Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


23.09.2021

5 edycja konferencji Test...

21 października startuje kolejna, piąta już edycja największej w Polsce konferencji...
23.09.2021

Zero Trust Firewall

FortiGate 3500F
23.09.2021

Ochrona IoT

Kaspersky SHS
23.09.2021

Wydatki lobbingowe

Cyfrowy monopol
23.09.2021

Współdziałanie klastrów

SUSE Rancher 2.6
23.09.2021

Panasonic TOUGHBOOK 55

Najnowsza wersja wszechstronnego Panasonic TOUGHBOOK 55 to wytrzymały notebook typu...
23.09.2021

Elastyczna dystrybucja...

Liebert RXA i MBX
23.09.2021

Zdalny podgląd w 360°

D-Link DCS-8635LH
23.09.2021

Sejf na dane

Szyfrowany pendrive

Ochrona infrastruktury

Data publikacji: 18-04-2019 Autor: Artur Cieślik
Rys. 1. Infrastruktura z NPS

Ochrona i zabezpieczenie systemu informatycznego składają się z wielu elementów. Jednymi z ważniejszych są odpowiednio dobrane i skonfigurowane metody kontroli dostępu do sieci.

 

Czy jesteśmy bezpieczni, przetwarzając dane w swoich sieciach? Odpowiedź na to pytanie zazwyczaj nie jest jednoznaczna. Jednak w wielu przypadkach możemy usłyszeć, że czujemy się „w miarę” bezpieczni. Wraz ze wzrostem świadomości zagrożeń, szczególnie tych propagowanych przez internet, to poczucie zaczyna spadać.

Rodzajów zagrożeń jest wiele. Planując zabezpieczenia, na początek weźmy na warsztat te najbardziej prawdopodobne. Chcąc uruchomić skuteczny model zarządzania bezpieczeństwem, należy również wykonać analizę potrzeb związanych z zabezpieczeniami. Zabezpieczenia własnej infrastruktury stosują praktycznie wszyscy administratorzy. Trudno bowiem wyobrazić sobie nadzorowaną sieć bez ochrony dostępu do serwerowni czy firewalla na brzegu sieci. Tego typu zabezpieczenia dział IT wybiera samodzielnie oraz niejednokrotnie implementuje je w znanym środowisku. Jednak czy zastosowane zabezpieczenia są wystarczające? Często zapominamy o problemie, który może „przynieść” ze sobą nasz użytkownik lub gość. Podłączając do sieci zainfekowanego laptopa, może rozpropagować zagrożenie na inne stacje, a w niektórych przypadkach również na serwery. Potrzebne są więc narzędzia pozwalające na weryfikację i kontrolę podłączanych do sieci hostów. Rozwiązania te powinny również pozwalać na sprawdzanie użytych mechanizmów ochronnych na podłączonych hostach oraz wykrywanie intruzów.

> WAŻNA ROLA NAC

Kontrola dostępu do sieci jest mechanizmem zwiększającym bezpieczeństwo w punktach dostępu ze strony segmentów sieci wewnętrznej. Wiele środków inwestowanych jest w zabezpieczenia przed zagrożeniami ze strony internetu, a wielokrotnie pomijane są w analizie zagrożenia z wewnątrz, mogące wpłynąć na integralność danych i zakłócić pracę systemom znajdującym się w segmentach zaufanych. Problem może pojawić się wtedy, gdy niezaufany host zostanie podłączony do segmentu z dostępem do usług serwerowych. W przypadku pojawienia się takich zagrożeń najczęściej zaczyna działać antywirus wyposażony w moduł wykrywający próby nieautoryzowanego dostępu (Intrusion Detection System, IDS). Niestety jest to często ostatnia linia obrony, ponieważ zainfekowany komputer lub intruz są już w naszej sieci i mogą realizować działania mające na celu rozprzestrzenianie się i zdobycie dostępu do wrażliwych systemów. Aby móc kontrolować wiele zagrożeń, które mają źródło na komputerze podłączanym do przełącznika, potrzebujemy mechanizmu szczegółowej kontroli wejścia do sieci. Wymaga to wprowadzenia zasad kontroli użytkowników oraz urządzeń.

Coraz częściej jeden pracownik wykorzystuje wiele rodzajów urządzeń. Dostęp użytkownika, posługującego się laptopem, tabletem lub smartfonem, do zasobów powinien być zarządzany za pomocą spójnych polityk stosowanych we wszystkich segmentach sieci i na wielu urządzeniach. Nadzór powinien również dotyczyć tych urządzeń, które wykorzystując dostęp przez internet, korzystają zdalnie z zasobów sieci wewnętrznej.

Network Access Control, czyli w skrócie NAC, to rodzina narzędzi pozwalających w różnym zakresie funkcji nadzorować i kontrolować dostęp urządzeń do sieci. Oprócz samych funkcji dotyczących kontroli oferują również możliwości monitorowania końcówek, którymi w dużej mierze są komputery stacjonarne oraz laptopy, a także smartfony i tablety. Narzędzia takie zapewniają dostęp do szerokiej gamy szczegółowych informacji o wszystkich podłączonych urządzeniach w sieciach przewodowych i bezprzewodowych. Administratorzy po wdrożeniu takich rozwiązań uzyskują dostęp do pulpitu nawigacyjnego dostarczającego wiedzy o pojawiających się próbach podłączania nieautoryzowanych urządzeń, statusie hostów zaufanych oraz zagrożeniach dla bezpieczeństwa sieci wewnętrznej.

Ważną cechą NAC-ów jest centralne zarządzanie i definiowanie polityk uwierzytelniania ukierunkowanych zarówno na użytkowników, jak i na urządzenia. Administrator może stosować granularne reguły przyznawania i zabraniania dostępu zależnie od lokalizacji, użytkownika, czasu i sposobu dostępu do dozwolonych sieci. Rozwiązania NAC pozwalają na zapobieganie nieautoryzowanemu dostępowi do sieci wewnętrznej z komputerów prywatnych pracowników. Podobnie zabezpieczenia Network Access Control umożliwiają sterowanie dostępem komputerów gości, zarówno tych o większych uprawnieniach, np. konsultantów, jak i gości o bardzo ograniczonych uprawnieniach mających dostęp wyłącznie do zasobów internetu. Bez takich rozwiązań nieautoryzowany dostęp wiąże się z o wiele wyższym ryzykiem.

> FUNKCJE NAC

Systemy kontroli dostępu do sieci mogą różnić się w zależności od rodzaju wdrożenia oraz wykorzystywanych lub dostępnych funkcji. Podstawowa funkcjonalność NAC-a, najczęściej bez zainstalowanego agenta na końcówce, pozwala na kontrolę dostępu opartą na adresach MAC. Pozwala również kontrolować ruch sieciowy za pomocą firewalli oraz wykrywać obecność malware'u na sieciowych systemach wykrywania włamań (Network Intrusion Detection System, NIDS).

 

[...]

 

Autor jest redaktorem naczelnym miesięcznika „IT Professional” oraz audytorem wiodącym normy ISO/IEC 27001. Specjalizuje się w realizacji audytów bezpieczeństwa informacji, danych osobowych i zabezpieczeń sieci informatycznych. Jest konsultantem w obszarze projektowania i wdrażania Systemów Zarządzania Bezpieczeństwem Informacji. Trener i wykładowca z wieloletnim doświadczeniem. 

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"