Czy czujemy się bezpieczni w swoich sieciach? Odpowiedź na to pytanie nie jest jednoznaczna. Jednak w wielu przypadkach możemy usłyszeć, że czujemy się „w miarę” bezpieczni. Wraz ze wzrostem świadomości zagrożeń, szczególnie tych propagowanych przez Internet, to poczucie zaczyna spadać.
Rodzajów zagrożeń jest wiele. Planując zabezpieczenia, na początek weźmy na warsztat te najbardziej prawdopodobne. Chcąc uruchomić skuteczny model zarządzania bezpieczeństwem, należy również wykonać analizę potrzeb związanych zabezpieczeniami. Zabezpieczenia własnej infrastruktury stosują praktycznie wszyscy administratorzy. Trudno bowiem wyobrazić sobie nadzorowaną sieć bez ochrony dostępu do serwerowni czy firewalla na brzegu sieci. Tego typu zabezpieczenia dział IT wybiera samodzielnie oraz niejednokrotnie implementuje je w znanym środowisku. Jednak czy zastosowane zabezpieczenia są wystarczające? Często zapominamy o problemie, który może „przynieść” ze sobą nasz użytkownik lub gość. Podłączając do sieci zainfekowanego laptopa może rozpropagować zagrożenie na inne stacji, a w niektórych przypadkach również na serwery. Potrzebne są więc narzędzia pozwalające na weryfikację i kontrolę podłączanych do sieci hostów. Powinny również pozwalać na sprawdzanie użytych mechanizmów ochronnych na podłączonych hostach oraz wykrywać intruzów.
Rola NAC
Kontrola dostępu do sieci jest mechanizmem podnoszącym bezpieczeństwo w punktach dostępu ze strony segmentów sieci wewnętrznej. Wiele inwestujemy środków w zabezpieczeń się przed zagrożeniami ze strony Internetu. Jednak zagrożenie może pojawić się wewnątrz, zagrażając bezpośrednio systemom znajdującym się w segmentach zaufanych. Problem może pojawić się szczególnie wtedy, gdy niezaufany host zostanie podłączony do segmentu z dostępem do usług serwerowych. W przypadku pojawienia się takich zagrożeń najczęściej posiadamy antywirusa z lub bez modułu sieciowego wykrywającego próby nieautoryzowane dostępu np. IDS (ang. Intrusion Detection System). Niestety jest to nasza ostatnia linia obrony, ponieważ zainfekowany komputer lub intruz jest już w naszej sieci i może dokonywać prób rozprzestrzeniania się i włamania do wrażliwych systemów. Aby móc kontrolować wiele zagrożeń, które mają początek na komputerze podłączanym do przełącznika, potrzebujemy szczegółowej kontroli wejścia do sieci. Wymaga to wprowadzenia zasad kontroli nad użytkownikami oraz urządzeniami. Coraz częściej jeden użytkownik wykorzystuje wiele rodzajów urządzeń. Posługując się laptopem, tabletem lub smartfonem nasz użytkownik powinien być zarządzany przy dostępie za pomocą spójnych polityk stosowanych we wszystkich segmentach sieci i na wielu urządzeniach. Nadzór powinien również dotyczyć tych urządzeń, które wykorzystując dostęp poprzez Internet korzystają zdalnie z zasobów sieci wewnętrznej.
Network Access Control, czyli w skrócie NAC, to rodzina narzędzi powalających w różnym zakresie funkcji nadzorować i kontrolować dostęp urządzeń do sieci. Oprócz samych funkcji dotyczących kontroli, posiadają również możliwości monitorowania końcówek, którymi w dużej mierze są komputery stacjonarne oraz laptopy, a także smartfony i tablety. Narzędzia takie zapewniają dostęp do szerokiej gamy szczegółowych informacji o wszystkich podłączonych urządzeniach w sieciach przewodowych i bezprzewodowych. Administratorzy dzięki wdrożenia takich rozwiązań uzyskują pulpit nawigacyjny dostarczający wiedzy o pojawiających się próbach podłączenia nieautoryzowanych urządzeń, statusie hostów zaufanych oraz zagrożeniach dla bezpieczeństwa sieci wewnętrznej.
Ważną cechą NACów jest centralne zarządzanie i definiowanie polityk uwierzytelniania ukierunkowanych zarówno dla użytkowników, jak i urządzeń. Administrator może stosować granularne reguły zezwalania i zabraniania dostępu zależnie od lokalizacji, użytkownika, czasu i sposobu dostępu do dozwolonych w sieci. Rozwiązania NAC pozwalają na zapobieganie nieautoryzowanemu dostępowi do sieci wewnętrznej z komputerów prywatnych pracowników. Podobnie zabezpieczenia Network Access Control umożliwiają sterowanie dostępem komputerów gości zarówno tych o większych uprawnieniach np. konsultantów, jak i gości o bardzo ograniczonych uprawnieniach mających dostęp wyłącznie do zasobów Internetu. Bez takich rozwiązań nieautoryzowany dostęp jest o wiele wyższym ryzykiem.
Autor: Artur Cieślik