Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Аттестация сетевых узлов

Грег Шипли

Почти перед всеми ИТ-подразделениями предприятий стоят проблемы точного определения, кто или что подсоединяется к их сетям, и управления доступом этих субъектов или объектов. В большинстве организаций предоставление доступа к сети осуществляется по принципу все или ничего, т. е. пользователь либо подключается к сети (локально, удаленно, по проводам или радиоканалу), что дает ему возможность задействовать ее, либо нет. После подсоединения устройства к сети во избежание проблем в работе предприятия защита его конфиденциальной информации осуществляется средствами хостов.

Однако с распространением шпионского ПО и червей, а также с увеличением числа попыток кражи данных этот подход к их защите стал неэффективным. Увы, при его использовании многие ИТ-подразделения никак не контролируют подключение нелегальных узлов к своим сетям.

Если у вас когда-либо возникала мысль о том, что должен быть лучший способ контроля сетевого доступа, то знайте — вы не одиноки. К сожалению, до сих пор прогресс в этой области шел довольно медленно. В настоящее время производители выпускают более интеллектуальное многообещающее инфраструктурное оборудование, способное устанавливать соответствие между пользователями и их машинами или потоками данных, а также проверять состояние вычислительных систем, подключенных к сети. Кроме того, эти продукты помещают сетевые узлы в карантин и выполняют улучшенные функции сбора информации о работе сети.

Мы решили проанализировать новые концепции контроля доступа к сети. Многие из них основаны на идее аттестации сетевого узла (Network Node Validation — NNV), что подразумевает идентификацию и проверку узлов, пытающихся войти в сеть. Цель нашего анализа — узнать, какие концепции помогают решать те или иные проблемы с защитой сетей и что получат организации в результате внедрения интеллектуальной инфраструктуры. В этой статье мы рассматриваем конкурирующие концепции разных производителей и обсуждаем проблемы, с которыми могут столкнуться организации при их воплощении в жизнь. Выяснилось, что эти концепции довольно разные. Одни их элементы “хорошо прожарены”, а другие — еще “сырые” и их следует “вернуть в печь”. И еще. Реализация этих концепций требует внесения существенных изменений в работу сети.

Суть аттестации узла

Для специалистов многих организаций термин “контроль доступа к сети” (Network Admission Control — NAC) прочно ассоциируется с одноименной инициативой компании Cisco в области защиты сетей. Однако по мере роста потребностей предприятий в улучшенном контроле доступа к сетям появляются и другие производители, предлагающие функционально схожие защитные концепции и решения. Известные производители инфраструктурного оборудования Enterasys Networks, Extreme Networks и Foundry Networks встраивают улучшенные защитные функции в свои продукты. Одни из этих функций аналогичны функциям, предусмотренным концепцией Cisco NAS, другие же — соответствуют им только по названию.

Компания Juniper реализует альтернативный (вышеназванной концепции) подход, предусматривающий использование новых устройств и технологии SSL VPN. Относительно недавно вышедшие на рынок компании ConSentry, Lockdown Networks, Nevis Networks и Vernier Networks планируют выпускать автономные защитные продукты, альтернативными способами решающие задачи, которые связаны с контролем доступа к сети.

Так что же такое аттестация узла? Представители разных компаний по-разному отвечают на этот вопрос. Подходы компаний Cisco и Juniper базируются на двух понятиях — идентичность (identity) пользователя и состояние (posture) его системы (раньше проверка идентичности и состояния редко осуществлялись в рамках одного решения). Собирая информацию об установленных “заплатах”, версиях ПО, запущенных процессах и другие сведения об ОС и приложениях, можно получить представление об общем состоянии системы. Объединив эту информацию с результатами аутентификации пользователя, вы получите весомые основания для принятия правильного решения по предоставлению сетевого доступа.

Концепции других производителей основаны на совместном использовании средств аутентификации и технологии обнаружения аномального трафика. Мы не считаем такой подход инновационным и полагаем, что разработку методов анализа трафика лучше оставить компаниям, которые специализируются на выпуске средств информационной безопасности.

Аутентификация тоже далеко не новая функция. Довольно давно выпущен базовый стандарт аутентификации 802.1x (см. “802.1x для “чайников””). Однако стоит отметить, что установление личности пользователя и определение состояния его машины — это очень разные процессы. К информации о состоянии компьютерной системы относятся данные о ее антивирусных программных средствах и ПО межсетевого экрана, а также сведения о том, установлена или нет на браузер Internet Explorer “заплата”, ликвидирующая недавно найденную уязвимость.

Учитывая, что в сети должно быть устройство, которое предо-ставляет или запрещает доступ клиентской машине, NNV-решение не только аутентифицирует пользователей и определяет состояние их машин, но и непосредственно управляет их доступом. Последней основной функцией вышеназванного решения является авторизация, основанная на правилах системной политики безопасности. Таким образом, концепция NNV — это нечто большее, чем просто контроль доступа. Подходы компаний Cisco, Juniper и Symantec называются по-разному — Network Admission Control, Secured and Assured Networking и Network Access Control соответственно. Но как бы ни назывались эти подходы, их нельзя считать лишь очередным усовершенствованием механизма контроля доступа, поскольку предусмотренная ими функциональность гораздо шире.

Состояние + Идентичность = Лучшие решения

Необходимость такого рода защитных концепций и решений очевидна. Например, сотрудник предприятия вернулся из командировки с ноутбуком, зараженным недавно появившимся вредоносным ПО. Он подключает свой ноутбук к корпоративной сети, и червь устремляется в нее по 100-Мбит/с соединению, чтобы “грызть” эту сеть изнутри. Этого не произойдет, если она (сеть) будет защищена системой, которая (прежде чем предоставить полный доступ к сети) проверит состояние машины и определит, что последняя заражена и нуждается в “лечении”, а также в обновлении антивирусной программы. Последующие действия защитной системы могут быть разными — не только полный запрет доступа к корпоративной сети. Систему можно настроить и на помещение зараженного компьютера в изолированную виртуальную ЛВС (ВЛВС) или на выдачу предупреждающего сообщения ИТ-персоналу (чтобы он предпринял какие-либо действия по отношению к этой машине). Технологические решения типа Cisco NAC и Juniper Infranet обеспечивают такую гибкость процесса авторизации.

Еще одной задачей улучшенной системы защиты может стать ограничение доступа к сети для сотрудников подрядных организаций или фирм, что-либо поставляющих вашей компании. Многим предприятиям приходится разрешать представителям этих организаций или фирм работать в своих офисах. Данные представители тоже могут иметь инфицированные ноутбуки, причем ситуация осложняется тем, что специалисту подрядной организации может потребоваться доступ к удаленным сетям, которые местный администратор полностью не контролирует. Здесь следует принять решение о том, нужно ли предоставлять, например, подрядчику Крейгу и его ПК сетевой доступ к системам, хранящим конфиденциальную информацию? Если Крейг обслуживает находящиеся в Будапеште принтеры, то существуют ли веские причины для того, чтобы он связывался с центром обработки данных в Штутгарте?

На первых порах NNV-решение можно использовать только для проверки состояния ПК, без реализации правил системной политики безопасности и помещения зараженных машин в специальную ВЛВС. Однако некоторые продукты, в том числе контроллер Infranet компании Juniper, предназначены для динамичной реализации этих правил (работа данных продуктов похожа на функционирование межсетевого экрана) и улучшенного контроля доступа по всей сети, а не только на ее границе.

Здорово, не правда ли? Да, но есть определенные проблемы. Дело в том, что для успешной реализации правил системной политики безопасности многочисленные защитные средства — коммутаторы, маршрутизаторы, NAC-устройства, программы-агенты, межсетевые экраны и серверы авторизации — должны эффективно взаимодействовать друг с другом, а добиться этого нелегко. Кроме того, одни защитные продукты предоставляют больше функций, чем другие. У нас сложилось мнение, что решение Cisco NAC предназначено больше для создания основы функционирования средств других фирм, чем для немедленного предоставления пользователям полезных функций.

И еще. Для реализации многих предлагаемых разными производителями концепций требуется вносить изменения в инфраструктуру сети. Возможно, придется заменить коммутатор или установить мощный межсетевой экран, словом, изменения, как правило, необходимы, а для осуществления их требуются денежные затраты. Кроме того, для реализации разных концепций нужны разные компоненты. Например, концепция компании Juniper во многом основана на реализации сетевых контрольных точек (choke points), подход же фирмы Cisco ориентирован на использование коммутаторов и маршрутизаторов.

Чтобы оценить возможности разных защитных концепций и решений, мы должны сначала рассмотреть функции их базовых компонентов.

Компоненты систем сетевой безопасности

Итак, поговорим о работе новых защитных решений. Что касается технических особенностей реализации их, то здесь многое зависит от конкретного производителя, но на концептуальном уровне во все решения входят общие компоненты.

Компонент проверки состояния. Для успешного определения состояния ПК требуется проделать определенную аналитическую работу. Она может быть выполнена локально с помощью агента или удаленно с использованием сканера. Оба подхода имеют свои достоинства и недостатки. По сравнению с удаленными сканерами агенты могут собрать больше информации о ПК, но их (агенты) нужно устанавливать на все авторизуемые машины (о проблемах с применением агентов см. “Эти проблематичные клиенты”). Достоинством же сканеров уязвимо-стей, например, QualysGuard компании Qualys (участник программы Cisco NAC), является возможность проверять любое подсоединенное к сети устройство с IP-адресом. Однако они не в состоянии собирать информацию, например, о версии задействованного на ПК браузера и файлах определения вирусов. Кроме того, сканеры генерируют интенсивный сетевой трафик.

При любом подходе собранная информация передается компоненту авторизации. Мы думаем, что связанный с применением агентов подход будет более распространенным, но в идеале желательно реализовать оба подхода.

Компонент аутентификации. Возможность определить, какой пользователь работает с тем или иным подсоединенным к сети ПК, имеет большое значение для принятия правильного решения о предоставлении (или не предо-ставлении) ему доступа к сети. Производители реализуют несколько разных подходов к аутентификации пользователей — от использования поддерживающих стандарт 802.1x клиентских запросчиков (supplicants), которые предлагают пользователям ввести аутентифицирующую информацию, до реализации порталов аутентификации (captive portals), на которые по протоколу HTTP перенаправляются запросы пользователей. Эти порталы широко применяются в отелях. Идеальным вариантом является сочетание этих двух подходов, т. е. в тех сетях, где это имеет смысл, следует использовать стандартную технологию 802.1x, но если нужна большая гибкость защитной системы, то лучше реализовать не зависящее от платформ HTTP-перенаправление. Как и компонент проверки состояния, компонент аутентификации взаимодействует с компонентом авторизации.

Компонент авторизации. После проверки идентичности пользователя и состояния его машины начинает действовать компонент авторизации, который определяет, какие права доступа должны быть предоставлены. Он взаимодействует с компонентами проверки состояния и аутентификации, а также с другими инфраструктурными устройствами, например с коммутаторами. Этот компонент критически важен для защитных систем не только потому, что он принимает решение (о предоставлении прав доступа), но и потому, что интегрирует службу справочника с базой данных аутентификации. Возможности больших организаций в плане внедрения у себя NNV-технологии в значительной степени зависят от используемой ими базы данных аутентификации.

Компонент реализации решений. После принятия решения о том, что нужно сделать с конкретным сетевым устройством или сеансом, должен быть приведен в действие механизм, реализующий это решение. Он может работать по-разному, но, как правило, в нем предусмотрено получение информации от компонента авторизации, а затем выполнение некоторых действий, связанных с запретом или разрешением передачи трафика, сетевым устройством — коммутатором, маршрутизатором или межсетевым экраном.

Эти четыре компонента в том или ином виде имеются в большинстве рассмотренных нами защитных решений, предлагаемых разными производителями. Однако реализованы эти решения по-разному. В системе компании Juniper устройство Infranet Controller осуществляет авторизацию и сбор данных, получая их от агентов, а также взаимодействует с узлами реализации решений. Речь идет о компонентах Infranet Enforcement, которые представляют собой наборы функций межсетевых экранов NetScreen. Подход же компании Cisco предполагает использование агентов на хостах, работающих с сервером Cisco ACS (компонент авторизации от Cisco). Этот сервер затем связывается с управляющими станциями, оснащенными соответствующим ПО третьих фирм, с целью получения дополнительной информации и дает команду совместимым коммутаторам и маршрутизаторам Cisco передать инструкции по реализации решений, например, “поместить узел в ВЛВС x” или “задействовать список контроля доступа y”.

В рассмотренных нами концепциях нет единственно правильных или неправильных вариантов решения защитных задач. Поэтому основное, о чем следует беспокоиться, — так это то, что внедрение технологии NNV потребует существенных изменений в работе сети и ее обслуживании.

Новые проблемы

Внедрение некоторых дополнительных защитных продуктов и “интеллектуальных” инфраструктур вызывает не столько технические, сколько организационные сложности, связанные с перераспределением обязанно-стей между ИТ-службами и изменением характера их работы.

Реализовав вышеперечисленные компоненты улучшенной модели информационной безопасности, организации сталкиваются с новой проблемой: как организовать техническое обслуживание новых защитных систем? Уходит в прошлое время, когда для проверки наличия связи ПК с сетью достаточно было посмотреть светодиодные индикаторы порта Ethernet и проверить выдачу адреса этому компьютеру службой DHCP. В новой системе контроля доступа вы столкнетесь с целым букетом доселе не встречавшихся вам проблем. Одни из них будут связаны с аутентификацией пользователей, другие — с проверкой состояния машин (сбои в работе хостов и их агентов), а третьи — с предоставлением сетевого доступа (могут возникнуть следующие вопросы: в какую ВЛВС помещен подрядчик Крейг? работает ли она?).

Думаете изменять пароли пользователей не сложно? Все зависит от числа операций замены. Служба поддержки (help desk) может оказаться заваленной жалобами пользователей, которым не удалось войти в сеть. Туго придется не только этой службе, но и администраторам сетевого оборудования, если организация не будет готова к выполнению процедур, необходимых для эксплуатации новой системы контроля доступа. Здесь на помощь сетевым специалистам должны прийти производители. Им следует включить в состав своих решений средства, предоставляющие нужную информацию персоналу поддержки первого уровня.

Еще одна проблема связана с принадлежностью защитных компонентов. Обычно группа настольных платформ поддерживает ПО, развернутое на ПК, сетевая команда отвечает за функционирование коммутаторов и маршрутизаторов (если последние не распределены по специальным группам LAN и WAN), а межсетевыми экранами ведает служба безопасности. Технология NNV распространяется на сферы деятельности всех этих подразделений и требует от них слаженного взаимодействия. В работе сети возникнут серьезные проблемы, если размещенные на настольных системах агенты не будут должным образом взаимодействовать со службой авторизации или последняя не сможет работать с устройствами реализации решений.

В такого рода системах особенно высоко значение резервирования и повышения надежности компонентов. Компоненты аутентификации и авторизации, а также средства передачи предупреждающих сообщений должны быть зарезервированы и тесно интегрированы со службами поддержки первого и второго уровней. В NNV-среде каждое устройство реализации решений должно иметь связь со службой авторизации. Невыполнение этого требования сделает неработо-способными большинство рассмотренных концепций.

Финальные аспекты

Для успешного внедрения технологии NNV необходимо выполнение ряда требований. Во-первых, нужно иметь большое желание реализовать ее многоуровневую защитную концепцию. Без этого изменения в структуре сети и затраты на это покажутся слишком большими. Названная технология сложна, механизмы взаимодействия между предусмотренными в ней компонентами не очевидны, а для их успешного функционирования потребуется более активное сотрудничество между ИТ-службами. На первый взгляд затраты на внедрение средств NNV могут показаться вам небольшими, на самом же деле они не маленькие.

Во-вторых, у сетевых специалистов должно быть более четкое представление о том, кто и с кем обменивается информацией по сети. И наконец, большое значение имеет кросс-платформенная поддержка клиентов. Что бы там ни говорили вам представители компании Microsoft, корпоративные сети стали сейчас менее однородными, чем раньше. В них расширяется применение систем Mac OS X и Linux, а также встроенных устройств, поэтому нужно выпустить совместимые с ними агенты или предложить какие-либо иные способы поддержки этих (альтернативных Windows) платформ. В настоящее время реализованная в решениях большинства производителей кроссплатформенная поддержка является недостаточно полной.

Планируя внедрение технологии NNV в краткосрочной перспективе, соотнесите риски, связанные с возможным подключением к вашей сети нелегальных и инфицированных устройств, с затратами на внедрение данной технологии и учтите сложность неизбежных при этом организационных и технических изменений. Что же касается долгосрочной перспективы, то мы считаем, что внедрение технологии NNV просто неизбежно, поскольку в подобных защитных решениях ИТ-сообщество нуждается уже давно.

Развитие сети предприятия зависит не только от доступности технологических решений, но и от стратегии его руководства. Время от времени сеть приходится модернизировать, и, если речь заходит о покупке нового коммутатора, то встает вопрос: какую модель предпочесть — самую недорогую или с улучшенными защитными функциями? От ответа на него зависят перспективы внедрения технологии NNV на предприятии. Помните о том, что эта технология отражает растущее значение функций безопасности в сетевых продуктах, и примите правильное решение..





  
6 '2006
СОДЕРЖАНИЕ

бизнес

• Картинки с выставки и FMC

• Противостояние угрозам безопасности

инфраструктура

• Сжатие сохраняемой информации набирает обороты

• Высокоскоростные сети хранения данных

• Администрирование радиочастотного спектра

информационные системы

• Тестируем пакеты бизнес-аналитики

• Как нам обустроить call-центр

• Контроль качества обслуживания клиентов в call-центрах

• Тестируем ПО виртуальных машин

сети связи

• Skype, Triple Play и футбол

• Реализация каналов GSM/GPRS в беспроводных системах сбора и передачи информации

защита данных

• Аттестация сетевых узлов

• Как выявить узлы-«нелегалы»

кабельные системы

• Трагедия как стимулятор инноваций в области противопожарных преград

• Близится принятие стандарта 10Gbase-T

новые продукты

• Монтажное оборудование EuroLAN Rack; Powerware 9355 — теперь и на 40 кВА; DECT-система для сетей IP-телефонии; Решения компании Planet для IP-телефонии; Менеджер трафика для SMB


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх