Network World, США
Индивидуальный контроль доступа к локальной сети — это новая технология, которая переопределяет права и условия доступ
Контроль доступа на основании списков, по которым маршрутизаторы принимают или отвергают пакеты, попавшие в локальную сеть из глобальной сети, иногда приводит к некорректному обслуживанию различных групп пользователей, обращающихся в локальную сеть. В списках доступа нет данных о семантике потоков трафика или о контенте, что не позволяет регулировать права отдельных пользователей, кроме того, они имеют ограничения по масштабируемости и производительности.
Индивидуальный контроль доступа к локальной сети (User-based LAN access control, ULA) — это новая технология, которая переопределяет права и условия доступа. Системы защиты локальных сетей с поддержкой ULA размещаются в сети на том уровне, на котором пользователи входят в сеть, или на том, на котором производится агрегирование регистрационной информации, и анализируют каждый пакет на каждом из портов, проверяя выполнение правил защиты и наличие вредоносных программ. Появление таких систем стало возможным благодаря созданию нового поколения высокопроизводительных специализированных микросхем.
Эта технология позволяет администратору определять, кто использует сеть, где и как он зарегистрировался, к каким ресурсам он может получать доступ и останется ли при этом локальная сеть защищенной и свободной от вредоносных программ. Система также предоставляет автоматические карантинные механизмы для оперативной изоляции проблемных пользователей и для динамического перехода от нормальной к карантинной политике в случае обнаружения вредоносных программ. По-существу, система создает персональную «демилитаризованную зону» для каждого пользователя на каждом порту.
Индивидуальный контроль доступа к локальной сети для конечных пользователей прозрачен, при этом предлагает сетевым администраторам и специалистам по защите мощные защитные механизмы. Системы, поддерживающие ULA, достаточно гибки для того, чтобы предоставить несколько механизмов для аутентификации, и достаточно интеллектуальны, чтобы определить идентичность пользователей и воспринять правила защиты для каждого из них. Например, когда пользователь подключает к сети свой мобильный компьютер, для него выполняется аутентификация через 802.1X или через полученную портальную страницу регистрации Web, и система сразу же применяет все правила защиты, определенные для данного пользователя, ко всем приложениям и сетевым сервисам, к которым тот обращается.
Эта технология защиты также интегрируется с существующими базами данных аутентификации, служащими для определения членства в группе пользователей.
Когда выявляется вредоносное программное обеспечение, такое как черви, или обнаруживается другая нелегитимная ситуация, система ULA автоматически применяет политику карантина, но только к данному конкретному пользователю. До появления в локальных сетях индивидуального контроля доступа защититься от вредоносного ПО можно было только прикрепив пользователей к карантинной виртуальной локальной сети. Это все равно что поместить в одну палату больных гриппом и малярией. При реализации в локальной сети индивидуального контроля доступа, устройство полностью изолирует инфицированных пользователей с помощью сохраняющих состояние сетевого экрана правил, при этом открывая доступ, например, только для серверов, используемых для удаления инфекции.
В то же время устройство уведомляет сетевых администраторов об инциденте. Это уведомление включает в себя подробную информацию о том, кто виноват, что он делал, где находится и какие меры приняты в связи с инцидентом. Сравните это с существующей сейчас практикой анализа объединенных журналов регистрации, получаемых с маршрутизатора и коммутатора, или таблиц Address Resolution Protocol в поисках сведений о том, доступ по какому адресу привел к возникновению проблемы и через какой порт инфекция попала в сеть.
Наконец, системы ULA позволяют поддерживать аудиторский след, что служит гарантией защиты.
Когда сеть ратифицирует регистрационную информацию пользователя и получает сведения о том, к каким ресурсам он обращается, она может зарегистрировать сетевую активность, и проверка соответствия требованиям законодательства намного упрощается.
Индивидуальный контроль доступа к локальной сети позволяет компаниям реализовывать простую, опирающуюся на информацию о конкретном пользователе политику защиты, быстро локализовать проблемы и ликвидировать их последствия, а также обеспечить требуемый законодательством аудиторский след.
Доступ на базе ULA
Системы на базе ULA способны проверять трафик на предмет соответствия требованиям политик безопасности и отсутствия злонамеренных программ