Dette interne forsvaret krever betydelig tilsyn med individuelle enheter på et nettverk, noe som gir mer administrasjonsarbeid for nettverksadministratorene. Thomas Drape, Country Manager hos Allied Telesis tar i denne artikkelen en gjennomgang hvordan man kan minke dette administrasjonsarbeidet og leverer en løsning for intern nettsikkerhet ved å integrere avansert svitsjingsteknologi som en del av nettverkstilgangskontrollen.

Utviklingen av nettsikkerhet

I mange år har fokuset på sikkerhet i bedriftsnett dreid seg om forsvar mot eksterne trusler. Brannmurer ble installert for å beskytte lokalnettet mot hackere, ormer og spammere ute i den lovløse Internett-verdenen. Men med økt bruk av håndholdt PC og forskjellige andre enheter som kan kobles til Ethernet, har det nå blitt flere LAN-baserte angrep enn angrep fra utsiden. Interne angrep har tatt over som administratorenes hovedsikkerhetsproblem. Oppmerksomheten har blitt rettet mot fienden på innsiden av nettverket.

Ondsinnet programvare kommer inn på nettverket via ansatte, innleide konsulenter og besøkende. Deres bærbare PC-er, trådløse gadgeter og evinnelig populære USB-minnepinner fungerer som ypperlige broer for ondsinnet programvare på veg inn i nettverkets maskiner. Til og med ansvarsfulle ansatte kan utilsiktet bringe med seg ondsinnet programvare etter å ha brukt sitt eget utstyr utenfor nettverket.

Besøkende og innleide konsulenter kan være uforsiktige bærere av ondsinnet programvare, eller enda verre, planlegge et ondsinnet angrep for å stjele data eller for å få systemet til å gå ned.

Sikkerhet mot fienden på innsiden

For å effektivt sikre nettet mot interne trusler trenger nettverksadministratorer sikre LAN-svitsjer som gir beskyttelse mot vanlige angrep. De må også iverksette retningslinjer som sikrer at hver enkelt enhet tilknyttet et nettverk er så sikker som mulig. Denne kombinasjonen mellom sikre LAN-svitsjer og retningslinjer mot ondsinnet programvare kan være meget effektiv.

I en tid har svitsjer fra Allied Telesis fungert som en sikkerhetspakke for å bekjempe interne angrep. Dette omfatter alt fra forsøk på datatyveri som ARP-spoofing til tjenestenekt-angrep som "tear drop" og "ping of death". Korrekt utplassering av disse sikkerhetsmekanismene kan skape et nettverk som er immunt mot de fleste skadevirkninger fra disse angrepene. I tillegg kan nettverksadministratorer utstede retningslinjer om at brukerne av nettet skal installere og vedlikeholde antivirusprogrammer og installere sikkerhetsoppdateringer etterhvert som disse utgis av operativsystem-leverandørene.

Dette har imidlertid krevd at administratorene bruker tid på å forsikre seg om at brukerne følger retningslinjene, og det har også medført destruktiv spenning mellom nettverksadministratorer og brukere.

Nettverkstilgangskontroll (NAC)

Dette er hvor nettverkstilgangskontroll, heretter kalt NAC (Network Access Control), gir en løsning. NAC gjør det mulig for nettverksadministratorer å automatisere håndhevelse av retningslinjene. I stedet for å forlange at brukerne sørger for at deres enheter tilpasser seg retningslinjene for bekjemping av ondsinnet programvare, kan nettverket gjøre jobben i stedet. NAC har raskt blitt et krav innen bransjen, og mye mer enn bare et nytt moteord for folk som jobber med nettverk.

NAC gjør det mulig å kontrollere nettverkstilgang på en ypperlig måte med automatisert håndhevelse av retningslinjer og styre nettsikkerhet uten mye administrasjonsarbeid. Enkelt forklart gjør NAC det mulig å definere en omfattende sikkerhetspolitikk for nettet, implementere retningslinjene på en sentralisert server og så få nettverket til å automatisk sørge for at alle brukerne av nettet følger retningslinjene.

NAC er mye mer enn bare brukerautentisering. Det er designet for å beskytte nettverket mot brukere og enheter som kanskje er autentisert, men som utgjør en annen form for trussel. Det mest fornuftige stedet hvor dette kan foregå er ved nettets ytterkant, hvilket betyr å fjerne sikkerhetstrusler før de oppnår noen som helst form for tilgang.

En NAC-løsning som inkluderer svitsjer som fungerer som kontrollpunkter sørger for en proaktiv tilnærming til nettsikkerhet.

Hvordan NAC sikrer nettverket

Nå for tiden er nettverkstilgang for forskjellige typer enheter, eller midlertidige brukere, noe man forventer, ikke et unntak. Av hensyn til dette finner vi blant dagens krav til bedriftsnett:

• En viss grad av tilgang uansett hvor du er eller hvem du er
• Tilgang for gjester, så som underleverandører, partnere og ansatte som er borte fra kontoret
• Tilgangskontroll for en rekke nye enheter, så som iPhone, BlackBerry-enheter, PDA-er og digitalkamera.

LAN-svitsjer fra blant annet Allied Telesis møter disse nye kravene med NAC-funksjoner og NAC-integrasjon. Brukt sammen med passende programvareverktøy både på tjener-siden og klient-siden kan de fremskaffe en ekstraordinær god kontroll over sikkerhetsstatusen til enhetene som er koblet til nettet.

NAC-implementasjonen er basert på TCG/TNC (Trusted Computing Group - Trusted Network Connect)-standarder for å garantere interoperabilitet med de største tredjepartsleverandørene av NAC-programvare, så som Microsoft og Symantec. Dette gjør at kundene kan føle seg trygge på å opprette en omfattende NAC-løsning fra klarerte leverandører.

Tre nøkkelfaktorer står sentralt ved bruk av NAC for å oppnå nettsikkerhet:

• Ingen (eller svært begrenset) tilgang uten identifikasjon
• Karantene og utbedring av enheter som ikke etterkommer retningslinjene
• Fastsette graden av tilgang til nettverksressurser basert på en enhets autentiserte identitet.

NAC styrer nettverkstilgang og sikkerhet med et minimum av manuell administrasjon. I praksis betyr dette at enhver enhet må identifisere seg når den kobler seg til, og om nødvendig bli kontrollert for hvorvidt den tilfredsstiller kravene til sikkerhetspolicyer.

På et vanlig nettverk betyr det at enheter som:

• ikke kan fremskaffe en gyldig identitet er fullstendig utestengt fra nettverket (eller alternativt kunne få begrenset tilgang til Internett, og ingenting mer)
• blir vellykket autentisert men ikke består policy-overholdelse-testen får tilgang til en utbedringsprosess, og ingenting mer
• blir vellykket autentisert og ansett for å overholde retningslinjene får tilgang til nettverksressursene som passer til deres identitet

På denne måten blir håndhevelse av retningslinjene og tilgangskontrollen med ressursene håndtert av nettverket selv når man bruker NAC. Ondsinnet programvare kan ikke skade nettverket ettersom den aldri får lov til å komme inn på nettverket. Inntrengere kan ikke stjele data eller forårsake avbrudd ettersom de enten er utestengt eller har svært begrenset tilgang.

NAC-funksjoner

For å skaffe til veie denne fordelen med nettsikkerhet er de viktige elementene i svitsj-funksjonalitet tredelt autentisering og NAC-integrasjon med tredjeparts programvare.

Tredelt autentisering

Tredelt autentisering lar nettet identifisere alle enheter som kobler seg til. Det kan bli brukt som del av en omfattende NAC-løsning, eller selv være en implementasjonsmetode til sikker nettverkstilgang som ikke koster mye administrasjonsarbeid.

De tre autentiseringsmetodene som vist i figur 2 nedenfor er:

• 802.1X-autentisering
• Web-basert autentisering
• MAC-autentisering

802.X er en meget sikker autentiseringsprotokoll som gjør overføring av krypterte passord og sertifikatvalidering mulig. En bruker blir spurt om navn og passord, og dette blir så sjekket opp mot en brukerdatabase før tilgang til nettverket blir gitt. Det er sikkert og konfigurerbart, men krever at 802.1X-programvare er innebygd, og også konfigurert, i klientens enhet. Ikke alle enheter som kobler seg til nettet har denne programvaren innebygd eller forhåndskonfigurert – dette gjelder spesielt brukere som er midlertidige gjester.

Web-autentisering er stilt til rådighet for å dekke behovet for datamaskiner som ikke har 802.1X innebygd eller konfigurert. Svitsjen detekterer web-surfing fra klientens maskin og presenterer en innloggingsside til nettleseren. Brukeren kan ikke gå videre før han har sendt inn en gyldig identitet ved å bruke innloggingssiden. Denne autentiseringen kan enten utføres i klar tekst ved å bruke HTTP-protokollen eller i kryptert form ved bruk av HTTPS-protokollen.

MAC-autentisering er en reserveløsning du kan bruke for ikke-interaktive enheter som skrivere og webkamera. MAC-adressen til enheten er en unik identitet som kan brukes til å autentisere enheten. Ved hjelp av disse tre autentiseringsalternativene gjør Allied Telesis svitsjer det mulig å bygge et nettverk hvor du kan autentisere alle enheter som knytter seg til nettverket.

Integrasjon

NAC-integrering gjør det mulig for svitsjene å fungere som kontrollpunkter i en NAC-infrastruktur hvor tredjeparts programvareleverandører er med. Mer konkret betyr det at svitsjen vil:

• transportere pakkene som utgjør NAC-tjenerens undersøkelse av klient-enheten.
• motta melding om avgjørelse på avgjørelsestidspunktet og håndheve den avgjørelsen.

NAC-tjeneren avgjør graden av nettverkstilgang en bruker kan ha eller en hvilken som helst hjelpehandling som trengs for å få brukerens maskin (eller annet sluttpunkt) til å overholde regler og standarder i tilstrekkelig grad. Svitsjen fungerer som policyens håndhever og sørger for at sikkerheten til nettverket og tilgang til ressurser for brukere til enhver tid er passende.

Integrasjonen av avansert svitsjeteknologi i en NAC-løsning gir svært sammensatte alternativer for håndheving, noe som gir NAC-infrastrukturen betydelig tilleggsverdi.

Et sikrere nettverk

Oppsummert så har den moderne bedrift sett en fenomenal økning i sammensmeltingen av funksjonalitet på nettverket med tale, video, sikkerhetsovervåkning med mer, i tillegg til de tradisjonelle data og tilgang til Internett. Behovet for å kontrollere nettverkstilgang og etablere en sikker infrastruktur er større enn noensinne.

Nettverkstilgangskontroll kan møte trusler ved å kombinere tilgangskontroll med automatisk behandling av kravoverholdelse til enheter knyttet til nettet. De avanserte funksjonene for bedriftsnettets ytterkant som er innebygd i blant annet Allied Telesis svitsjer sørger for et sikkert miljø som bedriften kan fungere effektivt i.