Dostęp jak
zaszczyt
17 Styczen 2005
Forsowane
przez Microsoft, Cisco, Juniper i innych inicjatywy zmierzające do weryfikacji stanu bezpieczeństwa każdego
urządzenia zanim uzyska ono dostęp do sieci to duży postęp w architekturze zabezpieczeń. Do doskonałości
jeszcze im jednak daleko – wciąż pozostają pytania i nierozwiązane problemy.
Tomasz
Grabowski
Po powrocie z kilkudniowej wycieczki podłączam laptopa do firmowej sieci. Na ekranie pojawia
się informacja, że przed uzyskaniem dostępu do firmowej sieci mój komputer musi zostać uaktualniony.
W kolejce zadań jest pobranie łatek do systemu operacyjnego, uaktualnienie bazy danych oprogramowania antywirusowego
oraz pobranie najnowszych sygnatur ataków do zapory. W międzyczasie, mogę tylko pooglądać niektóre
strony WWW, wolę jednak przejść się po biurze, przywitać z kolegami i napić się kawy. Gdy
wracam do biurka, aktualizacja jest już zakończona – mam dostęp do wszystkich zasobów i mogę
brać się do pracy.
Powyższy scenariusz to na razie dla większości sieciowych administratorów
tylko marzenie, czysta mrzonka. Narzędzia, które w imieniu administratora dopilnują, by każde urządzenie
podłączane do sieci było wnikliwie weryfikowane pod kątem rzeczywistego poziomu zabezpieczeń, a przed
udzieleniem dostępu aktualizowane, istnieją. Są to jednak na razie rozwiązania wycinkowe, niepełne,
a ponadto niestandardowe. Próby standaryzacji, jeszcze nie formalnej, a jedynie de facto, dopiero się zaczynają.
Trzech wielkich graczy walczy, by to właśnie ich pomysły stały się podstawą przyszłego
standardu, jeśli takowy kiedykolwiek powstanie. Oczywiście, nie o chodzi jedynie o glorię.
Pomysł w kilku wersjach
Microsoft nazwał swoją architekturę bezpiecznego
dostępu do sieci Network Access Protection (NAP), Cisco lansuje swoją koncepcję pod nazwą Network Admission
Control (NAC), zaś Juniper Networks forsuje inicjatywę Endpoint Defense Initiative (EDI). Poszczególne rozwiązania
są w różnych fazach rozwoju. Microsoft na razie tylko mówi – jest prawdopodobne, że NAP
pojawi się dopiero w systemie Longhorn. Cisco dopiero zaczęło implementację swoich pomysłów
w produktach – razie w dość ubogiej wersji, która pozbawiona jest wielu interesujących możliwości,
lepsze jednak to, niż nic. Najdalej zaszedł Juniper, który od dłuższego czasu umieszcza elementy
EDI w produktach z serii NetScreen Secure Access.
Microsoft implementuje swoje rozwiązanie bezpośrednio
w serwerowym i biurkowym systemie Windows, zaś Cisco i Juniper w systemach operacyjnych swoich urządzeń sieciowych
oraz w formie agentów działających na stacjach roboczych. Funkcjonalność poszczególnych
rozwiązań, bez względu na pewne różnice, jak również bez względu na zabiegi marketingowe
firm zmierzające do odróżnienia się od ofert konkurentów, jest w sumie bardzo zbliżona.
Ogólna koncepcja działania jest wspólna dla wszystkich trzech rozwiązań. W sieci
LAN muszą stanąć dedykowane serwery, których zadaniem jest weryfikacja poziomu zabezpieczeń urządzeń
próbujących uzyskać dostęp do zasobów i usług sieci. Założenie jest takie, by
po nawiązaniu połączenia z siecią urządzenie mogło komunikować się wyłącznie
z takim dedykowanym serwerem i niczym więcej. Za pośrednictwem agentów działających na urządzeniu
podłączającym się właśnie do sieci oprogramowanie serwerowe sprawdzi zgodność systemu
operacyjnego oraz systemów zabezpieczeń (obecność, kompletność, spójność,
fakt uruchomienia, stan aktualizacji, konfiguracja, wersja załadowanego zestawu reguł itp.).
Jeśli
komputer będzie spełniać stawiane przez politykę bezpieczeństwa wymagania, uzyska dostęp do
sieci. Jeśli okaże się, że komputer musi zostać zaktualizowany, serwer zabezpieczający sieć
włączy go do wydzielonej podsieci-kwarantanny. Jest to osobna sieć, zrealizowana najczęściej za pomocą
technologii VPN, w której komputer ma bardzo ograniczony dostęp do zasobów sieciowych – zwykle jest
to tylko możliwość pobrania uaktualnień. Kiedy już wszystkie niezbędne uaktualnienia zostaną
pobrane i zainstalowane, komputer zostanie automatycznie przeniesiony z sieci kwarantanny do właściwej sieci LAN
z uprawnieniami, jakie normalnie przysługują jego użytkownikowi.
Budowanie
siatki
Powyższe podejście wydaje się na pierwszy rzut oka eleganckie i skuteczne,
gdy jednak zagłębić się nieco w szczegóły, okaże się, że w praktyce pojawia
się bardzo dużo problemów i ograniczeń, czyniących implementację rozwiązania w sieci
firmowej trudną. Pierwsza sprawa to obecność agenta po stronie klienta sieci. Druga to jego zdolność
do rozpoznawania konfiguracji przeróżnych dostępnych na rynku pakietów oprogramowania zabezpieczającego
stacje robocze. Trzecia sprawa to sprzeczne z powyższym postulatem oczekiwanie, że agent nie będzie wymagać
„ręcznej” konfiguracji.
Firma, której system operacyjny jest zainstalowany na największej
ilości stacji roboczych, będzie mieć najmniej problemów z dystrybucją swojego agenta i stworzenia
z niej standardu de facto. To dlatego strategia Microsoftu, choć wciąż tylko na papierze, wzbudza tyle emocji.
Oprogramowanie klienckie Cisco Trust Agent, które zajmuje się zbieraniem informacji o stanie stacji roboczych
jest dostępne już dziś. Trzeba je jednak osobno kupić i zainstalować, co w niektórych przypadkach
może być problematyczne, a w każdym razie zniechęcające, gdy alternatywą będzie skorzystanie
z „gotowca” dostępnego w systemie operacyjnym i to bez dodatkowych opłat. Być może, gdy rozwiązanie
Microsoftu trafi już na rynek, Cisco będzie musiało co najmniej dostosować politykę cenową.
Sama dostępność oprogramowania klienckiego to jeszcze nie wszystko. Cisco i Juniper nie są na
straconej pozycji, ponieważ kontrola dostępu i przyznawanie dostępu musi odbywać się na poziomie
sieci. Nawet jeżeli ostateczna decyzja w dziedzinie praw dostępu byłaby podejmowana na poziomie Active Directory
czy zintegrowanego z nią dedykowanego serwera, pośrednictwo urządzeń działających w warstwie
trzeciej (TCP/IP), a nawet drugiej (tu: Ethernet), jest niezbędne. Krytyczna jest zwłaszcza kwestia stworzenia wydzielonej
podsieci (zapewne dynamicznie, za pomocą VPN), w której komputery będą mogły korzystać z niektórych
usług, zaś dostęp do najważniejszych z punktu widzenia firmy zasobów nie będzie możliwy.
Oczywiście poprawne (czytaj: bezpieczne) skonfigurowanie takiej sieci może być w wielu przypadkach
zadaniem bardzo skomplikowanym. W tym celu Cisco proponuje „advanced services” – oddzielnie płatny
pakiet usług polegających na pomocy w prawidłowym skonfigurowaniu sieci. Wydaje się, że jest to krok
w dobra stronę i jeśli wsparcie udzielane przez Cisco będzie stało na wysokim poziomie, prawidłowa
implementacja Network Admission Control może stać się dużo prostsza, szybsza i potencjalnie tańsza
od pozostałych rozwiązań.
Zaufanie do agenta
Na
tym oczywiście problemy się nie kończą. Na przykład, nadal nie do końca wiadomo kiedy uznać,
że dany komputer może już opuścić kwarantannę. Wyobraźmy sobie sytuację, w której
użytkownik został skierowany do kwarantanny, ponieważ nie miał uaktualnionego oprogramowania antywirusowego.
Pobranie uaktualnień to jednak nie wszystko. Aby mieć pewność, że na komputerze nie zdążył
zainstalować się jakiś wirus, należy przed wpuszczeniem go do sieci przeprowadzić skanowanie twardego
dysku. Biorąc pod uwagę, że typowe dyski w nowych komputerach mają pojemność rzędu 80-120
GB, taka operacja może potrwać.
Kluczowym elementem opisywanego tu systemu bezpieczeństwa jest zaufanie
do poprawności i pewności informacji na temat stanu i konfiguracji komputera łączącego się z
siecią. Przed połączeniem z siecią firmową, np. w domu, komputer mógł zostać przejęty
przez włamywacza, tymczasem żadne z trzech omawianych tu rozwiązań nie posiada mechanizmów, które
chroniłyby np. przed przesyłaniem przez komputery fałszywych informacji o swoim stanie. System chroni więc
tylko komputery, nad którymi nikt nie przejął wcześniej kontroli. Można się także spodziewać,
że w niedalekiej przyszłości powstaną wirusy i robaki internetowe, które będą miały
w sobie zaimplementowane oszukiwanie tego typu systemów, bowiem z technicznego punktu widzenia jest to zadanie łatwe.
Network Access Protection, Network Admission Control oraz Endpoint Defense Initiative są więc rozwiązaniami,
które tylko wspomagają zarządzanie już istniejącą infrastrukturą bezpieczeństwa.
Dzięki zautomatyzowaniu wielu działań, o których użytkownik musiał do tej pory pamiętać
sam, mogą jednak w znacznym stopniu podnieść poziom bezpieczeństwa sieci. Szczególnie widać
to w dużych sieciach LAN, gdzie kontrola nad podłączanymi komputerami jest utrudniona (np. sieci uczelniane,
głównie akademiki). Nie są jednak na pewno odpowiedzią na wszelkie problemy związane z bezpieczeństwem.
Konkurencja i współpraca
NA dziś, z punktu widzenia
administratora najważniejsze jest chyba to, że wszystkie trzy firmy współpracują przy rozwoju wszystkich
trzech rozwiązań. To bardzo ważny sygnał. Producenci rozwiązań zaczynają w końcu dostrzegać,
że posiadając tak znaczące udziały w rynkach związanych z sieciami komputerowymi, mogą relatywnie
małym nakładem wprowadzić systemy, służące integracji poszczególnych komponentów
bezpieczeństwa. Dziś bowiem, mimo tego, że istnieją mechanizmy pozwalające na zapewnienie każdemu
komputerowi w sieci firmowej bardzo wysokiego poziomu bezpieczeństwa, głównym problemem pozostaje kontrola
nad ich konfiguracją i aktualnością.
Możemy więc przypuszczać, że trzy opisywane
systemy będą rozwijały się równolegle, wzajemnie się uzupełniając i wspierając.
Na końcu tej drogi powstanie zapewne jeden spójny system, zapewniający wsparcie we wszystkich warstwach modelu
OSI. Już teraz bowiem widać, że rozwiązania te zakładają duża integrację ze sobą,
a fakt że mają inne nazwy jest bardziej podyktowany wymaganiami marketingowymi mającymi na celu promowanie
własnej marki. Potwierdzają to także spisy firm, które są partnerami trzech gigantów w rozwijaniu
tych systemów: są prawie identyczne.
Cokolwiek jednak nie powiedzieć o zaletach i wadach poszczególnych
rozwiązań, jedno jest pewne: będą one pomocne przy wdrażaniu polityki bezpieczeństwa w każdej
większej sieci LAN, stanowią bowiem znaczny postęp w myśleniu o architekturze zabezpieczeń. Niezależnie
od tego jaką ewolucję jeszcze przejdą, rozwiązania typu NAP, NAC, EDI staną się za kilka lat
standardem w większości sieci LAN.
***RAMKA***
Na trzech się nie skończy?
Microsoft, Cisco i Juniper mają
dość rynkowej siły, by zgromadzić wokół swoich koncepcji dostawców rozwiązań,
w których sami się nie specjalizują. Nie jest jednak powiedziane, że inne firmy nie będą oferować
czegoś równie kompleksowego, otwartego, czy skutecznego.
Własne pomysły w dziedzinie kontroli
dostępu do sieci ma na przykład Check Point. Po przejęciu Zone Labs firma weszła w posiadanie interesującego
rozwiązania o nazwie Integrity. Nie ma w nim jeszcze wielu elementów, ale Check Point ma wieloletnią tradycję
bliskiego partnerstwa z dostawcami różnych rozwiązań z dziedziny bezpieczeństwa, zrzeszonych w
organizacji OPSEC.
Kolejnymi kandydatami na wypracowanie własnych kompleksowych rozwiązań dostępowych
wydają się także: Nokia, która ciągle rozbudowuje swoją ofertę, a także Citrix,
którego MetaFrame Access Suite może stać się zaczynem czegoś poważniejszego. Z ambicji zagrania
pierwszych skrzypiec prawie na pewno nie zrezygnuje Symantec, zwłaszcza po fuzji z Veritas Software. Wątpliwe również,
aby Computer Associates, wziąwszy pod uwagę bogactwo oferty, zgodził się być jedynie „wspierającym”.