Обзор "Рынок корпоративного ПО 2006" подготовлен
CNewsAnalytics

Концепция NAC контролирует доступ на новом уровне

Концепция NAC контролирует доступ на новом уровне

Участившиеся дорожно-транспортные происшествия по вине пьяных или превысивших скорость водителей привели к тому, что в ряде скандинавских и арабских стран автомобили стали оснащать специальными устройствами, которые блокируют зажигание при превышении в автомобиле предельного значения алкогольных паров или автоматически снижают скорость при нарушении скоростного режима. Аналогичные механизмы существуют в компьютерных сетях, где случайные или целенаправленные нарушения также приводят к серьезному ущербу. Концепция NetworkAccessControl призвана вывести защищенность сетей на более высокий уровень, чем сейчас.

Суть технологии, получившей название Network Access Control (NAC), достаточно проста — любой запрос на доступ к какому-либо защищаемому ресурсу перед его разрешением вначале «тормозится» (на практике слово «тормозится» читается гораздо дольше, чем происходит задержка запроса для проверки) на определенном устройстве. Последнее должно удостовериться, что узел, с которого осуществляется попытка доступа, соответствует политике безопасности.

Ключевых моментов здесь несколько. Во-первых, мы не занимаемся аутентификацией ни пользователя, ни узла, подразумевая, что эта задача уже выполнена и пользователь (с помощью пароля, токена или сертификата PKI) или устройство (с помощью 802.1x) имеет полное право на доступ к запрошенному ресурсу. В технологии NAC мы проверяем именно состояние узла, а не его полномочия. Это позволяет обнаружить зараженный вирусом компьютер, узел с отсутствующим или устаревшим антивирусом, непатченную систему и т.д. В любой из этих ситуаций пользователь, работающий за компьютером, сможет получить беспрепятственный доступ в защищенную сеть. Во-вторых, эта технология позволяет проверить не только компьютер, за которым пользователь «сидит», но и устройство, вообще не предусматривающее работающего за ним пользователя, например, сервер или принтер. В-третьих, процесс удостоверения соответствия производится не самим устройством-«тормозом», а так называемым сервером политик, который содержит правила, которым и должен соответствовать узел, запрашивающий доступ. Таких правил может быть множество. Это и наличие антивируса, и актуальность антивирусной базы, а также наличие персонального межсетевого экрана и критических патчей и service pack’ов, определенные настройки подсистемы защиты ОС или приложений и т.д.

Для получения состояния защищенности узла, запрашивающего доступ, можно пойти двумя путями. Первый — самый простой и эффективный — установить на узлы специального программного агента, который и будет передавать информацию об уровне защиты устройства. Брать эту информацию он будет от защитных систем, установленных на проверяемом компьютере (антивирусы, подсистемы защиты, системы управления патчами и т.п.). Такой агент может быть установлен «поверх» операционной системы и приложений, а может уже входить в их состав, что предпочтительней. При этом установка агента может быть осуществлена заранее или «по факту» (с помощью технологии Java или ActiveX). Второй вариант сбора статистики — дистанционное сканирование. Он используется когда для проверяемого устройства не существует агентов или они не были установлены по разным причинам (например, к защищаемой сети подключается абсолютно новый пользователь). Разумеется, в этом случае достоверность результатов анализа будет ниже.

В качестве «тормозящего» запрос устройства может выступать как сетевое оборудование (коммутатор, маршрутизатор или точка беспроводного доступа), так и специализированное устройство, предназначенное только для решения этой задачи. В первом случае не придется тратиться на приобретение специальных устройств, но вы будете «привязаны» к конкретному производителю сетевой инфраструктуры. Во втором случае, вы можете «наложить» NAC-устройство на любую сеть, но оно в этом случае становится «бутылочным горлышком» и самым узким местом в сети, от надежности и отказоустойчивости которого зависит работоспособность всей конструкции.

После передачи статуса узла на сервер политик и проверки этого статуса на соответствие установленным правилам, сервер политик динамически создает правила разграничения доступа для сетевого оборудования, разрешая или блокируя доступ к запрошенным ресурсам. При этом любые шаги «вправо-влево» попросту невозможны, так как созданные правила разграничения (например, списки контроля доступа, Access Control List) их не предусматривали.

Если в результате проверки выясняется, что узел не соответствует требованиям политики безопасности, то доступ узла-нарушителя либо блокируется, либо перенаправляется в карантинный сегмент (отдельную VLAN или IP-подсеть), где пользователю высвечивается сообщении о причине отказа в доступе, либо узел автоматически приводится в соответствие с политикой безопасности.

Данная технология должна работать как на страже корпоративной сети, блокируя вредоносную активность от внешних пользователей, так и на страже оператора связи, защищая его от пользователей, нежелающих следить за своей безопасностью. Однако на практике, большинство существующих решений ориентировано только на первую задачу, напрочь «забывая» о второй.

Теперь давайте посмотрим, как реализуют данную технологию различные производители.

Подход Cisco

Cisco была первой компанией, выпустившей работающее решение пару лет назад. Оно получило название Network Admission Control и было представлено сразу в двух ипостасях — в виде подсистемы, интегрированной в сетевое оборудование, и в виде отдельного устройства. В первом случае в качестве устройства, через которое проходили все запросы, мог выступать любой маршрутизатор, коммутатор или точка беспроводного доступа компании Cisco, что, учитывая их распространенность, было достаточно привлекательным для многих пользователей. Во втором случае, технология контроля сетевого доступа была реализована в виде так называемого NAC Appliance, который мог быть установлен на сети, построенной на оборудовании любого производителя.

Решение Cisco NAC было поддержано несколькими десятками производителей, выступавших в качестве поставщиком систем для оконечных устройств. Именно от них информация о состоянии защищенности передавалась на сервер политик (как минимум это Cisco Secure Access Control Server$ как максимум — еще и сервер политик партнера-производителя, например, Trend Micro OfficeScan Server). В качестве таких производителей можно назвать Check Point, ISS, Trend Micro, Symantec, McAfee, Лаборатория Касперского, Intel, Microsoft и т.д. При этом оконечные устройства могут работать под управлением Windows, Linux, Solaris и т.д. Наличие открытого API позволяет подключаться к данной инициативе любому разработчику.

Еще одной интересной особенностью подхода Cisco является интеграция с системами устранения обнаруженных проблем. Например, объединившись с IBM (Tivoli Configuration Manager) или LANDesk, можно автоматически установить отсутствующее ПО, изменить настройки ОС и т.д.

Подход Microsoft

Вторым подходом, призванным завоевать популярность, можно назвать технологию Network Access Protection (NAP) компании Microsoft. И хотя данная технология появится только в Windows Vista и Windows Server («Longhorn»), учитывая популярность решений Microsoft, можно предугадать и судьбу NAP. Эта технология ничем не отличается от подхода Cisco — разве, что названия компонентов другие и число проверок, на соответствие которым оценивается узел, меньше. Вместо Cisco Access Control Server функционирует Microsoft Network Policy Server (NPS), функции сетевого оборудования на себя берет Health Registration Authority (HRA) и т.д. При этом и сами технологии интероперабильны и совместимы между собой, о чем Microsoft и Cisco объявили осенью 2006 года.

Для обновления несоответствующих политике компьютеров можно использовать Microsoft Systems Management Server (SMS). Помещение в карантин может быть осуществлено при помощи DHCP-сервера (DHCP Quarantine Enforcement Server, QES), VPN QES и IPSec QES или 802.1x. Единственное ограничение, которое «видится» с MS NAP — это отсутствие гетерогенности. Эта технология будет работать только в Windows-окружении (и только в новых версиях — Vista и Longhorn).

Подход LANdesk, Trend Micro и других

Недавно о своем подходе объявила компания Trend Micro, известная решениями по борьбе с вирусами, шпионским ПО и другими вредоносными программами. Программно-аппаратное устройство Network VirusWall Enforcer, будучи установленным в сети, пропускает через себя все запросы на установление соединения и в зависимости от результата проверки уровня защищенности «дает» или «не дает добро» на доступ. Аналогичная концепция реализована и в решениях LANDesk, однако запросы пропускаются через DHCP-сервер этой компании, который и является «истиной в последней инстанции». Решение Total Access Protection от компании Check Point позволяет блокировать доступ несоответствующих политике узлов только в том случае, если на них установлен защитный агент Integrity, а в качестве шлюзов, пропускающих запросы, могут выступать только Check Point VPN-1, InterSpect и Connectra. В отличие от других NAC-решений в подходе Check Point отсутствует сервер политик и окончательное решение о соответствии принимает сам агент Integrity в соответствие с политикой заданной на консоли управления.

Заключение

Все эти решения объединяет одно — они рассчитаны на применение в инфраструктурах, построенных на базе одного производителя. Любое проявление гетерогенности нарушает целостную картину. И если для подходов компаний Cisco и Microsoft это простительно ввиду их широкой распространенности на рынке, то для других компаний такая «монополизация» скорее минус, чем плюс.

Разумеется, рынок NAC не ограничивается только названными решениями Cisco, Microsoft, Trend Micro и т.д. Сейчас этот сегмент переживает эпоху бурных изменений. О первых наработках в данной области сообщает Juniper (технология UAC), McAfee (IntruShield), ISS (Proventia Desktop Endpoint Security Access Control) и другие. Выйдут ли они на уровень «боевой эксплуатации» — покажет время. А пока стоит готовиться к активному внедрению концепции Network Access Control, которая призвана поднять защищенность корпоративных и операторских сетей на более высокий уровень, чем сейчас.

Алексей Лукацкий

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2006 г.

Toolbar | КПК-версия | Подписка на новости  | RSS