HomeAbout MeSecurityDCLinuxEee PCMusic3D GraphicsRobotsContact Me

Dostęp jak zaszczyt
17 Styczen 2005
 
Forsowane przez Microsoft, Cisco, Juniper i innych inicjatywy zmierzające do weryfikacji stanu bezpieczeństwa każdego urządzenia zanim uzyska ono dostęp do sieci to duży postęp w architekturze zabezpieczeń. Do doskonałości jeszcze im jednak daleko – wciąż pozostają pytania i nierozwiązane problemy.

Tomasz Grabowski

Po powrocie z kilkudniowej wycieczki podłączam laptopa do firmowej sieci. Na ekranie pojawia się informacja, że przed uzyskaniem dostępu do firmowej sieci mój komputer musi zostać uaktualniony. W kolejce zadań jest pobranie łatek do systemu operacyjnego, uaktualnienie bazy danych oprogramowania antywirusowego oraz pobranie najnowszych sygnatur ataków do zapory. W międzyczasie, mogę tylko pooglądać niektóre strony WWW, wolę jednak przejść się po biurze, przywitać z kolegami i napić się kawy. Gdy wracam do biurka, aktualizacja jest już zakończona – mam dostęp do wszystkich zasobów i mogę brać się do pracy.

Powyższy scenariusz to na razie dla większości sieciowych administratorów tylko marzenie, czysta mrzonka. Narzędzia, które w imieniu administratora dopilnują, by każde urządzenie podłączane do sieci było wnikliwie weryfikowane pod kątem rzeczywistego poziomu zabezpieczeń, a przed udzieleniem dostępu aktualizowane, istnieją. Są to jednak na razie rozwiązania wycinkowe, niepełne, a ponadto niestandardowe. Próby standaryzacji, jeszcze nie formalnej, a jedynie de facto, dopiero się zaczynają. Trzech wielkich graczy walczy, by to właśnie ich pomysły stały się podstawą przyszłego standardu, jeśli takowy kiedykolwiek powstanie. Oczywiście, nie o chodzi jedynie o glorię.

Pomysł w kilku wersjach

Microsoft nazwał swoją architekturę bezpiecznego dostępu do sieci Network Access Protection (NAP), Cisco lansuje swoją koncepcję pod nazwą Network Admission Control (NAC), zaś Juniper Networks forsuje inicjatywę Endpoint Defense Initiative (EDI). Poszczególne rozwiązania są w różnych fazach rozwoju. Microsoft na razie tylko mówi – jest prawdopodobne, że NAP pojawi się dopiero w systemie Longhorn. Cisco dopiero zaczęło implementację swoich pomysłów w produktach – razie w dość ubogiej wersji, która pozbawiona jest wielu interesujących możliwości, lepsze jednak to, niż nic. Najdalej zaszedł Juniper, który od dłuższego czasu umieszcza elementy EDI w produktach z serii NetScreen Secure Access.

Microsoft implementuje swoje rozwiązanie bezpośrednio w serwerowym i biurkowym systemie Windows, zaś Cisco i Juniper w systemach operacyjnych swoich urządzeń sieciowych oraz w formie agentów działających na stacjach roboczych. Funkcjonalność poszczególnych rozwiązań, bez względu na pewne różnice, jak również bez względu na zabiegi marketingowe firm zmierzające do odróżnienia się od ofert konkurentów, jest w sumie bardzo zbliżona.

Ogólna koncepcja działania jest wspólna dla wszystkich trzech rozwiązań. W sieci LAN muszą stanąć dedykowane serwery, których zadaniem jest weryfikacja poziomu zabezpieczeń urządzeń próbujących uzyskać dostęp do zasobów i usług sieci. Założenie jest takie, by po nawiązaniu połączenia z siecią urządzenie mogło komunikować się wyłącznie z takim dedykowanym serwerem i niczym więcej. Za pośrednictwem agentów działających na urządzeniu podłączającym się właśnie do sieci oprogramowanie serwerowe sprawdzi zgodność systemu operacyjnego oraz systemów zabezpieczeń (obecność, kompletność, spójność, fakt uruchomienia, stan aktualizacji, konfiguracja, wersja załadowanego zestawu reguł itp.).

Jeśli komputer będzie spełniać stawiane przez politykę bezpieczeństwa wymagania, uzyska dostęp do sieci. Jeśli okaże się, że komputer musi zostać zaktualizowany, serwer zabezpieczający sieć włączy go do wydzielonej podsieci-kwarantanny. Jest to osobna sieć, zrealizowana najczęściej za pomocą technologii VPN, w której komputer ma bardzo ograniczony dostęp do zasobów sieciowych – zwykle jest to tylko możliwość pobrania uaktualnień. Kiedy już wszystkie niezbędne uaktualnienia zostaną pobrane i zainstalowane, komputer zostanie automatycznie przeniesiony z sieci kwarantanny do właściwej sieci LAN z uprawnieniami, jakie normalnie przysługują jego użytkownikowi.

Budowanie siatki

Powyższe podejście wydaje się na pierwszy rzut oka eleganckie i skuteczne, gdy jednak zagłębić się nieco w szczegóły, okaże się, że w praktyce pojawia się bardzo dużo problemów i ograniczeń, czyniących implementację rozwiązania w sieci firmowej trudną. Pierwsza sprawa to obecność agenta po stronie klienta sieci. Druga to jego zdolność do rozpoznawania konfiguracji przeróżnych dostępnych na rynku pakietów oprogramowania zabezpieczającego stacje robocze. Trzecia sprawa to sprzeczne z powyższym postulatem oczekiwanie, że agent nie będzie wymagać „ręcznej” konfiguracji.

Firma, której system operacyjny jest zainstalowany na największej ilości stacji roboczych, będzie mieć najmniej problemów z dystrybucją swojego agenta i stworzenia z niej standardu de facto. To dlatego strategia Microsoftu, choć wciąż tylko na papierze, wzbudza tyle emocji. Oprogramowanie klienckie Cisco Trust Agent, które zajmuje się zbieraniem informacji o stanie stacji roboczych jest dostępne już dziś. Trzeba je jednak osobno kupić i zainstalować, co w niektórych przypadkach może być problematyczne, a w każdym razie zniechęcające, gdy alternatywą będzie skorzystanie z „gotowca” dostępnego w systemie operacyjnym i to bez dodatkowych opłat. Być może, gdy rozwiązanie Microsoftu trafi już na rynek, Cisco będzie musiało co najmniej dostosować politykę cenową.

Sama dostępność oprogramowania klienckiego to jeszcze nie wszystko. Cisco i Juniper nie są na straconej pozycji, ponieważ kontrola dostępu i przyznawanie dostępu musi odbywać się na poziomie sieci. Nawet jeżeli ostateczna decyzja w dziedzinie praw dostępu byłaby podejmowana na poziomie Active Directory czy zintegrowanego z nią dedykowanego serwera, pośrednictwo urządzeń działających w warstwie trzeciej (TCP/IP), a nawet drugiej (tu: Ethernet), jest niezbędne. Krytyczna jest zwłaszcza kwestia stworzenia wydzielonej podsieci (zapewne dynamicznie, za pomocą VPN), w której komputery będą mogły korzystać z niektórych usług, zaś dostęp do najważniejszych z punktu widzenia firmy zasobów nie będzie możliwy.

Oczywiście poprawne (czytaj: bezpieczne) skonfigurowanie takiej sieci może być w wielu przypadkach zadaniem bardzo skomplikowanym. W tym celu Cisco proponuje „advanced services” – oddzielnie płatny pakiet usług polegających na pomocy w prawidłowym skonfigurowaniu sieci. Wydaje się, że jest to krok w dobra stronę i jeśli wsparcie udzielane przez Cisco będzie stało na wysokim poziomie, prawidłowa implementacja Network Admission Control może stać się dużo prostsza, szybsza i potencjalnie tańsza od pozostałych rozwiązań.

Zaufanie do agenta

Na tym oczywiście problemy się nie kończą. Na przykład, nadal nie do końca wiadomo kiedy uznać, że dany komputer może już opuścić kwarantannę. Wyobraźmy sobie sytuację, w której użytkownik został skierowany do kwarantanny, ponieważ nie miał uaktualnionego oprogramowania antywirusowego. Pobranie uaktualnień to jednak nie wszystko. Aby mieć pewność, że na komputerze nie zdążył zainstalować się jakiś wirus, należy przed wpuszczeniem go do sieci przeprowadzić skanowanie twardego dysku. Biorąc pod uwagę, że typowe dyski w nowych komputerach mają pojemność rzędu 80-120 GB, taka operacja może potrwać.

Kluczowym elementem opisywanego tu systemu bezpieczeństwa jest zaufanie do poprawności i pewności informacji na temat stanu i konfiguracji komputera łączącego się z siecią. Przed połączeniem z siecią firmową, np. w domu, komputer mógł zostać przejęty przez włamywacza, tymczasem żadne z trzech omawianych tu rozwiązań nie posiada mechanizmów, które chroniłyby np. przed przesyłaniem przez komputery fałszywych informacji o swoim stanie. System chroni więc tylko komputery, nad którymi nikt nie przejął wcześniej kontroli. Można się także spodziewać, że w niedalekiej przyszłości powstaną wirusy i robaki internetowe, które będą miały w sobie zaimplementowane oszukiwanie tego typu systemów, bowiem z technicznego punktu widzenia jest to zadanie łatwe.

Network Access Protection, Network Admission Control oraz Endpoint Defense Initiative są więc rozwiązaniami, które tylko wspomagają zarządzanie już istniejącą infrastrukturą bezpieczeństwa. Dzięki zautomatyzowaniu wielu działań, o których użytkownik musiał do tej pory pamiętać sam, mogą jednak w znacznym stopniu podnieść poziom bezpieczeństwa sieci. Szczególnie widać to w dużych sieciach LAN, gdzie kontrola nad podłączanymi komputerami jest utrudniona (np. sieci uczelniane, głównie akademiki). Nie są jednak na pewno odpowiedzią na wszelkie problemy związane z bezpieczeństwem.

Konkurencja i współpraca

NA dziś, z punktu widzenia administratora najważniejsze jest chyba to, że wszystkie trzy firmy współpracują przy rozwoju wszystkich trzech rozwiązań. To bardzo ważny sygnał. Producenci rozwiązań zaczynają w końcu dostrzegać, że posiadając tak znaczące udziały w rynkach związanych z sieciami komputerowymi, mogą relatywnie małym nakładem wprowadzić systemy, służące integracji poszczególnych komponentów bezpieczeństwa. Dziś bowiem, mimo tego, że istnieją mechanizmy pozwalające na zapewnienie każdemu komputerowi w sieci firmowej bardzo wysokiego poziomu bezpieczeństwa, głównym problemem pozostaje kontrola nad ich konfiguracją i aktualnością.

Możemy więc przypuszczać, że trzy opisywane systemy będą rozwijały się równolegle, wzajemnie się uzupełniając i wspierając. Na końcu tej drogi powstanie zapewne jeden spójny system, zapewniający wsparcie we wszystkich warstwach modelu OSI. Już teraz bowiem widać, że rozwiązania te zakładają duża integrację ze sobą, a fakt że mają inne nazwy jest bardziej podyktowany wymaganiami marketingowymi mającymi na celu promowanie własnej marki. Potwierdzają to także spisy firm, które są partnerami trzech gigantów w rozwijaniu tych systemów: są prawie identyczne.

Cokolwiek jednak nie powiedzieć o zaletach i wadach poszczególnych rozwiązań, jedno jest pewne: będą one pomocne przy wdrażaniu polityki bezpieczeństwa w każdej większej sieci LAN, stanowią bowiem znaczny postęp w myśleniu o architekturze zabezpieczeń. Niezależnie od tego jaką ewolucję jeszcze przejdą, rozwiązania typu NAP, NAC, EDI staną się za kilka lat standardem w większości sieci LAN.
 
 
 
***RAMKA***
Na trzech się nie skończy?

Microsoft, Cisco i Juniper mają dość rynkowej siły, by zgromadzić wokół swoich koncepcji dostawców rozwiązań, w których sami się nie specjalizują. Nie jest jednak powiedziane, że inne firmy nie będą oferować czegoś równie kompleksowego, otwartego, czy skutecznego.

Własne pomysły w dziedzinie kontroli dostępu do sieci ma na przykład Check Point. Po przejęciu Zone Labs firma weszła w posiadanie interesującego rozwiązania o nazwie Integrity. Nie ma w nim jeszcze wielu elementów, ale Check Point ma wieloletnią tradycję bliskiego partnerstwa z dostawcami różnych rozwiązań z dziedziny bezpieczeństwa, zrzeszonych w organizacji OPSEC.

Kolejnymi kandydatami na wypracowanie własnych kompleksowych rozwiązań dostępowych wydają się także: Nokia, która ciągle rozbudowuje swoją ofertę, a także Citrix, którego MetaFrame Access Suite może stać się zaczynem czegoś poważniejszego. Z ambicji zagrania pierwszych skrzypiec prawie na pewno nie zrezygnuje Symantec, zwłaszcza po fuzji z Veritas Software. Wątpliwe również, aby Computer Associates, wziąwszy pod uwagę bogactwo oferty, zgodził się być jedynie „wspierającym”.