Przełączniki na straży

Jednym z ważnych kierunków rozwoju technologii przełączników jest integracja funkcji kontroli dostępu na poziomie portów.

Jednym z ważnych kierunków rozwoju technologii przełączników jest integracja funkcji kontroli dostępu na poziomie portów.

Prawie wszyscy producenci przełączników i routerów Ethernet wprowadzają do urządzeń funkcje zabezpieczeń przed nieuprawnionym dostępem do sieci LAN. Podstawowe funkcje zabezpieczeń są dostępne praktycznie w każdym sprzęcie tego typu. Wymagają one jednak najczęściej współpracy z zewnętrznymi aplikacjami i serwerami dedykowanymi do obsługi systemów zabezpieczeń.

Można oczekiwać, że klasyczne przełączniki będą systematycznie znikać z rynku, a standardem staną się urządzenia o funkcjonalności rozszerzonej o dodatkowe mechanizmy - przede wszystkim związanej z coraz bardziej zaawansowanymi zabezpieczeniami i funkcjami umożliwiającymi kontrolowanie dostępu do sieci. Ich najważniejszą cechą jest integracja funkcji, które obecnie najczęściej wymagają stosowania dodatkowych urządzeń. Tego typu transformacja nie będzie jednak prosta. Należy bowiem zdawać sobie sprawę, że inżynierowie projektujący przełączniki z reguły koncentrują się na parametrach związanych z przepustowością i wysoką dostępnością tych urządzeń, a mechanizmy zabezpieczeń związane z kontrolą dostępu są domeną twórców zapór firewall. Połączenie tych dwóch umiejętności w celu efektywnego zaprojektowania dobrych urządzeń nowej generacji nie jest łatwe i wymaga czasu.

Szybka kariera NAC

Wzrost zagrożeń płynących nie tylko ze strony Internetu przyczynił się do szybkiej kariery technologii zabezpieczeń dostępu do sieci określanej najczęściej jako NAC (Network Access Control). W zależności od producenta ma ona różne nazwy firmowe, takie jak: Cisco Network Admission Control (Cisco NAC), Microsoft Network Access Protection (NAP), Nortel Secure Network Architecture (SNC) lub otwarta specyfikacja Trusted Net-work Connect (TNC) promowana przez organizację Trusted Computing Group (TCG). Są to różne propozycje rozwiązań, których głównym celem jest automatyczne blokowanie dostępu intruzów do sieci lokalnych i zasobów IT już na poziomie portów przełączników LAN.

Zaawansowane przełączniki sieciowe, zgodne z technologiami NAC lub SNC, wyposażane są w funkcje umożliwiające ich komunikację z oprogramowaniem i urządzeniami dedykowanymi do zapewniania bezpieczeństwa i, na podstawie uzyskanych od nich informacji, bieżące filtrowanie ruchu pakietów, odcinanie od sieci użytkowników, którzy nie spełniają wymagań bezpieczeństwa, a także blokowanie podejrzanej aktywności w sieci. Należy jednak pamiętać, że podstawowe funkcje bezpieczeństwa są obecnie oferowane praktycznie przez każdego producenta sprzętu LAN. Dotyczy to obsługi protokołu 802.1x oraz list umożliwiających kontrolę i filtrowanie adresów MAC. Tylko od użytkowników sprzętu zależy, czy i jakie funkcje zabezpieczeń wykorzystają.

Cztery poziomy bezpieczeństwa Joel Snyder z Opus One, członek organizacji Network World Lab Alliance, który testował większość dostępnych urządzeń sieciowych wykorzystujących mechanizmy NAC uważa, że można mówić o czterech poziomach, które definiują stopień bezpieczeństwa sieci wykorzystującej te technologie.

1. Pierwszy z tych poziomów można określić jako funkcję tak/nie dla dostępu. Jest to najprostszy mechanizm udostępniany przez większość przełączników obsługujących protokół 802.1x, który umożliwia blokowanie portów przy współpracy z serwerem autoryzacyjnym RADIUS, jeśli oczywiście zostanie on zainstalowany w systemie.

2.Drugi poziom to tzw. przypisywanie użytkowników, przy wykorzystaniu mechanizmów NAC, do odpowiedniego segmentu wirtualnej sieci VLAN, jeśli sieć LAN zostanie podzielona na wirtualne segmenty przypisane do różnych komórek organizacyjnych firmy. Dane autoryzacyjne, dostarczane przez protokół 802.1x, przekazywane są do aplikacji lub odpowiedniego serwera back-end, który na ich podstawie określa odpowiedni segment sieci i prawa dostępu zdefiniowane dla danego użytkownika, a następnie wysyła polecenia do przełącznika LAN, aby odpowiednio skonfigurował porty VLAN. Technika ta nie daje zbyt wielu możliwości określania uprawnień, ale może być stosowana przy wykorzystaniu większości dostępnych na rynku przełączników, które umożliwiają tworzenie VLAN i są zgodne z RFC 3580, czyli specyfikacją definiującą sposób korelowania użytkowników z wirtualnymi segmentami sieci. Należy zauważyć, że w tym przypadku przełącznik nie jest samodzielnym elementem NAC, bo wymaga sterowania przez dodatkową zewnętrzną aplikację.

3.Kolejna metoda to tzw. proste filtrowanie pakietów. Niektóre modele przełączników umożliwiają nie tylko przypisanie użytkownika do odpowiedniego segmentu VLAN, ale również indywidualne określenie jego uprawnień. Jest to tzw. mechanizm port-based ACL (Access Control Lists), gdzie lista kontrolna ACL odnosi się do określonych portów lub użytkowników, a nie przełącznika lub segmentu VLAN. Tego typu funkcje spotykane są w wyższej klasy przełącznikach oferowanych m.in. przez Cisco, Enterasys, HP i Nortela.

4. Najwyższy poziom zabezpieczeń NAC dają mechanizmy umożliwiające pełną kontrolę pakietów przy zastosowaniu zapory firewall z filtrem SPF (Statefull Packet Filtering). Tego typu rozwiązań nie można jednak znaleźć w standardowej ofercie największych dostawców. Jest to domena przede wszystkim mniejszych producentów oferujących specjalizowane systemy zabezpieczeń, z reguły w postaci zintegrowanych urządzeń typu appliance. Jako przykłady można tu wymienić m.in. firmy ConSentry Networks, Nevis Networks, Vernier Networks, StillSecure lub Trusted Network Technologies.


TOP 200