Журнал о компьютерных сетях и телекоммуникационных технологиях
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК:
    Домой
 
   
АРХИВ ЖУРНАЛА
   

2008: 1 2 3 4 5 6 7 8 9 10 11 12 13
2007: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2006: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2005: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2004: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2003: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2002: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2001: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2000: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
1999: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
1998: 1 2 3 4 5 6 7 8 9 10 11 12
1997: 1 2 3 4 5 6 7 8 9 10 11 12
1996: 1 2 3 4 5 6 7 8 9 10


Rambler's Top100

  

Внутритрактовые NAC-устройства

Майк Фратто

Если ваша сеть такая же, как и большинство других, то вы, будучи системным администратором, наверняка сильно опасаетесь проникновения в нее быстро распространяющихся «червей», подобных Code Red, CodeGreen и SQL Slammer. Но — увы! — такого рода опасений зачастую недостаточно для обоснования комплексной и дорогостоящей модернизации сетевой инфраструктуры. А ведь именно это и предполагалось в первоначальном подходе компании Cisco Systems к организации контроля доступа к сети (Network Access Control — NAC). Безусловно, в этом подходе есть рациональное зерно, ведь, чтобы гарантировать соответствие каждого подключаемого к сети устройства правилам системной политики безопасности, включая отсутствие в нем вирусов, соответствующую проверку устройства нужно проводить в точке подключения его к сети.

Несмотря на то что вышеупомянутый подход вполне согласуется со здравым смыслом, многие конкуренты Cisco нашли (для предприятий) возможность добиться того же результата без сногсшибательных расходов на полную перестройку сети. Речь идет об использовании NAC-устройств, и даже Cisco теперь предлагает подобный продукт.

Сегодня существуют три основных вида NAC-решений, альтернативных полной перестройке сети: на базе хостов, внутритрактовые (in-band) и внетрактовые (out-of-band). Каждый из них имеет свои достоинства и недостатки. В этой статье мы рассмотрим внутритрактовые NAC-устройства.

Некоторые организации наверняка сочтут для себя целесообразным использовать разнотипные решения в разных частях своих сетей. Однако советуем не пытаться устанавливать NAC-устройства разных типов в одном и том же физическом сегменте сети, иначе ваша служба оперативной поддержки едва ли выдержит натиск лавины звонков от пользователей, запутавшихся в многочисленных разнородных правилах системной политики.

В потоке трафика

Внутритрактовые NAC-устройства, как следует из самого их названия, устанавливают в потоке сетевого трафика, обычно между пограничными коммутаторами и коммутаторами уровня распределения сети. Возможен и альтернативный вариант размещения устройства — на входе в центр обработки данных. Его предпочитает использовать организация Trusted Network Connect.

Где бы ни находилось NAC-устройство, оно не должно препятствовать передаче трафика. Большинство производителей внутритрактовых NAC-устройств с целью достижения их высокой производительности создают эти продукты на специализированных интегральных микросхемах ASIC. Однако по мере усложнения правил обработки трафика NAC-функциональность все чаще реализуется с помощью многоядерных универсальных процессоров. Стоит отметить, что производители внутритрактовых NAC-устройств довольно откровенно говорят об ограниченности производительности последних, особенно при сложной обработке пакетов. Но получить такую информацию от них можно, только задав вопрос в лоб.

Способность NAC-продуктов обрабатывать пакеты со скоростью, равной пропускной способности сетевого канала (wire speed) или близкой к таковой, сильно зависит от компетентности специалистов компании-производителя. Высокая квалификация инженеров, разрабатывающих высокопроизводительные ASIC и многоядерные системы, — необходимое условие для создания эффективных внутритрактовых NAC-устройств. Преимуществом такого рода продуктов является их способность анализировать весь трафик (поток за потоком) на соответствие правилам системной политики безопасности, чего внетрактовые системы, по-видимому, делать не могут. Несмотря на то что именно внутритрактовые NAC-продукты способны детально реализовывать правила системной политики безопасности, производители внетрактовых систем утверждают, что главными конкурентными их отличиями являются простота использования и функциональная полнота реализации этих правил.

Вплоть до прикладного уровня

Наряду с детальной реализацией правил системной политики безопасности внутритрактовые NAC-устройства характеризуются почти беспроблемной установкой. При замене существующего коммутатора или организации нового уровня коммутации внутритрактовое NAC-устройство «воспринимается» другими узлами сети просто как еще один коммутатор. В альтернативных же NAC-архитектурах нужно задействовать протоколы 802.1X, DHCP или управление виртуальными ЛВС, что требует модификации имеющейся сети. В общем случае возможности внетрактовых систем ограничены предоставлением или запрещением доступа либо принятием ряда исправляющих ситуацию (с безопасностью) мер с повторным анализом состояния узлов сети.

Некоторые внутритрактовые продукты рекламируются как средства, реализующие политику безопасности на разных уровнях модели OSI, включая и прикладной. Такие устройства полезны для организаций, которые с целью безопасности стремятся предоставлять своим сотрудникам доступ лишь к определенным необходимым для работы системам и сервисам. Данный подход к управлению доступом существенно снижает вероятность того, что злоумышленник или инфицированный компьютер нанесет вред ИТ-системе предприятия.

Аргументы продавцов

Назвать внутритрактовое NAC-устройство межсетевым экраном — то же самое, что назвать Эйнштейна мыслителем, — в принципе правильно, но очень уж неполно. NAC-устройство — это, конечно, межсетевой экран, но с мощным «интеллектом». Например, такой продукт может действовать как система обнаружения вторжений, выявляя аномальное поведение узлов сети и выполняя другие функции мониторинга ее работы, нужные для обеспечения информационной безопасности. Для сравнения стоит отметить, что некоторые внетрактовые NAC-продукты не в состоянии обнаруживать атаки вообще, поскольку не контролируют работу сетевых устройств.

Для многих реализаций NAC-решений камнем преткновения является анализ состояния хостов. Обычно для этого надо на хостах устанавливать программы-агенты, которые обследуют их и сообщают о их состоянии. При использовании внутритрактовых NAC-устройств агенты могут оказаться ненужными. Поскольку описываемые устройства осуществляют мониторинг сетевого трафика, отслеживая соответствие аутентифицированных пользователей IP- и MAC-адресам хостов, то этого может оказаться достаточно для контроля доступа в организациях с хорошо отлаженной практикой управления настольными ПК. Вдобавок к этому внутритрактовые NAC-продукты могут использоваться для контроля состояния устройств (например, принтеров), на которых нельзя установить программы-агенты.

Конечно, чтобы все эти полезные потенциальные возможности претворились в жизнь, нужно правильно выбрать места установки внутритрактовых NAC-устройств. При условии обеспечения необходимой производительности и с точки зрения упрощения и удешевления архитектуры системы безопасности лучше использовать меньшее число внутритрактовых NAC-устройств, устанавливаемых ближе к ядру сети. Однако, чем дальше такое устройство находится от границы сети, тем большее число систем остаются открытыми для атак. Внутритрактовое устройство контролирует только проходящий через него трафик, а вредоносный внутрисегментный трафик оно блокировать не может. И еще. Для надежной защиты сети одного только контроля доступа к ней недостаточно.

После того как пользователь или компьютер получил доступ к вашей сети, для предупреждения атак необходимо продолжать следить за ним. Внутритрактовые системы делают это, выполняя функции сетевого аудита, обнаружения вторжений в сеть и/или аномального поведения ее узлов. Из того факта, что некий ПК успешно прошел тест на соответствие правилам системной политики безопасности отнюдь не следует, что его владелец не имеет злонамеренных целей (например, он может начать атаку, легально подключившись к веб-серверу системы ERP).

Внутритрактовые NAC-устройства способны обнаруживать атаки или оповещать об аномальном поведении узлов сети только при условии, что соответствующий трафик проходит через них. Если эти функции особенно важны для вашего предприятия, располагайте внутритрактовое NAC-устройство как можно ближе к пограничному коммутатору. Кроме того, в США в некоторых регулируемых отраслях сетевую активность требуется протоколировать и аудировать, а внутритрактовые NAC-системы могут предоставлять подробные протоколы для последующего анализа.

Советы покупателям

Помимо функций контроля состояния хостов и реализации правил системной политики безопасности, есть еще несколько важных моментов, на которые нужно обратить внимание, выбирая внутритрактовый NAC-продукт.

Внедрение в сеть любого внутритрактового устройства обычно заставляет сетевых архитекторов понервничать, ведь это еще одна точка возможного отказа в ее работе и еще одно потенциально узкое место. Поэтому крайне важно, чтобы внутритрактовое устройство не только поддерживало нужную скорость передачи данных между коммутаторами, которые часто используют гигабитовые uplink-каналы, но и делало это с небольшими дополнительными задержкой и джиттером либо совсем без них.

Как уже говорилось выше, большинство внутритрактовых NAC-устройств построены на специализированных интегральных микросхемах, предназначенных для быстрой обработки пакетов. Но будьте внимательны, оценивая характеристики производительности этих устройств, заявляемые их производителями. Часто ими приводятся значения производительности при выполнении сокращенного набора NAC-функций или для оптимального вида трафика, что не соответствует реальным условиям работы в сети. Перед тем как заплатить за внутритрактовое устройство, протестируйте его в своей действующей сети.

Еще один очень важный момент — резервирование компонентов NAC-продукта, призванное обеспечить надежность работы сети. Это устройство должно иметь заменяемые в «горячем» режиме вентиляторы и блоки питания (зарезервированные по схеме N +1), или по крайней мере в случае отказа основных функций переходить в такое состояние, в котором трафик продолжал бы идти через него. Конечно, вы сами должны решить, что лучше — позволить пользователям работать в незащищенной сети или отсечь их от нее на время ремонта NAC-устройства..

  
3 '2008
СОДЕРЖАНИЕ

бизнес

• Одна частная история Ethernet

• Очарование новых информационных технологий

• Текучесть кадров: система раннего предупреждения

• Корпоративный веб-хостинг

инфраструктура

• Вкладывайте деньги в автоматизацию ИТ-процессов

• Как снизить энергопотребление ЦОДа

• Станут ли сети стандарта 802.11n «добрыми соседями»?

• Аналитика для «интеллектуальных» IP-систем видеонаблюдения

• Внутритрактовые NAC-устройства

• Нехватка электроэнергии и проектирование ЦОДа

информационные системы

• Формирование услуг в IMS с помощью контейнера сервлетов Java EE SIP

• Приложения ждет реструктуризация

сети связи

• SIP-коммуникации: время наконец пришло?

кабельные системы

• Системам 100-Gigabit Ethernet быть!

• Вездесущие медиаконвертеры


• Калейдоскоп


Реклама:
 Copyright © 1996-2008 ООО "Сети и Системы Связи". вверх