Как построить защищенную сеть, не покупая средств защиты
Алексей Лукацкий менеджер по развитию бизнеса Cisco Systems
(alukatsk@cisco.com)
Эпидемии вредоносных программ не дают спокойно жить системным администраторам. Как бороться с этой заразой? Первое, что приходит на ум, установить антивирус и забыть об этой проблеме. Однако вирусы не забудут про вас! Можете ли вы быть уверены, что у всех пользователей в компьютерах установлены антивирусы, которые еще и периодически обновляются? А как быть с компьютерами гостей вашей компании? Ведь вам вряд ли разрешат установить на них соответствующее программное обеспечение. И это только одна сторона данной проблемы. А ведь речь может идти еще и об отсутствии обновлений, и о несоответствующих политике безопасности настройках подсистемы управления паролями, и о многом другом. Статистика показывает, что даже при практически стопроцентном использовании антивирусов ситуация в лучшую сторону не меняется, несмотря на то что помимо антивирусов используются и другие средства защиты межсетевые экраны, системы обнаружения атак и т.п. Как же распутать этот клубок проблем?
авайте вспомним, как осуществляется подключение любого компьютера (стационарного, карманного, мобильного и т.п.) к ресурсам сети. Вы запрашиваете доступ к нужному ресурсу; в ответ от вас требуют ваш идентификатор и секретный элемент (пароль, токен и т.д.); после его предъявления и соответствующей проверки вас допускают к запрошенному ресурсу. Что осталось неохваченным? Сам узел, за клавиатурой которого вы работаете! Ведь, несмотря на знание вами пароля, ваш компьютер может быть заражен вредоносной программой, не иметь нужных системных обновлений, а настройки его подсистемы защиты могут не соответствовать политике безопасности. Иными словами, прежде чем допустить кого-либо в сеть (даже при наличии всех необходимых привилегий), требуется провести ряд проверок состояния защищенности компьютера, с которого осуществляется доступ. Для этого нужно расширить типовую модель доступа за счет следующих шагов:
- провести аутентификацию не только пользователей, но и устройств (для этой цели существует протокол 802.1x);
- проверить конфигурацию устройств на соответствие требованиям политики безопасности до получения ими доступа к запрошенным ресурсам;
- направить несоответствующие или зараженные узлы в карантин или провести их лечение.
К тому же эта модель должна действовать как для подключаемых извне сотрудников (например, находящихся в командировке или работающих на домашнем компьютере) и удаленных филиалов, так и для внутреннего доступа своих пользователей или гостей.
Что значит «несоответствие политике безопасности»? Во-первых, это отсутствие на компьютере необходимых системных обновлений. Во-вторых, несоответствующие настройки подсистемы защиты (например, длина пароля меньше восьми символов или возможность получения доступа к компьютеру пользователем с гостевыми правами). В-третьих, отсутствие на узле требуемых систем защиты (антивирусов, систем предотвращения атак, VPN-клиентов и т.п.). В-четвертых, неактуальность антивирусной базы.
Все эти проверки можно провести с помощью уже имеющихся инструментов: функций операционной системы, антивирусов, систем управления патчами и т.п., но это очень неудобно, поскольку такие инструменты обычно существуют в разрозненном виде. Более того, обычно такая проверка чаще всего проводится на этапе получения доступа к запрошенному ресурсу, что в принципе неправильно, поскольку потенциально зараженный узел в этом случае пройдет по всей сети и натворит серьезных дел.
Попробуем провести аналогию с авиаперелетами, когда мы проходим два этапа контроля: паспортный и таможенный. В первом случае проверяется наша легитимность; во втором легитимность нашего багажа. В компьютерной сети мы также дважды осуществляем проверку. В случае с авиаперелетами мы не можем миновать контрольно-пропускной пункт в аэропорту, но есть ли такая точка в сети? Оказывается, есть это сетевое оборудование: маршрутизаторы, коммутаторы и точки беспроводного доступа. Именно через них мы всегда проходим, чтобы обратиться к нужным ресурсам. И неважно, откуда и как мы пытаемся получить доступ из локальной сети или из Интернета, при помощи проводного или беспроводного доступа, коммутируемого или выделенного соединения, любой наш запрос не минует сетевое оборудование (ситуацию с Bluetooth и IrDA я сейчас сознательно не рассматриваю по причине очень небольшого радиуса их действия). А значит, мы можем организовать «контрольно-пропускной пункт» на базе маршрутизатора, коммутатора или точки беспроводного доступа.
Разумеется, сам по себе маршрутизатор не обладает умением читать мысли на расстоянии и не может определить, соответствует ли ваш узел политике доступа. Но в этом ему помогает сервер политик, который хранит все политики и анализирует получаемую от узла информацию о состоянии защищенности. Такая информация может быть получена двумя путями. Самый простой это специальный агент на компьютере, который будет регулярно опрашивать компьютер и отслеживать его состояние в плане безопасности. Если же на узле, пытающемся получить доступ, такого агента нет, то поступить можно двояко: либо загрузить такой агент с помощью технологии Java или ActiveX (так поступают некоторые антивирусные производители, предлагая соответствующий сервис для своих клиентов), либо дистанционно просканировать узел с помощью сканера безопасности.
По результатам проверки сервер политик может принять одно из четырех решений: допустить узел, не допустить, направить в карантин или дать ограниченный доступ. Реализуется это созданием на сетевом оборудовании динамических списков контроля доступа, через которые лежит путь узла. В том случае, если узел не соответствует политике безопасности и направляется в карантин, его начинают лечить устанавливают отсутствующие патчи, перенастраивают подсистему безопасности ОС, обновляют антивирус, инсталлируют отсутствующее защитное ПО и т.п. После проведенного курса лечения «выздоровевший» узел получает доступ к запрошенным ресурсам.
Владельцам защищаемой сети данная технология дает следующие преимущества:
- обеспечение соответствия всех узлов политике безопасности (причем не только своих узлов, но и чужих);
- снижение затрат (временных, финансовых и человеческих) на предотвращение внутренних и внешних угроз;
- минимизация простоев из-за эпидемий и рост доступности и стабильности сети;
- увеличение продуктивности и производительности;
- соответствие нормативным требованиям (в ряде случаев);
- защита от уголовного преследования по статье 273 Уголовного кодекса РФ.
Пользователи, подключающиеся к сети, в этом случае тоже получают определенные гарантии:
- перестают беспокоиться о том, где им брать антивирусные базы, патчи и другие обновления;
- получают лицензионное защитное ПО его им устанавливает сеть, к которой они подключаются;
- перекладывают ответственность на чужие плечи (тем более что пользователи обычно не заботятся о компьютерной самозащите);
- защищают себя от уголовного преследования.
Сама по себе технология также имеет ряд существенных достоинств, поскольку:
- значительно повышает уровень защищенности Интернета или отдельных корпоративных/домашних/районных сетей;
- не требует изменения топологии;
- может использоваться в уже построенной сети;
- не нуждается в особом внимании со стороны обслуживающего персонала.
«Что же это за технология и кто ее предлагает?» спросите вы. Называется она Network Access Control, или технология контроля доступа в сеть, однако это имя может видоизменяться в зависимости от производителя. У компании Cisco это Network Admission Control (NAC), у Microsoft Network Access Protection (NAP), у некоторых других производителей доверенная среда. Разработчиков данной технологии тоже немало. Cisco реализовала NAC в своем сетевом оборудовании, а на уровне узлов эту технологию поддержали Microsoft, TrendMicro, Symantec, McAfee, ISS, Check Point, LANDesk, HP и десятки других производителей ПО. Даже Intel планирует внедрять технологию контроля доступа в сеть в свои процессоры. Второй крупный разработчик этой технологии компания Microsoft, которая планирует включить NAP в операционную систему Windows Vista. Третья большая группа производителей объединена в рамках Trusted Computing Group (TCG) и ее подгруппы Trusted Network Connect (TNC). Однако список компаний этим не ограничивается. Об аналогичных разработках, правда не выходящих за пределы собственных решений (что сразу снижает их привлекательность), объявили компании Lockdown Networks, Vernier Networks, Enterasys Networks, Sygate, ENDFORCE, Elemental, Juniper, Alcatel и др.
Итак, ответ на вопрос, вынесенный в заголовок статьи, очень простой: нужно использовать технологию контроля доступа в сеть, внедренную на уровне сетевого оборудования, операционных систем или приложений и не требующую дополнительных инвестиций. Если вы покупаете маршрутизатор Cisco, компьютер с интеловским процессором, операционную систему Windows Vista, то делаете большой шаг к укреплению своей защищенности. Все, что вам останется, настроить эту технологию, а потом заниматься собственным бизнесом и лишь изредка вспоминать о безопасности, проводя тестирование уровня своей защищенности.