БЕЗОПАСНОСТЬ

 

Компаниям следует соотносить преимущества NAC со своим бюджетом и продуктивностью работы пользователей

Камерон Стардевант

На проходившей в феврале конференции RSA состоялась тематическая дискуссия "Контроль доступа к сетям (NAC): гиганты индустрии спорят о будущем".

Дебаты свелись к тому, что Cisco Systems похвасталась полутора тысячами инсталлированных NAC-клиентов, Microsoft рассказала об отсутствии сложностей в реализации IP Security, а Trusted Computing Group посетовала на трудности, тормозящие создание совместимых NAC-стандартов.

Несмотря на дружественный тон диспута, нет сомнений, что эти организации готовятся к предстоящему противоборству своих NAC-инфраструктур для средних и крупных компаний, которое выявит предпочтения пользователей в выборе аппаратных и программных методов контроля ноутбуков, настольных ПК и массы других оконечных устройств, подключаемых к сетям.

Принимая решение о доступе устройства, в NAC обычно используют комбинацию из сетевой технологии, административной политики, удостоверяющих данных некоторой интеллектуальности самого устройства и информации о его местоположении. При этом могут выясняться следующие вопросы:

- пытается ли система увеличить доступные ей ресурсы компании?

- обновлены ли антивирусные базы пользовательских устройств?

- включен ли персональный брандмауэр?

- установлены ли необходимые обновления ОС?

- имеет ли система обязательные приложения и полностью ли они обновлены?

- чиста ли она от вредоносных программ?

Эти вопросы обычно исходят от некоторого устройства, находящегося в сетевой инфраструктуре, а подключаемая к ней система должна уметь на них отвечать. Если какие-то из ее ответов не удовлетворят опрашивающее устройство, оно может отказать в доступе. Однако реализация этих ответов в формате, понятном компьютерам проверяющей организации, безопасном и удобном для протоколирования, - задача далеко не простая.

Здесь существует давнишнее соперничество между технологиями на базе стандартов и методами, которые, по словам Кьяджда Ахмеда из Microsoft, налажены на пользовательском уровне независимо от стандартизации процесса.

В технологии NAC сегодня доминируют Cisco, Microsoft и Trusted Computing Group. В дискуссии, за которой наблюдали сотрудники eWeek Labs, эти компании представляли Рассел Райс, директор Cisco по управлению продуктами, Кьяджд Ахмед, архитектор Microsoft по сетевой безопасности Windows, и Стив Ханна, инженер из Juniper Networks, выступавший от лица Trusted Computing Group (г-н Ханна является сопредседателем NAC-инициативы Trusted Computing Group и сопредседателем рабочей группы Network Endpoint Assessment комитета Internet Engineering Task Force).

Несмотря на активные обсуждения NAC, соответствующие инфраструктуры еще довольно незрелы и не проверены на практике. Об этом весьма откровенно высказался Лоуренс Оранс, аналитик из Gartner и модератор NAC-секции конференции, по словам которого, инфраструктуры еще настолько недоработаны, что новая платформа Microsoft Windows Server, намечаемая к выпуску во втором полугодии, выйдет в свет без NAP (Network Access Protection). Он также сообщил, что ни один из клиентов Gartner еще не имеет действующего NAC-решения на базе разработок Trusted Computing Group.

Решение Cisco называется NAC Framework 2.0, причем буква A в ее фирменной аббревиатуре "NAC" обозначает не общепринятое слово "Access" (доступ), а "Admission" (допуск). Основанное же на стандартах решение Trusted Computing Group именуется Trusted Network Connect.

Уровни игроков на поле NAC

В июне 2004 г. Cisco выпустила свой продукт Network Admission Control Framework 1.0. Однако и время, и вопросы сетевой безопасности не стоят на месте. Все больше ноутбуков, да и карманных устройств пересекают периметр защищенных сетей после подключения к не совсем безопасным точкам, и этот факт был и остается очень серьезной корпоративной проблемой.

В последние годы сформировалась тройка главных игроков (назовем их игроками уровня 1), взявшихся решить проблему контроля доступа персональных устройств, подключаемых к защищенным сетям и к их охраняемым ресурсам. Одновременно с ними появилась и довольно широкая группа других производителей, заполняющих уровень 2. (Продуктами этих компаний, если ниже не оговорено иное, является специализированная аппаратура.)

Уровень 1

- NAC Framework 2.0 фирмы Cisco

- Еще не выпущенное решение Microsoft NAP, которое должно стать частью будущей версии Windows Server

- Trusted Network Connect разработки Trusted Computing Group - первое решение на базе стандартов

Уровень 2

     - AEP NACpoint компании AEP Networks (www.aepnetworks.com)

     - SSL (Secure Sockets Layer) VPN фирмы Aventail (www.aventail.com)

     - NAC Director фирмы Bradford Networks (bradfordnetworks.com)

     - Identity-Driven Access Gateways фирмы Caymas Systems (www.caymassystems.com)

     - Dynamic NAC фирмы InfoExpress (ПО для Windows; www.infoexpress.com)

     - Lockdown Enforcer фирмы Lockdown Networks (www.lockdownnetworks.com)

     - Endpoint Control фирмы Mirage Networks (www.miragenetworks.com)

     - NAM-plus (Network Access Management) компании NeoAccel (www.neoaccel.com/nam-plus.php)

     - LANenforcer 3.0 фирмы Nevis Networks (www.nevisnetworks.com/index.php)

     - Safe Access 5.0 фирмы StillSecure (www.stillsecure.com)

     - Symantec NAC компании Symantec (ПО, работающее на множестве платформ; www.symantec.com)

Источник: eWeek Lab.

Хотя участники встречи имеют разные позиции относительно базовых механизмов NAC, они высказали и ряд общих идей. NAC-технология не допускает к работающей сети "больные" системы (не важно, принадлежащие самой организации или ее гостям), ограничивая гостевой доступ к приложениям и сетевым ресурсам, в частности к Интернету. NAC-технология также проверяет оконечные устройства (такие, например, как ноутбуки, настольные ПК, карманные устройства и принтеры) на предмет обновлений ОС и приложений, антивирусных баз и работающих персональных брандмауэров, а также отсутствия запрещенных приложений.

NAC на практике

Прежде чем рассматривать предложения конкретных производителей, администраторы корпоративных сетей, приложений и систем безопасности должны четко понять, почему им требуется контролируемый сетевой доступ. Им также надо иметь в виду, что NAC относится к категории продуктов, которые первоначально развертываются на уровне всей ИТ-среды, а затем медленно распространяются на основную массу пользователей ПК.

Поэтапное внедрение обычно считается наилучшим способом освоения NAC-технологии. Следует ранжировать ИТ-ресурсы по уровню их важности и в первую очередь обеспечить защиту наиболее уязвимых серверов, сегментов сетей и приложений.

Благодаря поэтапному развертыванию ИТ-менеджеры смогут вовремя разобраться в особенностях работы критических функций NAC, избежать неразберихи и шквала жалоб недовольных пользователей, которым не удается подключиться к сети. Дело в том, что при активированной политике доступа любая оконечная система, не удовлетворившая критериям проверки, будет изолирована от всех сегментов сети, за исключением "санитарной" VLAN (виртуальной ЛВС) или соответствующего Web-сайта.

Подключившись к санитарным зонам, пользователи смогут решить несложные проблемы, например обновить антивирусный пакет или получить дополнительную информацию о способах удаления неразрешенного ПО - скажем, шпионских программ или запрещенных P2P-приложений. По завершении "исправительных мероприятий" они пройдут контроль и им будет выдан разрешенный уровень сетевого доступа. Прежде чем развертывать NAC в работающей сети, необходимо наладить четкое функционирование цикла, включающего карантин, лечение и повторное освидетельствование.

Как и при разработке всякой новой технологии, ИТ-менеджеры должны смотреть на несколько лет вперед, чтобы приобретенные продукты оставались жизнеспособными и в обозримом будущем.

В случае с NAC будущим является стандарт безопасности 802.1x. В качестве первичного механизма функционирования NAC часто выступает DHCP (Dynamic Host Configuration Protocol), при котором запрос на выделение IP-адреса инициирует проверку состояния запрашивающего устройства. Протокол 802.1x предоставляет метод для аутентифицированных коммуникаций в сети, однако его реализация может привести к трудностям, особенно при использовании таких устройств, как принтеры, которые могут и не поддерживать 802.1x-запросы.

Большинство участников NAC-панели конференции RSA были согласны с тем, что хотя на первых этапах реализации NAC будет доминировать DHCP, ИТ-менеджерам следует иметь в виду будущие обновления, включая 802.1x, призванные повысить безопасность сетей.

NAP в версии Microsoft войдет в ОС Windows со встроенным IPSec, так как Microsoft предпочитает именно этот метод защиты коммуникаций. Ахмед, представлявший Microsoft, ссылался на простоту реализации IPSec, которая, по его словам, является чисто инженерным вопросом. Однако Ханна из Trusted Computing Group, выступавший как раз с позиций инженера, выразил то, о чем, вероятно, думали многие присутствовавшие в зале: реализация IPSec - задача не совсем тривиальная.