Универсальная защита от StillSecure

БЕЗОПАСНОСТЬ

Камерон Стардевант

Продукт Safe Access 5.0 компании StillSecure представляет собой гибкое и законченное решение для контроля доступа в сеть (NAC), к тому же подготовленное к ассимиляции новых технологий.

Этот продукт поставляется с октября прошлого года по сравнительно недорогим расценкам - 20 долл. за каждый IP-адрес при обслуживании до 2500 пользователей. Safe Access может работать на самых обычных серверах, а его простейший, линейный режим защиты не требует никаких корректив в конфигурациях сетевых коммутаторов или маршрутизаторов. Сочетание этих факторов обеспечивает невысокую степень начальных затрат при том, что решение охватывает полный диапазон NAC-функций, начиная от базовых возможностей и заканчивая построением самой современной среды аутентификации по протоколу 802.1x с кластерами из серверов StillSecure Enforcement Server.

Как и большинство других "повзрослевших" продуктов NAC-категории, Safe Access 5.0 поддерживает разные версии Microsoft Windows - от Windows 98 до Server 2003. В будущей версии продукта его производитель, по официальной информации, планирует обеспечить поддержку других ОС, в том числе Linux и Apple Mac OS X.

Вверху: StillSecure Safe Access 5.0 осуществляет разнообразные проверки устройств, работающих под ОС Windows. Однако,

как видно на экране, более старые, не поддерживаемые продуктом Windows-системы, а также системы Mac и Unix могут быть

пропущены в сеть и без входного контроля. Внизу: для тестов мы отменили эти опции

Хотя Safe Access 5.0 может обеспечивать соблюдение требований технологии NAC через поддержку протокола 802.1x и DHCP (Dynamic Host Configuration Protocol), тестовый центр eWeek Labs начал его проверку в том режиме, который, по всей вероятности, поначалу выберет большинство организаций, а именно в режиме установки одного сервера.

Мы вполне серьезно воспринимаем совет, неоднократно высказывавшийся на последней RSA Conference: на первом этапе внедрения NAC не стоит браться сразу за все. Очень разумно начать с простой и небольшой по масштабам конфигурации, но конечной целью надо ставить построение полноценной, оборудованной удобными для пользователей "санитарными" сервисами системы контроля состояния подключаемых к сети устройств.

Основное время в тесте ушло на задание условий, по которым оконечные устройства следует отсылать на карантин. Для нашего подключения вполне подошел несложный интерфейс администрирования на базе Web. С его помощью мы задали список IP-адресов серверов, которые должны предоставлять доступ к сервисам, обеспечивающим коррекцию. У нас они сводились к обновлению клиентских антивирусных баз с нашего внутреннего сервера обновлений Norton Internet Security 2007 корпорации Symantec. Комплект поставки Safe Access 5.0 по умолчанию содержит несколько заранее сконфигурированных сервисов Symantec. Карантинные службы Safe Access 5.0 могут также использовать протоколы DHCP и 802.1x.

Мы проделали базовые операции по настройке 802.1x на основе Enforcement Cluster или группы серверов Safe Access 5.0.

При организации карантина через DHCP (эта функция имеется и у аналогов Safe Access 5.0) всем оконечным устройствам, запрашивающим IP-адрес по протоколу DHCP, дается временный адрес в карантинной подсети. Если устройство успешно проходит назначенные тесты безопасности для принимающей сети, оно получает новый адрес согласно обычным функциям DHCP-сервера.

Протокол 802.1x использует аутентификацию на базе портов и шифровальные ключи; при этом требуется, чтобы сетевое оборудование поддерживало этот протокол. Инфраструктура аутентификации 802.1x требует присутствия на оконечном устройстве запрашивающего ПО (его называют supplicant), промежуточного сетевого устройства (например, коммутатора), способного функционировать как точка аутентификации, и сервера аутентификации (обычно RADIUS), реально удостоверяющего пользовательские полномочия.

Хотя инфраструктура 802.1x обеспечивает высокие гарантии правомочности использования ресурсов сети, ИТ-менеджерам в этом варианте эксплуатации Safe Access 5.0 или любых других NAC-продуктов много времени придется уделить проверке и обеспечению всех нужных компонентов и их правильной настройке.

Safe Access 5.0 можно без всякого риска использовать в отделах с большим числом сетевых администраторов. Мы легко сконфигурировали разнообразные административные роли - от технического надзирателя за работой Enforcement Cluster до системного администратора, имеющего полный спектр полномочий. Отметим, что наличие ограниченных административных прав - важная функциональная характеристика NAC-продуктов, поскольку это препятствует созданию дыр в безопасности руками самих администраторов.

Политики доступа определяют требования к оконечным устройствам, по которым им выдается "справка о безупречном здоровье" и право на доступ в сеть. В наиболее строгих тестах нам удалось успешно отклонить доступ оконечных устройств, не удовлетворяющих всего одному проверочному критерию из целого списка. Система благополучно справилась с проверкой инсталляции Service Pack и оперативных обновлений, наличия необходимого ПО, отсутствия червей, вирусов, троянов и недозволенных P2P-приложений.

Вверху: StillSecure Safe Access 5.0 проверяет системы на наличие макросов, сервисов и политик безопасности, ежечасно

обновляя эти тесты. Внизу: мы сконфигурировали один кластер для управления VPN-доступом удаленных клиентов.

StillSecure Safe Access реализует политики доступа через прокси-сервер DHCP или методом 802.1x

Чтобы поддерживать постоянное соблюдение политик доступа, работающая система StillSecure каждый час выполняет автоматическое обновление. При желании мы могли вручную осуществлять и более частые обновления, хотя часового интервала, по нашему мнению, вполне достаточно.

Процесс тестирования и карантинного обслуживания Safe Access 5.0 нам очень понравился. Например, при подключении удаленных клиентов через VPN они тоже сначала подвергались процедуре сканирования. Сконфигурировать эту процедуру нам помогли специалисты сервисной службы StillSecure.

ИТ-менеджеры должны иметь в виду, что для корректного сканирования Safe Access 5.0, как и ряд других NAC-продуктов, иногда требует иных установок Microsoft Internet Explorer (и аналогичных параметров других браузеров), чем те, что используются в режиме "высокой безопасности". Поскольку это требование имеет силу только для сканирования без участия агентов и во время инсталляции агентов, то мы тут не видим особого риска.

Сказать, насколько эффективна NAC-технология без использования агентского ПО на подключаемых устройствах, пока сложно. Нам кажется, что ИТ-менеджеры, оценивая любое NAC-предложение, обязательно будут прикидывать затраты на установку и обслуживание агентов, даже если торговые представители поставщика будут всячески расхваливать возможности сканирования без участия агентов. Администраторам следует учитывать, что некоторые старые устройства вряд ли смогут использовать запрашивающее ПО 802.1x, хотя этот стандарт скоро станет обязательным для наиболее ответственных внутренних сетей. Поэтому вопрос поддержки таких устройств должен быть частью любого пробного проекта NAC.

Тестируя Safe Access 5.0, мы могли пропускать в сеть несканируемые системы, используя для их идентификации комбинацию статических IP-адресов с MAC-адресами. Схожий метод применяется в продукте Network Admission Control фирмы Cisco Systems. Это эффективный обходной прием, поскольку иначе Safe Access, как и другие NAC-продукты, заблокирует таким системам доступ в сеть.