Новость из категории: Информация » IT

Контроль доступа в условиях неопределенности

Контроль доступа в условиях неопределенности

На минуту отвлечемся от информационной безопасности и представим поездку на отдых за границу. Чтобы не скучать в самолете, вы взяли с собой несколько бутылок со спиртным, прошли через стойку регистрации, прошли пограничный контроль, погуляли по магазинам duty free, добавили к своей бутылочной коллекции еще парочку новых наименований и пошли на посадку в самолет. и вот тут вас подстерегает сюрприз.

В момент прохождения через «рамку» вас останавливают таможенники и заявляют, что число имеющихся в вашем ручном багаже бутылок превысило установленный лимит. На законный вопрос «а почему, собственно?» вам показывают соответствующие правила, висящие в здании аэропорта на каждом углу. Ваша попытка объяснить, что вы выпьете «чуть-чуть», понимания у служащих аэропорта не находит. Попытка апеллировать к представителю авиакомпании тоже безуспешна – он ссылается на множество случаев, когда пьяные пассажиры буянили на борту самолета. В итоге вас ставят перед выбором – оставить все спиртное, выпить его или отказаться от полета. Примерно также построена и технология контроля доступа к информационным ресурсам NAC (Network Access Control).

Сейчас эта технология находится на подъеме, и на российском рынке можно найти решения таких вендоров как Cisco, Microsoft, LANDesk, Trend Micro и других. Ее суть достаточно проста. Любой запрос на доступ к какому-либо защищаемому ресурсу перед его разрешением вначале «тормозится» на определенном устройстве, которое должно удостовериться, что узел, с которого осуществляется попытка доступа, соответствует политике безопасности.

Но зачем нужна эта технология? Разве недостаточно обычной аутентификации пользователя или устройства (с помощью 802.1x)? Или межсетевой экран не защищает корпоративных пользователей от угроз? К сожалению, на оба вопроса ответ будет отрицательный. Во-первых, все, что может сделать аутентификация, так это подтвердить, что лицо, «стучащееся» в вашу дверь, именно то, за кого оно себя выдает. При этом вы не знаете, с чем к вам это лицо пришло – с миром или с войной. С межсетевым экраном (МСЭ) тоже не все так просто. По большому счету, он играет роль калитки в вашей сети – пускает разрешенный трафик и блокирует запрещенный. Однако проникновение в корпоративную сеть может быть проведено в обход МСЭ или даже в рамках разрешенного протокола или трафика. На помощь экранам приходят относительно новые решения, такие как антивирусы, системы предотвращения атак, анализа контента и т.д. Но все они работают во благо только тогда, когда вы находитесь под их защитой. А если вы работаете из дома или в командировке? А если через беспроводное соединение?

Остается только лэптоп, КПК/смартфон или стационарный домашний компьютер, которые ничем не защищены. Они могут стать целью для червей, троянцев или частью ботсети. И потом, когда этот компьютер подключается к корпоративной сети, он становится источником эпидемии, распространяющейся по всем внутренним ресурсам. Поэтому мы должны обеспечить контроль доступа этих узлов к корпоративным ресурсам независимо от успешного процесса аутентификации и наличия разрешающих правил на межсетевом экране. Сделать это можно только в одном случае – проверив состояние защищенности самого узла и его соответствие политике безопасности. Иными словами, мы проверяем наличие антивируса и актуальность антивирусной базы, наличие персонального межсетевого экрана и критических патчей и service pack’ов, определенные настройки подсистемы защиты ОС или приложений и т.д.

Если посмотреть на способы доступа к защищаемым ресурсам, то их множество – проводное и беспроводное, через открытые каналы связи и по VPN, через Ethernet и DSL. Точки подключения тоже сильно разнятся – мобильный или домашний пользователь, гость или партнер, различные сегменты своей сети и т.д. Как учесть все это разнообразие? Следуя классическому ИТ- и ИБ-принципу стандартизации и унификации применяемых решений, решение-«контроллер» должно быть единым. И здесь возможно использовать 2 сценария: интегрированный и наложенный.

В первом случае функции контроля ложатся на уже установленное сетевое оборудование. Как бы мы не строили сеть, мы не можем обойтись без маршрутизатора, коммутатора и/или беспроводной точки доступа – других вариантов просто не существует. По такому пути, в частности, пошла компания Cisco (NAC Framework). Немного модифицированная идея была реализована Microsoft в Vista и Longhorn – все запросы на регистрацию в сети разрешаются только после соответствующей проверки. Во втором случае контроль реализуется с помощью специализированного шлюза, через который проходят все запросы на установление доступа. По этому пути пошли Cisco (NAC Appliance), Trend Micro, LANdesk, Sophos и другие. В первом случае вам не придется тратиться на приобретение специальных устройств, но вы будете «привязаны» к конкретному производителю сетевой инфраструктуры. Во втором случае вы можете «наложить» NAC-устройство на любую сеть, но это потребует дополнительных инвестиций.

Однако сам по себе контроль доступа на промежуточном устройстве не может быть осуществлен только анализируя сетевой трафик. Надо иметь информацию о состоянии самого узла, который пытается получить доступ. Один из вариантов – удаленное сканирование. Второй и более эффективный — установка на узлы специального программного агента, который и будет передавать информацию об уровне защиты устройства. Брать эту информацию он будет от защитных систем, установленных на проверяемом компьютере (антивирусы, подсистемы защиты, системы управления патчами и т.п.). Но можем ли мы быть уверенными, что такой агент существует на компьютере, который пытается получить доступ? В правильно реализованной технологии NAC – да. Такой агент может быть установлен «поверх» операционной системы и приложений, а может уже входить в их состав, что предпочтительней. Например, в подходе Cisco агент Cisco Trust Agent уже включен в состав антивирусов Trend Micro, Symantec, McAfee (Касперский завершает подключение к NAC), ОС Windows Vista и Longhorn, решения IBM/ISS, Check Point, HP, Intelб IBM/Tivoli и т.д. При этом установка агента может быть осуществлена заранее или «по факту» (с помощью технологии Java или ActiveX).

После передачи статуса узла на сервер политик и проверки соответствия этого статуса установленным правилам, сервер политик динамически создает правила разграничения доступа для сетевого оборудования, разрешая или блокируя доступ к запрошенным ресурсам. При этом любые шаги «вправо-влево» попросту невозможны, так как созданные правила разграничения (например, списки контроля доступа - Access Control List) их не предусматривали. Если в результате проверки выясняется, что узел не соответствует требованиям политики безопасности, то доступ узла-нарушителя блокируется или перенаправляется в карантинный сегмент (отдельную VLAN или IP-подсеть), где пользователю либо высвечивается сообщение о причине отказа в доступе, либо узел автоматически приводится в соответствие с политикой безопасности.

Что дает такой подход

Владельцу защищаемой сети:

• Уверенность, что доступ к ресурсам получат только узлы, соответствующие политике безопасности;
• Локализацию зараженных машин и блокирование распространения эпидемий;
• Облегчение установки обновлений и защитного ПО на компьютеры собственных и «чужих» пользователей;
• Снижение совокупной стоимости владения (TCO) системой информационной безопасности.

Пользователям, стремящимся получить доступ к защищаемым ресурсам:

• Переложить груз забот по обеспечению безопасности на владельца сети, доступ к которой желает получить пользователь;
• Самим не задумываться о том, где и какие версии ПО и обновлений брать;
• Не опасаться обвинений в использовании нелицензионного и пиратского ПО;
• Защитить свой компьютер от вредоносных программ и повысить уровень его защищенности, в том числе и при доступе к другим ресурсам и сетям;
• Не бояться уголовного преследования за распространение вредоносных программ (ст.273 УК РФ).

Подводя итоги

Соответствие требованиям автомобильной безопасности не гарантирует, что средство передвижения не попадет в аварию. Наличие водительских прав не гарантирует безаварийного вождения. Даже на самом защищенном авто неопытный водитель может натворить бед, и госавтоинспекция призвана контролировать дорожное движение, обнаруживая нарушителей и наказывая их либо штрафом, либо отстранением от управления транспортным средством, либо полным лишением водительских прав. Аналогичную роль выполняет и технология контроля сетевого доступа Network Access Control в корпоративных или операторских сетях.

В технологии NAC проверяется именно состояние узла, а не его полномочия. Это позволяет обнаружить зараженный вирусом компьютер, узел с отсутствующим или устаревшим антивирусом, непропатченную систему и т.д. При этом в любой из сложившихся ситуаций пользователь, работающий за этим компьютером, сможет получить беспрепятственный доступ в защищенную сеть. Также эта технология позволяет проверить не только компьютер, за которым пользователь «сидит», но и устройство, вообще не предусматривающее работающего за ним пользователя, например, сервер или принтер. К тому же, процесс удостоверения соответствия производится не самим устройством-«тормозом», а так называемым сервером политик, содержащим правила, которым и должен соответствовать узел, запрашивающий доступ. В итоге мы получаем новый уровень защиты корпоративных ресурсов, - гораздо более высокий, чем тот, который обеспечивается просто антивирусами, МСЭ, IPS и другими средствами защиты.

Разумеется, рынок NAC не ограничивается только названными решениями Cisco, Microsoft, Trend Micro и т.д. Сейчас этот сегмент переживает эпоху бурных изменений. О первых наработках в данной области сообщает Juniper (технология UAC), McAfee (IntruShield), ISS (Proventia Desktop Endpoint Security Access Control) и другие. Выйдут ли они на уровень «боевой эксплуатации» - покажет время. А пока стоит готовиться к активному внедрению концепции Network Access Control, которая призвана поднять защищенность корпоративных и операторских сетей на более высокий уровень.

Рейтинг статьи

Оценка
0/5
голосов: 0
Ваша оценка статье по пятибальной шкале:
 
 
   

Поделиться

Похожие новости

Комментарии

^ Наверх