Vybíráte NAC? Přinášíme praktické rady (1)

Jednou z nejdůležitějších součástí víceúrovňové ochrany zabezpečení pro společnosti téměř všech velikostí je řízení přístupu k síti (NAC, network access control), které vám umožní vynutit zásady pro počítače koncových uživatelů.


Základní myšlenka stojící za NAC -- zahrnující hardware, software nebo jejich kombinaci -- je zdánlivě triviální. Než je libovolnému počítači koncového uživatele -- klient -- dovoleno připojení do korporátní sítě, ověří NAC, zda počítač vyhovuje zásadám zabezpečení společnosti.

Můžete například NAC nastavit, aby odmítal počítač uživatele ve firemní síti, dokud počítač neohlásí, že má všechny nejnovější záplaty svého operačního systému a kancelářského softwaru a že má nejnovější aktualizace korporátního antivirového programu. Pokud zařízení nebude splňovat požadovaná kritéria, nedostane se do sítě.

Ačkoli je teorie stojící za NAC zdánlivě jednoduchá, realita je spíše opakem. Pokud správci sítě nehodlají využít řešení typu vše v jednom a riskovat připoutání k dodavateli, musí sestavit hardware a software od různých dodavatelů a v oblasti NAC je obvykle pro všechny kroky několik způsobů, jak je provést.

Schopnosti NAC se postupně rozvinuly. V současné době systémy NAC obsahují také automatizované způsoby toho, jak nevyhovujícím klientům zaktualizovat software, aby byly do sítě vpuštěny. NAC navíc obsahuje i periodické kontroly uživatelských PC a sledování jejich chování během připojení v síti.

 

Stav standardů

Možná byste si mohli myslet, že se třemi různými způsoby provedení téhož může být NAC na cestě k další válce standardů, jako se to stalo se standardem 802.11n. Ačkoli nedošlo k žádné dohodě ani ke standardní definici NAC, natož způsobu realizace, přesto bylo dosaženo určitého pokroku.

Společnosti Cisco a Microsoft spolupracovaly na vzájemné interoperabilitě svých produktů. Můžete tak například použít Windows Server 2008 R2 Network Policy Server k nastavení celkových zásad NAC při použití ověřování Cisco Extensible Authentication Protocol-Flexible Authentication přes modul Secure Tunneling pro ověřování uživatelů v klientských systémech Windows Vista nebo Windows 7.

Ve stejnou dobu vytváří skupina IETF (Internet Engineering Task Force) standard Posture Attitude-TNC, který definuje sadu „zdravotních“ kontrol klientů, včetně stavu té antivirové. Další standard rozpracovaný jinou skupinou je Posture Broker-TNC, který definuje způsob provádění kontroly síťových klientů, včetně notebooků a tiskáren. V tuto chvíli mezi nimi žádné spojení neexistuje a jedná se o nezávislé iniciativy, přičemž plán IETF lze považovat za více oficiální.

NAC dále zahrnuje řadu mobilních zařízení -- zejména notebooky, ale také chytré telefony.

I když můžete přijít s vlastním řešením, jsou pro korporátní zákazníky nyní již dostupné tři hlavní přístupy k NAC: Cisco NAC (Network Admission Control), Trusted Computing Group TNC (Trusted Network Connect) a konečně Microsoft NAP (Network Access Protection). Existuje minimálně tucet produktů pro středně velké a velké zákazníky, které využívají tyto různé přístupy.

Stručně řečeno -- přestože existuje stále mnoho standardů nebo rádoby standardů, budete často schopni úspěšně zkombinovat zařízení vyhovující standardu od různých dodavatelů (viz sloupek vlevo). Musíte tedy věnovat velkou pozornost tomu, jaké standardy systém NAC využívá a jaká prohlášení o interoperabilitě jeho dodavatel uvádí.

Konkrétně -- pokud použijete produkty Cisco a Microsoft, měli byste se tím vyhnout většině problémů s nekompatibilitou NAC. Ale ani to není zárukou. Jako u pořizování kterékoli jiné významnější části infrastruktury budete muset získat vybavení do vlastních rukou a všechny drobnosti spolu otestovat v rámci zkušebního provozu, než se pro libovolnou konkrétní platformu či kombinaci hardwaru a softwaru rozhodnete.

 

Appliance vs. server či přepínač

Řešení NAC jsou nasazována dvěma různými způsoby. U prvního jsou appliance NAC -- vyhrazená síťová zařízení -- použita ke správě koncových uživatelů. To stačí pro malé a středně velké firmy nebo pobočky, ale appliance nemusí umožňovat dobrou škálovatelnost na podnikové úrovni. Zde přicházejí ke slovu síťové přepínače nebo serverově založená řešení NAC.

Hlavní dodavatelé síťových přepínačů nabízejí produkty NAC pro různé typy uživatelů. Například Cisco nabízí kromě jiných produktů také NAC Appliance (dříve Cisco Clear Access), modul NAC Network Module pro směrovače Cisco Integrated Services Routers a Cisco Secure Access Control Server.

Microsoft se v oblasti NAC soustředí na servery namísto přepínačů a appliancí. Využívá k tomu architekturu klient/server nazývanou NAP. S využitím architektury NAP hlásí agenti klientů stav operačního systému a softwaru síťovým serverům Health Requirement Server, aby se zajistilo, že je počítač dostatečně zabezpečen a má správné aktualizace, aby mohl být vpuštěn do sítě.

Jiní dodavatelé (například dodavatel síťového hardwaru Juniper Networks) poskytují různé typy řešení vše v jednom. V architektuře Juniper Adaptive Threat Management umožňuje software pro sdílení dat využívat SSL, VPN a zařízení UAC (Unified Access Control) k publikování informací protokolů na společný server UAC.

Ačkoli Adaptive Threat Management pracuje nejlépe právě s vybavením Juniper, podporuje také libovolná zařízení kompatibilní se standardem IF-MAP, síťovým protokolem Trusted Computing Group, který umožňuje zařízením a přepínačům síťového zabezpečení výměnu dat s určitými servery.

 

Příště se podíváme na zásady výběru a výhody jednotlivých variant nasazení NAC.

Tento článek vyšel v tištěném Security Worldu 4/2010











Komentáře