Ochrona w sprzęcie
Rozwiązanie nie bez wad
Ten typ podejścia jest uznawany w zasadzie za słuszny. Wskazuje się jednak dwa problemy. Pierwszy to nadmiarowość dodawana do każdego urządzenia infrastruktury sieciowej, drugi wiąże się ze zwiększeniem stopnia trudności zarządzania urządzeniami z dodanymi funkcjami ochronnymi.
Zarządzanie i współdziałanie są poważnymi problemami w tych rozwiązaniach. W związku z tym zasadne staje się pytanie: czy przełączniki i rutery są dobrym miejscem do umieszczania bogatego zestawu usług ochrony. Są obawy, że może to zwiększyć koszt infrastruktury i jednocześnie obniżyć jej wydajność.
Użytkownicy, decydujący się na nową infrastrukturę sieci, muszą brać pod uwagę także pomysłowość i elastyczność hakerów.
Jeżeli administratorzy będą ograniczani systemami operacyjnymi przełączników oraz architekturą blade i będą mogli stosować ochronę jedynie tam, gdzie są przełączniki, to czas reakcji na zagrożenie będzie się wydłużał.
W rozwiązaniu tych wątpliwości powinien pomóc pragmatyzm nabywców środków ochrony. Podejście warstwowe pozwala na dodawanie ochrony tam, gdzie jest to możliwe lub konieczne - bez wykonywania masowych zmian w sieciach. Wtedy można implementować politykę bezpieczeństwa dla różnych działów lub wyposażać je w ochronę na poziomie aplikacyjnym.
Komponenty:
Network Admission Control (NAC): identyfikuje i poddaje kwarantannie systemy bez uaktualnień lub niespełniające określonych wymogów w zakresie bezpieczeństwa. Obejmuje Cisco Security Agent (CSA) i Cisco Trust Agent (CTA).
CSA: oprogramowanie intrusion prevention rezydujące na PC i serwerach, działające jako rozproszona zapora ogniowa. CSA identyfikuje i zapobiega szkodliwym zachowaniom, zanim się pojawią, przekazując jednocześnie odpowiednią informację do CTA.
CTA: oprogramowanie punktu końcowego, które zbiera dane o stanie bezpieczeństwa np. z klientów antywirusowych. Przekazuje te informacje zwrotnie do zarządzania centralnego.
Uwagi:
Cisco ma przeprowadzić badania nad możliwością zarządzania tożsamością z wykorzystaniem certyfikatów i kolejną generacją VPN.
Komponenty:
XSR Security Router: hybrydowy ruter dla oddziałów zamiejscowych i biur, który łączy interfejs WAN, dostęp VPN i zaporę ogniową stateful inspection.
Dragon: system obrony przed wtargnięciami, który identyfikuje zagrożenia, sygnalizuje alarmy i zapewnia szczegółowe dane do prowadzenia działań śledczych. Oprogramowanie User Personalized Networking interweniuje w celu izolowania i powstrzymania wtargnięcia, zanim wywoła ono zamieszanie.
Uwagi:
Enterasys zapowiedziała przełączniki Dynamic Intrusion Prevence łączące funkcje IDS, zarządzanie siecią i przełączanie oparte na politykach. Głównym zadaniem takiego rozwiązania jest skrócenie czasu reakcji na zagrożenia bezpieczeństwa i zapewnienie wyższego poziomu ochrony przedsiębiorstwa.
Komponenty:
Przełączniki i rutery Foundry z ochroną IronShield: monitorowanie adresów źródłowych i przeznaczenia w celu ochrony przed atakami DoS. Chroni zapory ogniowe, serwery i inne urządzenia TCP przed nadmiernym ruchem TCP i UDP. Zapewnia dostęp, autoryzację i rozliczanie dla urządzeń sieciowych.
Uwagi:
IronShield jest dostępne dla wszystkich przełączników Foundry - poziomów 2-7, ruterów i inteligentnych urządzeń zarządzania ruchem.
Komponenty:
Clear-Flow: oprogramowanie przełącznika, które poszerza narzędzia monitorowania sieci o porty lustrzane dla czujników ruchu RMON, Netflow i S-flow. Clear-Flow daje dokładny ogląd ruchu wydziałowego, typów protokołów czy użytkowników indywidualnych. Naruszenie reguł polityki włącza kwarantannę.
Uwagi:
Clear-Flow jest dostępne dla przełącznika BlackDiamond 10K dla Ethernet 10G. Firma planuje jednak udostępnienie tych funkcji również w pozostałych produktach tej linii.
Komponenty:
Unified Security Framework organizuje ochronę na trzech poziomach.
Network Security: zapewnia funkcje ochronne dla poziomu fizycznego - łącza lub danych.
Network-Assisted Security: zapewnia ochronę dla poziomów: transportowego, sesji, prezentacji i aplikacyjnego.
Application Security: zapewnia ochronę wszystkich aplikacji, serwerów i platform pamięci masowej.
Unified Security Framework jest dostępna dla wszystkich produktów Nortela, obejmujących urządzenia Optivity, Contivity i Alteon.
Uwagi:
Nortel prowadzi równoległe prace nad wyposażeniem w przyszłości wszystkich elementów sieci w: politykę autoryzacji, zapory ogniowe i wykrywanie wtargnięć, silne zarządzanie hasłami, ścieżki audytu, szyfrowane zarządzanie ruchem i funkcje związane z PKI.