NAC souŔßstÝ sÝŁovÚ infrastruktury

DodavatelÚ jako StillSecure, NetClarity Ŕi Nevis Networks plßnujÝ přinÚst produkty kompatibilnÝ se switchi od firem 3Co...


DodavatelÚ jako StillSecure, NetClarity Ŕi Nevis Networks plßnujÝ přinÚst
produkty kompatibilnÝ se switchi od firem 3Com, Cisco, Extreme Networks,
Foundry Networks Ŕi HP. D¨vodem je, aby podniky nemusely přestavovat celou
infrastrukturu svřch sÝtÝ a nahrazovat souŔasnß zařÝzenÝ, kdy× budou chtÝt
vyu×Ývat technologie NAC.
SouŔinnost týchto a dalÜÝch firem by mohla přinÚst urychlenÚ přijetÝ
technologie NAC, kterß obyŔejný kategorizuje zařÝzenÝ, je× se připojujÝ do
sÝtý, na zßkladý nýkolika kritÚriÝ (typ zařÝzenÝ, typ u×ivatele, umÝstýnÝ v
sÝti a podobný). ZjiÜtýnÝ pak pou×Ývß k tvorbý profil¨, kterÚ porovnßvß s
bezpeŔnostnÝ politikou firmy, rozhoduje, jakř přÝstup lze tomu kterÚmu typu
zařÝzenÝ povolit, a nßsledný tak uŔinÝ.
NabÝdky firem
BezpeŔnostnÝ spoleŔnosti takÚ poÜilhßvajÝ po obrovskřch mo×nostech trhu s
technologiÝ NAC, neboŁ o jejÝm pořÝzenÝ uva×uje ka×dÚ třetÝ IT oddýlenÝ. Podle
vřzkumu firmy Forrester Research přes 2 000 nejvýtÜÝch svýtovřch podnik¨ ji×
nýjakou formu NAC pou×Ývß.
NapřÝklad Safe Access firmy StillSecure NAC aplikuje tak, ×e skenuje zasÝŁovanß
PC ze serveru a od softwarovÚho Ŕi ActiveX agenta na klientskÚm stroji obdr×Ý
zprßvu, kterß obsahuje informace o tom, zda je zařÝzenÝ v souladu s
bezpeŔnostnÝmi smýrnicemi. V zßvislosti na vřsledcÝch pak Safe Access rozhodne,
zda klient spl˛uje bezpeŔnostnÝ po×adavky.
SpoleŔnost StillSecure plßnuje uzavřÝt partnerskou dohodu s firmou Extreme, aby
do jejÝho bezpeŔnostnÝho řeÜenÝ Sentriant integrovala prßvý Safe Access.
Sentriant monitoruje chovßnÝ zařÝzenÝ na sÝti. Safe Access by mohl fungovat
napřÝklad jako vstupnÝ brßna do podnikovÚ sÝtý a blokovat provoz ze zařÝzenÝ,
kterß nespl˛ujÝ bezpeŔnostnÝ po×adavky.
SpoleŔnosti 3Com a HP se takÚ zabřvajÝ vřrobou switch¨, kterÚ jsou schopny
vynutit dodr×ovßnÝ firemnÝ politiky. ČinÝ tak na zßkladý instrukcÝ z řeÜenÝ
NetClarity Auditor, je× zhodnotÝ, jakß prßva si to a to zařÝzenÝ zaslou×Ý.
NetClarity zßrove˛ pracuje na kompatibilitý s produkty firem Foundry, Extreme
Ŕi ConSentry. Auditor rovný× podporuje switche Catalyst od Cisca. Ke komunikaci
s přepÝnaŔi pou×Ývß přÝkazovř řßdek a nevyhovujÝcÝ přÝstroje ze sÝtý odřÝzne.
Letos na podzim firma Nevis Networks představÝ zařÝzenÝ, je× bude umÝstýno mezi
přÝstupovřmi přepÝnaŔi a core switchi, kterÚ se postarß o dodr×ovßnÝ
podnikovřch bezpeŔnostnÝch pravidel. PřÝstroj bude monitorovat provoz ze
zařÝzenÝ, kterß ji× přÝstup k sÝti majÝ, a sledovat podezřelÚ chovßnÝ. Pokud
takovÚ chovßnÝ detekuje, vypne stroj, z nýj× nestandardnÝ provoz pochßzÝ, aby
zamezil Ŕerv¨m a vir¨m v ÜÝřenÝ.
Toto novÚ zařÝzenÝ (LANenforcer LAN Security Appliance) představuje alternativu
ke dřÝvýjÜÝmu produktu firmy Nevis, LANenforceru, kterř zahrnoval switch, co× v
podstatý znamenalo, ×e bylo pro pou×itÝ NAC nutnÚ upgradovat sÝŁovou
infrastrukturu.
NAC v praxi
MnohÚ spoleŔnosti pou×ÝvajÝcÝ nadstavbovÚ produkty NAC (infrastruktura sÝtý je
pouze doplnýna o nutnÚ vybavenÝ, nemusÝ břt celß transformovßna) potřebujÝ svÚ
sÝtý chrßnit před zařÝzenÝmi, jako jsou laptopy. Ty se toti× mohou nakazit mimo
podnikovou sÝŁ a pak zavlÚct infekci mateřskÚ sÝtý.
KupřÝkladu Cape Cod Cooperative Bank, zßkaznÝk NetClarity, pou×Ývß řeÜenÝ
Auditor pro vyhledßvßnÝ malwaru na noteboocÝch pou×Ývanřch finanŔnÝmi
konzultanty. "V×dy si přinesli notebook a chtýli se zalogovat do sÝtý. Ne× jim
vÜak byla přidýlena IP adresa, Auditor je provýřil a upozornil mý v přÝpadý
bezpeŔnostnÝho rizika. VýtÜinou byly jejich přÝstroje ·plný v pořßdku, takovßto
preventivnÝ opatřenÝ nejsou vÜak v¨bec od výci a spl˛ujÝ bezpeŔnostnÝ
po×adavky," řÝkß sprßvce bezpeŔnosti Jason Bourdon.
PlnýnÝ bezpeŔnostnÝch smýrnic je hnacÝm motorem mnoha finanŔnÝch institucÝ NAC
od firmy Lockdown Network. Dobrřm přÝkladem je spoleŔnost EADS Astrium, kterß
se zabřvß vesmÝrnřm vřzkumem. "Jeliko× pracujeme s enormnÝm mno×stvÝm citlivřch
informacÝ, nem¨×eme si dovolit hazardovat a potřebujeme dohled nad dodr×ovßnÝm
bezpeŔnostnÝ politiky ve firemnÝ sÝti," řÝkß George Owoc, ředitel obchodnÝ
sprßvy ve spoleŔnosti. VybavenÝ od Lockdown Enforcer generuje zprßvy, kterÚ
sprßvci poskytnout detailnÝ přehled o přÝstupech k sÝti. "Do jakÚ mÝry
zajiÜŁujeme ochranu vlastnÝ sÝtý, je takÚ naÜÝ vizitkou. S NAC vidÝm, kdo se
zalogoval, kdy to udýlal i jakß přÝstupovß prßva mu byla poskytnuta. Je takÚ
velice d¨le×itÚ neporuÜovat ustanovenÝ v naÜich firemnÝch exportnÝch licencÝch,
nerad bych přÝÜtÝch pßr let strßvil ve výzenÝ," dodßvß Owoc.
SpoleŔnosti se takÚ obßvajÝ, ×e mohou infikovanÚ poŔÝtaŔe shodit celou jejich
sÝŁ. To se v roce 2002 stalo Continental Airlines, kdy je napadl Ŕerv Slammer a
paralyzoval prodej lÝstk¨ i rezervaŔnÝ systÚm.
Firma Continental pou×Ývß řeÜenÝ od ConSentry, aby se vyhnula infekci Ükodlivřm
kˇdem. Zßrove˛ vÜak nechßvß sÝŁ vyu×Ývat i vlastnÝ rezervaŔnÝ agenty. ZařÝzenÝ,
kterß nespl˛ujÝ bezpeŔnostnÝ nařÝzenÝ, mohou přesto přistupovat k rezervaŔnÝm
aplikacÝm, a to v přÝpadý, ×e nenÝ přÝmou hrozbou pro danou aplikaci. Stroji
m¨×e břt zakßzßn přÝstup k dalÜÝm sÝŁovřm zdroj¨m.
Tato mýkŔÝ varianta karantÚny umoײuje zamýstnanc¨m pracovat, zatÝmco o
problÚmu informuje IT personßl. Klientovi tedy zamezÝ v pßchßnÝ nekalostÝ,
zßrove˛ vÜak nesnÝ×Ý produktivitu prßce.
ConSentry nenaruÜuje chod sÝtý a nabÝzÝ ochranu. Ve spoleŔnosti Continental
Airlines majÝ zařÝzenÝ s nßzvem Secure LAN Controllers od Consentry
nainstalovanÚ mezi přÝstupovřmi a distribuŔnÝmi switchi. Při zavßdýnÝ tohoto
řeÜenÝ nemuseli provßdýt ×ßdnÚ jinÚ zmýny, co× je hlavnÝ d¨vod, proŔ se pro ný
rozhodli. "LidÚ z oddýlenÝ IT zachßzenÝ s takovřm řeÜenÝm zvlßdnou a pro jeho
provoz nenÝ potřeba slo×itý dokupovat dalÜÝ hardware Ŕi software," řÝkß Andre
Gold, ÜÚf bezpeŔnosti u aeroliniÝ
"Nejsem si jist, zda jde o to nejlepÜÝ dlouhodobÚ řeÜenÝ. 802.1X sprßva
přÝstupovÚ politiky v sÝŁovřch switchÝch je lßkavýjÜÝ, neboŁ je zakomponovanß
přÝmo do infrastruktury. Rozhodný vÜak nadstavbovÚ řeÜenÝ oslovÝ mnoho firem, a
to hlavný z d¨vodu jednoduÜÜÝ a levnýjÜÝ implementace, ne× jakß by byla potřeba
v přÝpadý upgradu celÚ sÝtý. Jako rychlÚ prozatÝmnÝ řeÜenÝ je ideßlnÝ,"
přemřÜlÝ Gold.
"Budeme svýdky toho, jak spoleŔnosti zaŔnou hledat alternativnÝ Ükßlovatelnß
řeÜenÝ. NemyslÝm, ×e to v brzkÚ budoucnosti vyřeÜÝ samotnř trh," předpovÝdß
Gold.
Nedßvnř pr¨zkum spoleŔnosti Forrester odhalil, ×e 49 % respondent¨ letos
upgraduje svÚ switche kv¨li přÝpravý na plnÚ zavedenÝ NAC. (pat) 6 0997

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.