Síťová ochrana ve Windows: NAC, NAP, Direct Acccess

30. 11. 2009

Sdílet

Blíží se konec VPN? Uživatel je s technologií Direct Access připojen stále stejným způsobem, ať je ve veřejném internetu, nebo přistupuje k podnikovým zdrojům. VPN vůbec nemusí sestavovat.

Prvotním cílem síťové ochrany je vždy získání maximálního množství informací o potenciálním kandidátovi na připojení do počítačové sítě.

Jak získané informace vyhodnotit a aplikovat ty nejvhodnější kroky ochrany? Trh řešení pro NAC se postupně stabilizuje a jednotliví dodavatelé se vyhraňují. Jejich řešení jsou stále lépe propojitelná. Opravdu kvalitní řešení NAC se však nedá řešit formou appliance v síti, ale je nutná velmi úzká integrace se všemi hlavními prvky, jako jsou operační systémy, síťová zařízení a jednotlivé segmenty sítě.

Aby to nebylo tak jednoduché, svět není černobílý a ani v podnikovém prostředí není nasazena jen jedna technologie, ale řada dalších systémů a síťových řešení (například od firem Microsoft, Cisco, Symantec, Checkpoint a tak dále). Uživatel se jednou připojí vzdáleně pomocí VPN, jednou přímo do sítě a jindy zase přes bezdrátový bod.

Řešení síťové ochrany by tedy mělo ideálně pokrývat celé prostředí a přinášet přehled a relativně snadnou správu.

 

Dva spoluhráči

Podle nezávislého zhodnocení nabídky řešení NAC společností Forrester Research je na trhu několik silných a významných hráčů. Trhu prý vévodí Microsoft s reálnou nabídkou řešení pro platformy Windows XP až Windows 7. V závěsu za ním stojí Bradford Networks s velkým potenciálem do budoucna. S ohledem na současný podíl na trhu potom dominující firmy Cisco Systems a Juniper Network.

Jak je vidět, tak v oblasti síťové ochrany (NAC, NAP – Network Access Protection) jsou bezesporu dva silní hráči, kteří dnes mají hlavní slovo. Jsou jimi Microsoft a Cisco Systems. Pozitivní zprávou je, že se oba dodavatelé domluvili a vytvořili poměrně jasně specifikované podmínky pro spolupráci nejen mezi sebou, ale také platformu, do které se postupně přihlásily desítky dalších dodavatelů bezpečnostních řešení. Koncový uživatel technologie si tedy může vybírat.

 

Blíží se konec VPN?

S příchodem dalších verzí Windows (Windows 7 a Windows Server 2008 R2) je znatelný i posun v řešení NAP. Jednak přichází několik vylepšení co do snazší správy, nových šablon a průvodců, a také integrace NAP do klientské části Windows Action Center (bývalé Security Center).

Zajímavější je však nová technologie Direct Access. Uživatel je připojen stále stejným způsobem, ať je ve veřejném internetu, nebo přistupuje k podnikovým zdrojům. Nemusí sestavovat VPN, což je leckdy zdrojem potíží a předmětem volání na helpdesk, a přesto má přístup k těm datům, která potřebuje.

Ověření uživatele probíhá klasickým přihlášením do systému jménem a heslem, nebo bezpečnějším ověřením pomocí certifikátu na čipové kartě. Bezpečnostní agent NAP se potom postará o to, aby prověřil, zda je počítač aktualizován a odpovídajícím způsobem zabezpečen. Pokud je vše v pořádku, uživatel jednoduše otevírá internetové stránky a stejně jednoduše přistupuje do interní podnikové sítě k firemním datům. Komunikace je ověřena a šifrována pomocí protokolu IPSec, ale to uživatel neregistruje. Samozřejmě jen v případě, že jeho PC splňuje stanovené požadavky.

Možnosti Direct Access potvrzují, že NAC i NAP budou do budoucna nedílnou součástí základního softwarového vybavení podnikové stanice a rozšiřující doplňky třetích stran budou kompatibilní podobně, jako jsou dnes slučitelné antivirové programy.

 

Kam směruje NAC?

Před několika lety téměř utopistický ideál bezpečnostních architektů si prošel přes krkolomné řešení s velmi omezenými možnostmi až k téměř standardnímu rozšíření, které je kompatibilní napříč podnikovou infrastrukturou.

Jednoznačná budoucnost NAC je jak v těsné integraci s operačními systémy (tak těsné, že je prakticky jejich součástí), tak v standardní podpoře okolních technologií – zejména prvků pro správu síťového zabezpečení. Díky silné skupině vedoucích společností se dá mluvit de facto o standardech v oblasti NAC, a tak se postupně ochrana koncové stanice bude řešit stejně jako ochrana před nebezpečným softwarem.

Dá se vypozorovat, že trendem je integrace ochrany do jedné komponenty, a tak agenti pro bezpečnostní skenování, ochranu i vynucení bezpečnostních restrikcí na koncové stanici splývají v jeden softwarový doplněk.

Microsoft do svých operačních systémů vkládá službu NAC agenta (NAP) od verze Windows XP SP3 a v serverech je podpora pro stanovení a vynucení podnikových politik od verzí serveru 2008.

Uživatel bude do budoucna zřejmě preferovat podniková řešení, která nabídnou přehlednou správu a také účelné reporty o aktuálním stavu zabezpečení. Jednoduchá správa znamená v komplexním prostředí snížení nákladů, a proto je standardizace v této oblasti otázkou nejbližších let.

 

ICTS24

Autor je spolupracovníkem firmy Microsoft a pracuje jako Solutions Architect ve firmě Mainstream Technologies.

***tento článek vyšel v tištěném SecurityWorldu 2/2009