bezpieczeństwa opartej na NAC, konieczne są następujące kontrole:

Czy stacje robocze mają zainstalowane wszystkie dostępne łatki systemu operacyjnego i aplikacji, których brak powoduje powstawanie luk w środowisku sieciowym.

Stanu antywirusa i jego sygnatur: czy jest aktualny i czy wykonywane są rutynowe skanowania systemu z najnowszymi sygnaturami.

Wdrożenia/zarządzania (jej brak lub złe skonfigurowanie) oprogramowania zainstalowanego i pracującego (Microsoft SMS, Landesk, Altiris itp.).

Jeżeli stacje robocze nie przejdą pozytywnie jednej z ww. kontroli, to powinny zostać poddane kwarantannie. Podczas jej trwania, ich działania powinno się ograniczyć do odbierania powiadomień wyjaśniających status stacji roboczej użytkownikowi; administrator o stanie stacji powinien być powiadamiany pocztą elektroniczną.

Ponadto:

Jeżeli zapewnione jest wsparcie 802.1x, to stacja robocza powinna być umieszczona we VLAN pełniącej rolę kwarantanny.

Używanie USB i urządzeń wymiennych na stacji roboczej należy ograniczyć tylko do operacji odczytu (mogą być użyte np. do uzyskiwania dostępu przez sieci bezprzewodowe).

Połączenia sieciowe muszą być ograniczone wyłącznie do działań naprawczych, uaktualnień (łatki, sygnatury) i powiadamiania.

Poczta elektroniczna i aplikacje przeglądarkowe powinny mieć zablokowany dostęp do plików sprowadzanych, otwieranych lub dostarczanych, w celu zapobiegania rozprzestrzeniania się robaków, zapewniając jednocześnie użytkownikom możliwość pracy z pocztą.

Rozwiązanie do ochrony punktu końcowego powinno zapewniać automatyczne funkcje naprawcze (czyszczenie i naprawa stacji roboczej bez udziału administratora), umożliwiające automatyczne przenoszenie stacji roboczej z VLAN kwarantanny do VLAN produkcyjnej po wykonaniu akcji naprawczej.

Wybierając rozwiązanie do ochrony punktu końcowego, należy zwracać uwagę na to, aby sprawdzanie kondycji bezpieczeństwa punktu końcowego było szybkie. Zaleca się, żeby trwało mniej niż minutę. Ponadto, funkcjonalność ochrony NAC w punkcie końcowym powinna być uruchamiana bezpośrednio po załadowaniu systemu operacyjnego. I na koniec: ochrona punktów końcowych powinna zapewnić ten sam poziom ochrony NAC dla punktu końcowego nawet wtedy, gdy punkt ten nie jest podłączony do sieci korporacyjnej czy VLAN.

Artykuł pochodzi z numeru 04/2011 magazynu Networld