Простые и дешевые решения на новом рынке средств контроля доступа в сеть

В течение последних пяти лет в ИТ-подразделениях наблюдался устойчивый рост использования мобильных устройств для беспроводного доступа с ноутбуков, а также тенденция активной поддержки этих технологий бизнесом. Для бизнеса необходим обмен информацией с партнерами не только по электронной почте и посредством изучения содержимого Web-сайтов. Консультанту и менеджеру при посещении различных компаний может потребоваться присоединить свой ноутбук к корпоративной сети. Поставщикам, обслуживающим компанию, может понадобиться подключиться к сети и проектору для презентации. Возможно, служащие принесут на работу свое оборудование и тоже подключатся к сети. По мере развития портативных технологий и дистанционного доступа сети становятся все более уязвимыми, и для многих компаний стало очевидно, что необходимо регулярно корректировать стратегию защиты и технический контроль своих сетей. Надежды возлагаются на особый подход к безопасности — технологию контроля сетевого доступа Network Access Control (NAC), которая должна удовлетворять растущие требования. Технология NAC предлагает значительные преимущества в плане безопасности, но в то же время является дорогостоящей и сложной. Некоторые производители на этом новом рынке уже предлагают варианты защиты данных с учетом широкого спектра мобильных средств. NAC у разных производителей имеет различные наименования. Компания Cisco называет свое решение Network Admission Control, а предложение компании Microsoft именуется Network Access Protection. Но все эти марки представляют технологии, определяющие состояние защиты компьютера перед подключением к чувствительной сети. При использовании программы NAC все компьютеры, подключенные к сети физически, беспроводным или удаленным образом, должны пройти серию проверок перед тем, как начать взаимодействовать с другими компьютерами сети. Эти проверки у разных продавцов различны, но обычно они включают такие требования, как наличие обновленного приложения, исправлений в области безопасности операционной системы, текущие антивирусные сигнатуры, операционное антивирусное программное обеспечение и функциональное централизованное программное обеспечение сетевых экранов. Компьютерам, прошедшим проверку, разрешен доступ в корпоративную сеть, а потерпевшие неудачу помещаются в сеть карантина или вовсе получают отказ в доступе.

Программа NAC — это последнее дополнение в области безопасности, предоставляющее возможности технологий, которые напоминают системы обнаружения вторжения (IDS) и системы предотвращения вторжения (IPS). Системы IDS предупреждают о возникновении подозрительной активности. При этом системы IPS блокируют доступ в сеть в сетевых узлах или на компьютерах. Программа NAC позволяет определить состояние системы безопасности компьютера до того, как он будет подключен к корпоративной сети.

В зависимости от сетевых потребностей в системе защиты эти три технологии могут дополнять одна другую. Например, можно развернуть сенсоры IDS по периметрам и в сетевых узлах для поиска вторжений извне или со стороны зараженного компьютера. Затем стоит подумать об использовании IPS для ограничения трафика перед серверами, требующими защиты. И наконец, с помощью NAС можно исключить случайное инфицирование сети пользователями, работающими в ней на незащищенном компьютере. Комплексное применение этих трех технологий обеспечит надежную защиту.

Технология NAС может быть расширена

Возможности NAС в отношении сканирования устройств отличаются у разных производителей, и многие решения требуют объединения сетевого оборудования, внутренних серверов и сетевых компьютеров. В этом основная проблема NAC: необходимо преодолеть сложность ее развертывания. На рисунке показан пример корпоративного решения NAC, предложенный компанией Cisco. Здесь NAC затрагивает практически каждое техническое устройство между компьютером пользователя и сервером, а значит, ее развертывание — дело трудоемкое.

Некоторые производители учли эти проблемы и уже разработали решения NAC, которые не требуют модернизации существующего сетевого оборудования. Компания Juniper Networks представила решение Unified Access Control, которое объединяет установку агентов реального времени, сервер политики и межсетевые экраны Juniper для запуска NAC вне коммутаторов, поддерживающих стандарт 802.1х. Также компании LANDesk Software и CheckPoint Software Technologies предлагают решение NAC, при котором возможно использование стандарта 802.1х, но оно не является обязательным. Таким образом, имеется возможность выбора, даже если отсутствует развитая система защиты NAC на базе 802.1х. Краткое описание протокола стандарта системы защиты 802.1х приведено во врезке «Стандарт 802.1х — система безопасности ограничивает доступ». Можно пожертвовать каким-то уровнем безопасности, но ограниченное развертывание NAC все же лучше, чем полное ее отсутствие.

NAC на базе сети с поддержкой 802.1х

Программа NAC на основе стандарта 802.1х обеспечивает максимальную безопасность технологии на данный момент. Однако большинство сетевых коммутаторов, функционирующих в течение нескольких лет, не поддерживают стандарт 802.1х, что увеличивает затраты на запуск решения NAC на основе 802.1х. И если есть необходимость в самых современных и безопасных технологиях NAC, то неизбежно совершенствование сетевой инфраструктуры. Рассмотрим рисунок слева направо и определим все устройства на базе 802.1х, чтобы найти нужное решение NAC.

Рисунок. Архитектура сети с системой карантина NAC

На рисунке беспроводной ноутбук соединяется с поддерживающей стандарт 802.1х беспроводной точкой доступа, а настольный компьютер подключен к локальной сети через коммутатор с поддержкой 802.1х. Межсетевой экран или маршрутизатор, поддерживающий список контроля доступа ACL и расположенный между клиентами и сетью, разрешает или блокирует трафик от подключающихся клиентов во внутренние сегменты сети.

Когда клиент запрашивает доступ у коммутатора стандарта 802.1х, тот отправляет запрос серверу доступа, расположенному за сетевым экраном. Сервер доступа определяет, есть ли у клиента доверенный агент — установленное на компьютере программное обеспечение, которое проверяет каждого клиента на наличие вирусов и общее состояние системы защиты. Затем сервер проверки посылает клиенту инструкции, определяющие, что необходимо клиенту для получения доступа в защищенную сеть. Если у пользователя не установлен доверенный агент, то сервер доступа не позволяет попасть во внутреннюю сеть и посылает команду на коммутатор 802.1х или в WAP для помещения клиента в изолированную Virtual LAN (VLAN). На данном этапе клиент получает IP-адрес в изолированной подсети и имеет доступ к тем ресурсам сети, которые указаны в ACL межсетевого экрана. Например, изолированный клиент обычно имеет доступ к точкам установки программного обеспечения для доверенного агента и к серверу исправлений для установки необходимого программного обеспечения или обновлений.

Если у проверяемого клиента установлен доверенный агент, сервер доступа вступает в контакт с сервером проверки и сравнивает систему безопасности клиента с корпоративной стратегией. Если клиент признан безопасным, сервер проверки даст команду серверу доступа разрешить данному клиенту доступ в корпоративную сеть. В противном случае клиент направляется в карантинную подсеть, и сервер доступа извещает его об имеющихся проблемах. Затем пользователь получает доступ к серверу исправлений для внесения необходимых корректировок.

Главное достоинство решения на базе стандарта 802.1х состоит в том, что доступ осуществляется на уровне портов коммутатора, а это сильно затрудняет возможность его обхода. И всякий раз при отключении и подключении нового устройства к любому порту коммутатора происходит проверка.

Альтернативы программе NAC на базе стандарта 802.1х.

Как показано на рисунке, развертывание NAC на базе стандарта 802.1х требует защищенного сетевого оборудования, которого многие компании не имеют, так что данный процесс оказывается довольно дорогостоящим. Производители приняли к сведению эту проблему и разработали альтернативные решения NAC, предлагающие разные уровни защиты.

Например, компания LANDesk поддерживает и решение NAC 802.1х компании Cisco, и собственное средство контроля доступа, для которого не требуется инфраструктура стандарта 802.1х. Собственное решение NAC компании LANDesk работает с любым сетевым коммутатором. Оно подразумевает установку своего сервера DHCP перед корпоративным сервером DHCP. Когда новый клиент запрашивает IP-адрес, сервер DHCP компании LANDesk определяет, установлен ли доверенный агент LANDesk и соответствует ли состояние клиента корпоративной политике. Если доверенный агент не установлен или клиент определен как небезопасный, сервер DHCP компании LANDesk выдает IP-адрес карантинной подсети. Если клиент «здоров», то сервер DHCP от LANDesk пересылает запрос на корпоративный сервер DHCP, который выдает клиенту IP-адрес корпоративной сети.

В отличие от решения защиты NAC на базе стандарта 802.1х, ограничивающего доступ на уровне сетевых портов, подход DHCP основан на IP. Если главная задача — получить уверенность в том, что все управляемые компьютеры «здоровы», этот подход можно признать удовлетворительным. Однако если необходимо ограничить доступ в сеть для любого нового компьютера, то решение на базе стандарта 802.1х обеспечивает дополнительную защиту.

Третий подход — комбинация VPN на базе SSL (Secure Sockets Layer) компании Juniper Network, агентов реального времени и сервера политики, — создает безопасные, авторизованные соединения между конечными точками и сервером. Компании Mirage Networks и Info-Express предлагают решения NAC, использующие различные архитектуры и технологии. Так, технология компании Mirage Networks определяет соединения по свободным IP-адресам и необычное применение протокола (например, отправка сообщений SMTP не с основного почтового сервера), а кроме того, использует такие методы, как управление ARP, чтобы распознать наличие аномального сетевого трафика.

В то время как для решения NAC на основе стандарта 802.1х необходима сетевая инфраструктура, которой не имеют многие компании, решение DHCP не требует затрат на дополнительное сетевое оборудование, но оно и не обеспечивает такой безопасности, как NAC на базе 802.1х. Оба решения обычно требуют установки на компьютере доверенного агента. Это означает, что если на компьютерах клиента работает неподдерживаемая операционная система или если в компании решено не устанавливать доверенного агента на своих компьютерах, пользователи получат доступ только в карантинную корпоративную сеть.

За соединениями: политика

Политика NAC так же важна, как и сетевая архитектура, поддерживающая реализацию NAC. Решения NAC включают некий вид сервера защитной политики, в котором создаются правила, определяющие признаки безопасного компьютера в данной среде. Например, корпорация может потребовать, чтобы клиенты имели все исправления безопасности для Microsoft Windows и текущие антивирусные сигнатуры от производителя антивирусного программного обеспечения. Как правило, политика задается на сервере проверки и включает различные проверки, которые клиент должен пройти для получения доступа в сеть. Сервер проверки сравнивает состояние клиента с заданной политикой, чтобы установить, «здоров» ли он. Сложность этой политики у разных производителей различна. Например, компания LANDesk поддерживает проверку антивирусных сигнатур, обновления драйверов и версии клиента LANDesk, изъяны в системе безопасности, обновления программного обеспечения, обнаруженного шпионского программного обеспечения, а также уязвимых мест в программном обеспечении, таких как отсутствие исправлений для приложений операционной системы. Например, если у клиента установлено запрещенное приложение, то можно настроить решение NAC на изоляцию компьютера до удаления программы.

Однако возникает вопрос, а что делать с компьютером, которому необходим доступ в сеть, но на котором не может быть установлен клиент NAC? Это могут быть ноутбуки, компьютеры, работающие с операционной системой, не поддерживаемой производителем NAC, принтеры, мобильные устройства, работающие под Windows Mobile, или другие устройства с поддержкой WiFi. Если не делать исключения для этих устройств, то они будут оставаться в карантинной подсети и не смогут получить доступ в сеть. Но когда делаются исключения, то открываются лазейки в защищенную во всех прочих отношениях сеть. Иногда оставлять устройства в карантине — нормальное явление, можно создать списки ACL в карантинной сети для разрешения доступа к некоторым ресурсам. Например, можно предоставить карантинной сети доступ в Internet и к терминальному серверу или другому компьютеру внутри защищенной сети, но запретить полный доступ.

На горизонте новые технологии

NAC предлагает новые пути для решения проблем безопасности, и существуют различные архитектуры NAC. Из-за высокой стоимости и сложности решения на базе стандарта 802.1х и недостаточности решений на DHCP, некоторые производители ищут новые подходы к реализации NAC. К моменту выпуска данной статьи почти все основные производители NAC готовятся представить новые продукты.

Джеф Феллинг - внештатный редактор Windows IT Pro по вопросам безопасности и инжиниринга, вице-президент компании aQuantive. jeff@blackstatic.com


Стандарт 802.1х — система безопасности ограничивает доступ

За последние несколько лет стандарт IEEE 802.1х стал весьма популярен как метод аутентификации беспроводных корпоративных клиентов. Большинство корпоративных коммутаторов локальной сети теперь включают поддержку стандарта 802.1х, который может проверять клиентов, подключенных к локальной сети так же, как и «беспроводных» клиентов. Стандарт 802.1х обеспечивает возможности управления сетью на базе портов. Когда пользователь (так называемый посетитель) подключается к коммутатору на базе 802.1х или по беспроводному протоколу доступа WAP (так называемому аутентификатору), он использует EAP (Extensible Authentication Protocol), чтобы отослать идентификационные данные. Далее аутентификатор запрашивает внутренний сервер аутентификации, такой как сервер RADIUS (Remote Authentication Dial-In User Service) или собственный сервер доступа, и получает инструкции по поводу того, может ли посетитель получить доступ в сеть. Стандарт 802.1х обеспечивает надежную защиту и является одним из самых безопасных методов развертывания NAC, хотя он и не лишен недостатков — в основном это касается сложности развертывания.