Контроль доступа к сети (NAC): управление неавторизованными компьютерами

30 октября 2007

Контроль доступа к сети (NAC):

управление неавторизованными компьютерами

    Неавторизованные компьютеры оконечных точек сети представляют серьезную угрозу для организаций. При использовании надлежащих мер сетевой безопасности, решения по контролю доступа к сети (NAC) обнаруживают такие компьютеры и принудительно применяют к ним политики безопасности, что позволяет минимизировать риски. Однако в некоторых средах сеть не может обеспечить такую систему защиты. Данный документ рассматривает, как полное решение NAC может защитить сеть от злоумышленников и предотвратить неавторизованный доступ со стороны неизвестных компьютеров.
Доклад Sophos Апрель 2007

NAC:

Управление неавторизованными компьютерами

Обзор

Наличие корпоративной стратегии по соблюдению соответствия регулирующим требованиям в области безопасности и контроля доступа к сети играют существенную роль для защиты организации от потенциальных угроз. Базовая инфраструктура и сетевые ресурсы должны охраняться с помощью многочисленных средств защиты, установленных в различных точках доступа в масштабах всего предприятия. Надлежащим образом интегрированные многоуровневые системы безопасности являются наилучшим средством контроля угроз, направленных на сетевые ресурсы.

Эффективные корпоративные решения NAC основаны на способности сети обеспечивать соответствие нормативным требованиям безопасности и эффективно блокировать доступ к сети или помещать на карантин неавторизованные компьютеры.

Решения для контроля доступа к сети (NAC) позволяют организациям снизить число уязвимостей за счет определения и управления политиками безопасности, использования функций оценки рисков и мер защиты по контролю доступа к сети. Наилучшие решения NAC регулируют доступ известных и безопасных (т.е. соответствующих требованиям безопасности) компьютеров, одновременно отключая или контролируя на этих компьютерах работу приложений высокой степени риска. Кроме того, передовые решения NAC можно конфигурировать для предотвращения или наложения карантина на доступ к сети со стороны неавторизованных или неизвестных компьютеров. Хотя большая часть пользователей не являются злоумышленниками, неавторизованные компьютеры представляют серьезную угрозу для безопасности организаций.

Ключевым требованием к полному решению NAC является способность идентифицировать и блокировать неконтролируемые компьютеры, например компьютеры пользователей, которые намеренно обходят стандартные методы подключения к сети и могут действовать со злым умыслом.

Как NAC поступает с неконтролируемыми компьютерами

Решения NAC обеспечивают доступ авторизованных компьютеров к сети путем оценки их состояния и принудительной установки статуса безопасности на основе анализа соответствия требованиям политики безопасности предприятия. Компьютерам оконечных точек сети разрешен доступ к сетевым ресурсам, если они удовлетворяют требованиям политики; и доступ запрещается или временно блокируется, если они не удовлетворяют этим требованиям. Указанные функции наиболее эффективно реализуются при использовании мер безопасности, основанных на комбинации сетевых средств, таких как DHCP, 802.1X, беспроводные локальные сети, SSL или IPSec VPN, и средств на пользовательских компьютерах.

Эффективные корпоративные решения NAC основаны на способности сети обеспечивать соответствие требованиям безопасности, блокировать доступ или помещать на карантин неавторизованные компьютеры, т.е. компьютеры, которые не удовлетворяют требованиям безопасности или уровень безопасности которых неизвестен. В большинстве случаев ПО на стороне сети или клиента располагает механизмами применения политик безопасности и наложения карантина. Однако существуют сценарии, когда сетевые механизмы применения мер безопасности не могут в полной мере обеспечить соответствие требованиям или отсутствует соответствующее ПО на стороне пользовательского компьютера.


Когда в сети нет принудительных мер защиты

Сценарии, при которых сетевые меры безопасности не обеспечивают 100% защиты, включают сети, работающие на основе протокола динамической конфигурации хоста (DHCP) или когда компьютеры оконечных точек используют локальные, статистически назначаемые IP-адреса для доступа к сети, а также и случаи, когда карантинный агент не установлен на компьютере. Хотя предприятие может использовать DHCP для присвоения комбинации динамических и статистических IP-адресов, рассматриваемый сценарий касается тех клиентов, которые не используют DHCP для получения этих адресов.

Организациям следует защищать свои сети от продвинутых пользователей, которые намеренно пытаются избежать мер безопасности при доступе к сетевым ресурсам.

В этом случае повышается риск со стороны интеллектуальных пользователей, пытающихся намеренно избежать принудительных мер безопасности при доступе к сетевым ресурсам. Количество неавторизованных компьютеров, пытающихся получить доступ к сети, составляет лишь небольшую часть от всех пользователей сети, но, учитывая именно скрытый способ доступа и неясность их намерений, администраторы вынуждены быть начеку, чтобы снизить риск. Ущерб, нанесенный сети со стороны всего лишь одного неконтролируемого компьютера, может быть поистине невообразимым.

Установка NAC в обычной среде

После принятия предприятием решения о необходимости использования продукта NAC, его внедрения и развертывания для всех или части своих конечных пользователей, становятся очевидными те дополнительные требования, которые касаются защиты от доступа со стороны неавторизованных компьютеров, пытающихся подключится к сети.

Полное решение NAC должно выполнять следующие функции:

    • Обеспечивать интеграцию с существующей сетевой конфигурацией с минимальными потерями и затратами на внедрение.

    • Обеспечивать всестороннюю поддержку стратегий безопасности предприятия и иметь средства для создания и управления политиками безопасности, подкрепляющих эти стратегии.

Некоторые замечания о сетях

Сети, которые сегодня используются на предприятиях, обладают рядом общих характеристик, которые делают их уязвимыми в отношении определенных видов вредоносных программ и неавторизованных пользователей:

    • Открытые и объединенные среды предоставляют доступ к информации и услугам различным пользователям, включая сотрудников, заказчиков, потенциальных клиентов, вендоров, поставщиков и подрядчиков.

    • Увеличение интенсивности доступа доверенных пользователей может привести к повышению риска со стороны недоверенных сторон, получающих доступ к сети, что представляет потенциальную угрозу для всего бизнеса.
Именно поэтому решение NAC должно обеспечивать адекватную защиту сети.


• Обеспечивать достаточную гибкость для удовлетворения требований новых стратегий безопасности по мере их неизбежного появления.

• Предоставлять средства, выходящие за рамки традиционных сетевых мер безопасности, идентифицировать и защищать сеть от любых пользователей, пытающихся войти в сеть, будь то известных или неизвестных.

Хотя стандарт 802.1X в состоянии обеспечить надежную защиту, многие сетевые коммутаторы сегодня не поддерживают 802.1X, а организации настроены негативно по отношению к предстоящему простою и расходам на модернизацию. Более того, 802.1X должен применяться ко всей базе пользователей – любой участок сети без принудительных мер защиты будет оставаться уязвимым. Большинство организаций сейчас хотят получить максимальный результат от уже имеющегося у них механизма принудительной защиты, которым в большинстве случаев является протокол DHCP. Наибольшую опасность в этом случае представляет неконтролируемый компьютер, который использует статический IP-адрес для доступа к сети.

Решение NAC, обеспечивающее принудительное применение политики безопасности в рамках существующей инфраструктуры сети, способствует значительному снижению рисков, однако, именно добавление средств идентификации и остановки неавторизованных компьютеров является решающим для внедрения полного NAC на предприятии.


Идеальное решение NAC

Полное решение NAC расширяет возможности мер защиты на базе протокола DHCP, обеспечивая следующее:

    • Предупреждение в реальном масштабе времени и без ложных срабатываний об адресах MAC и IP, с которых осуществляется попытка несанкционированного доступа к корпоративной сети, что позволяет администраторам своевременно реагировать на такие события.
    • Возможность применения на предприятиях разного масштаба, т.е. наличие встроенной избыточности для повышения уровня безопасности и надежности.
    • Централизованный, упрощенный механизм администрирования, позволяющий администраторам изолировать проблемные компьютеры по указанному MAC-адресу или префиксу, или по IP-адресу, подсети или диапазону.
    • Интеграция с сетевыми мерами защиты для автоматизации процесса доступа со стороны известных и удовлетворяющих требованиям безопасности компьютеров.
    • Комплексная отчетность, облегчающая каждодневное администрирование, включающая разнообразные отчеты о неконтролируемых конечных соединениях, исключенных адресах и сигналах тревоги.

Решение должно пассивно контролировать сеть без нарушения нормального обмена данными, своевременно обнаруживая и предупреждая администратора о попытках доступа со стороны неавторизованных компьютеров. Низкоуровневый мониторинг по протоколу разрешения низкоуровневых адресов (ARP) позволяет обнаруживать все IP-соединения. Даже если компьютер уклоняется от сетевых мер защиты DHCP или 802.1X, то он не сможет обмениваться данными и инфицировать сеть без использования ARP. За счет мониторинга ARP, на основе идентификации компьютеров, пытающихся подключиться через IP-соединения, и сопоставления этих компьютеров со списком разрешенных, авторизованных и зарегистрированных компьютеров, можно обнаружить любое подключение неавторизованного компьютера к сети.

После обнаружения неконтролируемого компьютера администратор получает предупреждение о его MAC- или IP-адресах. Далее администратор может определить положение компьютера и применить соответствующие меры безопасности.


Резюме

Организациям необходим полный контроль доступа к сети, и не только для приведения известных компьютеров, будь то управляемых или неуправляемых, в согласие с требованиями безопасности, но и для того, чтобы для неавторизованных компьютеров закрыть доступ к сети. Полное решение NAC должно быть совместимым с существующей сетевой структурой и поддерживать инициативы безопасности по мере их развития. За счет применения гибкой и динамичной стратегии предприятие может справиться с нынешними угрозами и остаться неуязвимым в отношении возможных в будущем атак.

Решение от компании Sophos

Sophos NAC Informant сочетает пассивный мониторинг сети и продвинутые системы сопоставления и предупреждения, позволяющие на ранней стадии предупреждать о попытках подключения к сети неизвестных или неавторизованных компьютеров, предоставляя администраторам время и критически важные данные, чтобы изолировать такие компьютеры.

Sophos NAC и Sophos NAC Informant вместе обеспечивают полную защиту в отношении всех классов компьютеров, которые могут подключаться к сети, в том числе управляемых, неуправляемых и неавторизованных компьютеров.

Чтобы узнать больше о продуктах компании Sophos, посетите сайт www.DialogNauka.ru компании «ДиалогНаука» – официального партнера компании Sophos в России.

Смотрите также:

О компании Sophos

Sophos является мировым лидером в области ИТ-безопасности и средств контроля. Компания предлагает комплексные системы защиты и контроля для корпоративного сектора, образовательных и правительственных учреждений – обеспечивая защиту от известных и неизвестных вредоносных программ, шпионского ПО, хакерских вторжений, нежелательных приложений, спама, нарушений политик безопасности и неконтролируемого доступа в корпоративные сети (NAC). Надежные и простые в эксплуатации продукты Sophos применяют для своей защиты более 100 миллионов пользователей более чем в 150 странах. Имея за плечами 20-летний опыт работы и глобальную сеть аналитических центров, компания быстро реагирует на возникающие угрозы и заслужила всеобщее одобрение в отрасли за высочайший уровень удовлетворения потребностей клиентов. Компания Sophos является компанией мирового масштаба, ее штаб-квартиры располагаются в Бостоне, шт. Массачусетс, США и Оксфорде, Великобритания.

Бостон, США • Майнц, Германия • Милан, Италия • Оксфорд, Великобритания • Париж, Франция

Сингапур • Сидней, Австралия • Ванкувер, Канада • Иокогама, Япония
© Copyright 2007. Sophos Plc.
Sophos признает все зарегистрированные торговые марки и авторские права их владельцев. Запрещено воспроизводить, хранить в системах поиска информации или передавать в любой форме и любыми средствами какие-либо части данного документа без предварительного письменного согласия со стороны издателей.
418
;