NAC: a standardu wciąż brak

Emocje wywołane powstawaniem koncepcji NAC powoli już ostygły. Nie oznacza, że temat okrzepł i nastąpiła stagnacja. Wręcz przeciwnie, mimo że od wprowadzenia przez Cisco pojęcia NAC w 2004 roku (rozumianego początkowo jako Network Admission Control) minęło już blisko 5 lat, to ciągle nie ma oficjalnego, a przy tym otwartego standardu, stanowiącego punkt odniesienia.

Mówiliśmy, że rozwiązania NAC przestają dotyczyć tylko i wyłącznie prostych metod weryfikacji urządzenia przed udzieleniem dostępu do sieci. Widać to wyraźnie w podejściu Enterasysa zarówno do fazy pre-, jak i post-connect. Na przykład w pre-connect możliwe jest przeskanowanie pod kątem podatności systemów, na których nie ma możliwości instalacji agenta. Standardowo takie sprawdzenie trwa ok. minuty, i na jego podstawie jesteśmy w stanie przypisać odpowiednią politykę bezpieczeństwa. Interesującą funkcją jest możliwość "poproszenia" administratora o podjęcie decyzji, jeżeli w sieci pojawi się zupełnie nieznane urządzenie, np. access point podłączony przez pracownika. Można to przeprowadzić w bardzo wygodny sposób, np. przez wymianę SMS-ów między Enterasysem a administratorem.



Z kolei w fazie post-connect możliwa jest np. ścisła integracja z firmowym IPS-em (Dragon) lub IPS-em firmy trzeciej, a także monitorowanie całości komunikacji (m.in. flow analysis) już po dopuszczeniu stacji/urządzenia do sieci. Jeżeli zostanie wychwycone podejrzane zachowanie, system może ruch zablokować lub poinformować administratora. Co ciekawe, blokada może obejmować określony typ komunikacji, a niekoniecznie całość ruchu. Czasami przyjęta przez Enterasys "wykładnia rozszerzająca" TNC NAC w fazie post-connect odchodzi od bezpieczeństwa, wkraczając na pole dostępności. Mowa tutaj np. o możliwości przydzielania i regulowania pasma VoIP w zależności od okoliczności inicjowania połączenia.

Pozostaje też wspomniany problem kompatybilności z innymi rozwiązaniami. Jak mówiliśmy, NAC obejmuje coraz to nowsze obszary. Pod tym względem Enterasys prezentuje dość rzadkie obecnie podejście. Po pierwsze, jeśli mamy żyłkę programisty, możemy samodzielnie "podpiąć" pod NAC-a nowy system czy aplikację - rozwiązanie ma architekturę otwartą. A jeśli nie - to i tak do każdego wdrożenia przypisany jest inżynier producenta, który jest w stanie dopisać takie wsparcie. Jak zapewnia Enterasys, jeżeli coś potrafi wysyłać komunikaty (preferowanym medium komunikacji jest SNMP - także w wersji 3), to może być uznane za kompatybilne z Enterasys NAC.

Pytania do eksperta...Enterasys

Dawid Królica, Technical Sales Manager Enterasys Networks1. Jakie realne problemy korporacji może rozwiązać NAC?
Rozwiązania NAC oferują pełne podejście do identyfikacji, kontroli i zabezpieczenia dostępu do krytycznej sieci informacyjnej i usług biznesowych. Dobrze zaprojektowane rozwiązanie NAC proaktywnie zarządza siecią, pokazując, czy do sieci podłącza się zaufany użytkownik, gość czy urządzenie, oraz jakie są ich uprawnienia. Wszystko to oparte jest na polityce bezpieczeństwa uwzględniającej: identyfikację urządzenia i użytkownika, znaczenie dla biznesu, porę dnia, lokalizację i kondycję systemu końcowego.Pełne rozwiązania NAC posługują się zarówno technologią agent-based, jak i agent-less assessment, dodając do tego proaktywną i reaktywną politykę egzekwowania, aby zapewnić solidny końcowy system zabezpieczeń zarówno przed, jak i po podłączeniu się do sieci. Stosując NAC, klient jest w stanie odpowiedzieć na poniższe pytania:
· Kto jest uprawniony do korzystania z zasobów sieci?
· Jak użytkownicy mają prawo komunikować się z siecią?
· Do których zasobów sieci mają dostęp?
· Gdzie jeszcze powinni otrzymać dostęp?

2. Czy warto już teraz, mimo braku powszechnie akceptowanego standardu, inwestować w NAC?
Oczywiście, warto jest zainwestować w rozwiązanie NAC już teraz, szczególnie ze względu na ustandaryzowane i powszechnie obsługiwane komponenty uwierzytelniania i autoryzacji. Wprawdzie ocena standardów technologii kuleje, ale np. Microsoft wspiera obecnie także TCG TNC i można dostrzec postęp w tym zakresie.

3. Z jakimi zmianami w dotychczasowej infrastrukturze wiąże się wdrożenie NAC-a?
Zależy to od tego, jaki typ rozwiązań NAC wybierze klient, a także w dużym stopniu od jego obecnej infrastruktury sieci. Począwszy od prostego podejścia MAC albo opartego na IP, poprzez Portale Web, Kerberos i 802.1x - dostępne są tryby uwierzytelniania i schematy wykrywania, które mają zupełnie różny wpływ na infrastrukturę sieci. Powyższe czynniki, razem z modelem wprowadzanym w życie, determinują skalę zmian w sieci.

4. Gdyby miał Pan wskazać jedno, najważniejsze kryterium, którym należy kierować siępodczas wyboru rozwiązania, to co by nim było?
Jest wiele kryteriów. Każdy krok z rozwiązaniem NAC wymaga użycia różnorakich modeli rozmieszczenia, w zależności od rozwiązania na rynku. Generalnie, należy wybrać rozwiązanie oparte na ostatecznym i optymalnym scenariuszu rozmieszczenia i sprawdzić, czy umożliwia ono płynną migrację. Efektywne rozwiązanie NAC musi być integralną częścią całościowej strategii bezpieczeństwa sieci, która uwzględnia m.in. identyfikację i autoryzację usług, uwierzytelnianie urządzeń i użytkowników, ocenę kondycji systemu końcowego zarówno przed, jak i po podłączeniu się do sieci, automatyczne wyizolowanie, kwarantannę i zarządzanie zagrożeniami, ciągłą analizę zagrożeń, zapobieganie i powstrzymywanie przed nimi czy wreszcie raportowanie.

Jak więc widać, w koncepcji NAC sporo się dzieje. Niedługo może dojść do sytuacji, w której wszystko, co w mniejszym lub większym stopniu związane jest z bezpieczeństwem, będzie elementem NAC. Są to z pewnością dobre wieści dla specjalistów ds. bezpieczeństwa, bo przynajmniej przez kilkanaście najbliższych miesięcy nie będą narzekać na nudę. Nie należy się bowiem spodziewać znaczącej stabilizacji tego segmentu, a to - są na to duże szanse - przełoży się na jeszcze bardziej efektywne rozwiązania.