NAC: Řízení přístupu k síti

23. 12. 2009

Sdílet

Tím, jak dochází k plošnému nasazení ICT a současně k nárůstu mobilních uživatelů, zvyšuje se potřeba zlepšovat ochranu integrity komunikačního prostředí a účinně řídit oprávnění spojená s využíváním koncových zařízení.

Roste potřeba chránit infrastrukturu při připojení neznámých stanic i data, která jsou infrastrukturou přenášena.

 Připojení a přístup koncových zařízení k ICT infrastruktuře umožňuje řídit mimo jiné technologie Network Access Control (dále jen NAC). Využívá k tomu předem definovaná bezpečnostní pravidla, která omezují připojení koncových zařízení.

Dnešní NAC technologie dovolují definovat velmi rozmanité bezpečnostní politiky. Je možné kontrolovat, zda je nainstalovaná antivirová a antispywarová ochrana (jestli jsou spuštěny a mají aktuální definice), přítomnost personálního firewallu, nainstalované bezpečnostní záplaty, Service Pack operačního systému, hodnoty registrů, existenci a velikost souborů, jazyk operačního systému, běžící služby či procesy apod.

 Pro kontrolu bezpečnostní politiky na koncové stanici se využívá klientský software NAC (tzv. NAC klient), který je na ní nainstalován. Jde buď o plnohodnotné klientské softwary, které jsou trvale nainstalovány na zařízení nebo mobilním přístroji, nebo o dočasné klientské softwary (tzv. On-demand client), které si koncová stanice nainstaluje z bezpečnostních NAC prvků pří přístupu do ICT infrastruktury.

 

Různé způsoby řízení přístupu

Dnešní NAC technologie umožňují různé způsoby řízení připojení a přístupu k ICT infrastruktuře a tím i její ochranu. NAC zde může například ovlivňovat přidělování IP adres, nastavovat politiky na klientských stanicích (například omezení přístupu pomocí personálního firewallu), vytvořit kontrolní bránu v cestě mezi stanicí a chráněnou infrastrukturou nebo rozšiřovat standard 802.1x.

Při ovlivňování přidělování IP adres koncovým stanicím stojí NAC před DHCP serverem. Pokud požádá koncová stanice o přidělení IP adresy, dojde nejdříve k ověření bezpečnostní politiky na koncové stanici. Pokud koncová stanice splňuje bezpečnostní politiku, je jí přidělena IP konfigurace z „bezpečného“ rozsahu, který koncové stanici umožňuje přístup k ICT infrastruktuře. Pokud stanice nesplňuje bezpečnostní politiku, je jí přiřazena IP konfigurace, která odkazuje například pouze na server, který dovoluje stanici nainstalovat a aktualizovat software pro splnění bezpečnostní politiky.

Aplikace NAC pomocí přiřazení politik na koncových stanicích spočívá v definici pravidel, která se na ně aplikuje v případě, že nesplňují bezpečnostní politiku pro NAC. Rozsah nastavení a možností, které lze použít, je přímo vázaný na dodavatele technologie NAC a na provázanost NAC s ostatními bezpečnostními programy, které jsou použity na stanicích. Příkladem použití je aplikace firewallových pravidel, která v případě nesplnění bezpečnostních politik umožní připojení pouze na aktualizační zdroj antivirového programu pro aktualizaci virových definic.

 

NAC Gateway

Dvě výše popsané metody sice zvyšují bezpečnost ICT infrastruktury a jsou jednoduše nasaditelné, ale nezajišťují ochranu v případě připojení neznámé stanice. Například při nastavení pevné IP adresy se nepoužívá DHCP server, a pokud nemá koncová stanice nainstalovaný NAC software daného dodavatele, nelze aplikovat jakékoliv politiky. Těmto případům lze zamezit nasazením NAC Gateway před chráněnou ICT infrastrukturu (tzv. inline mode) nebo kombinací NAC se standardem 802.1x.

NAC Gateway představuje speciální zařízení, přes které prochází veškerá komunikace, jež směřuje do chráněné ICT infrastruktury. Před propuštěním IP spojení ověří, zda koncová stanice splňuje bezpečnostní politiku. Pokud ano, komunikaci povolí, v opačném případě ji zablokuje a umožní pouze spojení na zdroje, které dovolí stažení potřebných programů a aktualizací. Samozřejmostí NAC Gateway je možnost pracovat v režimu vysoké dostupnosti, a pokud dojde k její poruše, může její činnost převzít jiná NAC Gateway.

 

NAC a 802.1x

Druhou možností je kombinace NAC se standardem 802.1x, který byl původně určen pro nasazení v pevných sítích. V současnosti je však využíván i ve spojení s bezdrátovými sítěmi Wi-Fi, kde je ochrana integrity prostředí ještě důležitější vzhledem k možnosti bezkontaktního připojení.

802.1x ve výchozím stavu zakazuje veškerou komunikaci na síťovém portu, a to kromě protokolu EAP (Extensible Authentication Protocol). Pomocí něj se koncová stanice může autentizovat vůči ověřovacímu serveru (například Raadius server) a v případě úspěšného procesu je povolena komunikace na daném síťovém portu.

NAC významně rozšiřuje a posouvá 802.1x o možnost kontroly bezpečnostní politiky na koncové stanici (viz obrázek). Koncová stanice se připojí k ICT infrastruktuře a pomocí protokolu EAP se zahájí autentizace uživatele.

Tzv. 802.1x supplicant odešle přihlašovací informace uživatele a informace o bezpečnostní politice na koncové stanici: zda je splněna, či ne, verze bezpečnostní politiky atd. Switch přepošle komunikaci na NAC applianci, která předá autentizaci uživatele Radius serveru a ověří společně s NAC řídicím serverem, jestli koncová stanice splňuje aktuální bezpečnostní politiku, či ne.

Na základě výsledků od Radius serveru a ověření bezpečnostní politiky je nastaven síťový port pro danou stanici do příslušné VLAN a/nebo je na daný port aplikován tzv. access list pro omezení přístupu uživatele. Na podobném principu pracuje i přístup k síti pomocí bezdrátové sítě Wi-Fi za použití technologie NAC a standardu 802.1x.

 

Ochrana před ztrátou dat

 Stejnou pozornost jako řízení přístupu koncových stanic je v současnosti nutné věnovat i datům, která jsou ICT infrastrukturou přenášena. Je nutné zamezit ztrátě (odeslání nebo odcizení) důvěrných nebo soukromých dat, ať již prostřednictvím ICT infrastruktury nebo koncových stanic. Spravovat důvěrná data a monitorovat jejich používání umožňuje technologie Data Loss Prevention (dále jen DLP). V DLP se definují důvěrná data a pro tato data následně politiky, které jsou na ně aplikovány. Možnosti technologie DLP se rozdělují do tří kategorií: hledání důvěrných dat (Discover), sledování důvěrných dat (Monitor) a ochrana důvěrných dat (Protect).

 DLP Discover umožňuje nalézt odpověď na otázky, které souborové servery, databáze a koncové stanice obsahují důvěrná data a kdo má práva k důvěrným datům přistupovat. Důvěrná data vyhledává v IT infrastruktuře v pravidelných intervalech prostřednictvím komunikační infrastruktury (souborové servery, databáze, internetový obsah atd.) nebo pomocí klientského softwaru na koncových stanicích. DLP Discover najde důvěrná data, vytvoří inventář s popisem, kde jsou data uložena a kdo má práva k nim přistupovat.

DLP Monitor umožňuje sledovat, jak je s citlivými daty zacházeno a jak jsou používána. Umožňuje sledovat jak síťovou komunikaci, jako například e-mail, http, FTP, P2P, tak i koncové stanice, kde je možné sledovat operace s těmito informacemi, jako například ukládání, kopírování na USB zařízení a CD média a posílání e-mailů.

DLP Protect umožňuje ochránit důvěrná data před jejich odesláním z firemní infrastruktury, před kopírováním dat na USB zařízení a před ukládáním dat na koncových stanicích. Sleduje totiž síťovou komunikaci a v případě odesílání citlivých dat umožňuje tuto komunikaci zablokovat nebo přeposlat data na bezpečnostní bránu, která data před odesláním zašifruje.

Pravidla pro zacházení s důvěrnými daty definuje bezpečnostní politika, podobně jako tomu je u technologie NAC. Politiky jsou obdobně jako u NAC definovány centrálně v řídícím DLP serveru. Politika se skládá z definice důvěrných dat, místa, kde by se tato data měla nacházet, a pravidla, jak může být s informacemi zacházeno. Politika může například definovat, že důvěryhodná data nemohou být uložena na koncových stanicích, že nemohou být odeslána e-mailem, nebo že mohou být odeslána pouze v zašifrované podobě. Koncepci technologie DLP zobrazuje obrázek.


Závěr

V minulosti se ochrana vlastní ICT infrastruktury soustředila do jednoho bodu (firewallu), který propojoval vnitřní síť s internetem. Technologii NAC nelze srovnávat s bezpečnostními firewally a ani se je nepokouší nahradit. NAC umožňuje zvýšit bezpečnost napříč celou ICT infrastrukturou, a to za pomoci běžných síťových prvků (například switch) nebo zapojením speciálních NAC appliancí (například NAC Gateway). Zvyšování bezpečnosti IT infrastruktury se dále přesouvá i na koncové stanice, které dnes obsahují namísto běžných antivirových ochran sofistikované bezpečnostní programy.

Technologie DLP míří ještě o úroveň výše a zaměřuje se na ochranu přenášeného obsahu napříč celou ICT infrastrukturou. DLP zamezuje ztrátě osobních a důvěrných dat pomocí speciálních DLP zařízení. Podobně jako NAC se DLP také přesouvá na koncové stanice, kde pomocí DLP klientského softwaru zamezuje ztrátě důvěrných a soukromých dat prostřednictvím koncových stanic. Mimo jiné koncové stanice nejvíce spolupracují s nejméně spolehlivým bezpečnostním prvkem, kterým je bezesporu člověk.

Ve vztahu k technologiím NAC a DLP se objevuje ještě jedna potřeba. Tyto technologie mají rozsáhlé možnosti nastavení, které je možné plně využívat pouze v případě, že organizace má dostatečnou představu o tom, co je pro ni z hlediska bezpečnosti důležité a jakým rizikům je její prostředí vystaveno. Společnosti, které tuto představu mají, jsou schopny možností technologií využít podstatně lépe a účinněji.

Nasazení NAC a DLP u podniků, které mají pouze mlhavou představu o důležitosti dat a existujících bezpečnostních rizicích, často vede k významnému posunu ve vnímání důležitosti informačních aktiv a k rozvoji řízení rizik ICT.

 

ICTS24

Autor pracuje jako senior konzultant ve společnosti Anect.

Tento článek vyšel v tištěném SecurityWorldu 2/2009