Kontrolowanie dostępu do sieci

Pytanie: Czytając coraz więcej wiadomości o sieciach, które zostały zaatakowane, można dojść do wniosku, że nie podejmuje się skutecznych kroków zapobiegających takim incydentom. Co zrobić, aby mieć pewność, że do sieci dostają się tylko ci, którzy mają do tego uprawnienia?

Pytanie: Czytając coraz więcej wiadomości o sieciach, które zostały zaatakowane, można dojść do wniosku, że nie podejmuje się skutecznych kroków zapobiegających takim incydentom. Co zrobić, aby mieć pewność, że do sieci dostają się tylko ci, którzy mają do tego uprawnienia?

Odpowiedź: Można zrobić bardzo dużo, ale ze względu na objętość tekstu skupmy się na wybranych rozwiązaniach. Netreg (http://www.netreg.org ) to propozycja open source. Jest to trochę odmienny, od powszechnie używanego, serwer DHCP. Gdy urządzenie po raz pierwszy jest dołączane do sieci, dostaje nierutowalny adres IP. Usługa DNS, pracująca w tym systemie, kieruje wszystkie internetowe zapytania do tego samego ośrodka webowego, który pracuje jako Netreg. Adres IP, który wyprowadzi go do świata zewnętrznego, użytkownik uzyska jedynie wtedy, gdy poprawnie wprowadzi sieciową nazwę użytkownika i hasło.

W zależności od typu posiadanej zapory ogniowej można poszukać uwierzytelniania typu proxy, które także będzie wymagać od użytkownika wprowadzenia prawidłowej nazwy i hasła zanim pozwoli na opuszczenie sieci i wejście do Internetu. Niezależnie od tego, czy dysponuje się podobnym czy innym źródłem uwierzytelniania, jest to kolejna metoda kontroli wykorzystania zasobów sieci. Przy tym typie kontroli dostępu należy się upewnić, czy jakiekolwiek urządzenie działające jako zapora ogniowa ma wystarczające zasoby do obsługi zadań uwierzytelniania.

Jeśli chce mieć się pewność, że w sieci są tylko ci, którzy być powinni, można też wykorzystać w sieci IP Security (IPSec) i wymóc instalowanie na stacjach roboczych, próbujących logować się do sieci certyfikatów cyfrowych. Można także poszukiwać metody kontrolowania sieci na poziomie przełączników przez ograniczanie dostępu na podstawie adresów MAC (Media Access Control) znanych systemowi urządzeń sieciowych. Jak wspomniano na początku, odpowiedź na pytanie nie jest prosta. Jednak ten krótki zarys powinien dać ogólny obraz rozwiązań możliwych do zainstalowania w sieci.


TOP 200