Cisco skal finne sikkerhetsbrister

Cisco skal finne sikkerhetsbrister

Cisco forbedrer nettverksproduktene for å avsløre utstyr som ikke holder virksomhetens sikkerhetsnivå.
WIEN: - På grunn av utviklingen av trusselbildet er det nødvendig å bygge intelligente nettverk. De vil ha en nøkkelrolle i forbindelse med tilstrekkelig sikkerhet, hevder Jose Lopez, senior sikkerhetsanalytiker i Frost & Sullivan.

I fjor oppgraderte Cisco sine nyere rutere med funksjonalitet for å avsløre sikkerhetstrusler, Network Admission Control. Nå utvides funksjonaliteten til også å omfatte svitsjer og trådløse enheter.

Vil ta flere år

Konsekvensen er at bruker og tjenestemaskiner kan bli avskåret fra å få tilgang til nettet. Maskinene blir enten avskåret fullstendig eller de blir satt i karantene til de blir oppgradert med nødvendig sikkerhetsprogramvare.

- Vår visjon er Adaptive Security. Det vil ta flere år å utvikle teknologien. For tre år siden hadde vi ingen sikkerhet. Med den nye lanseringen kan vi sjekke sikkerheten til nivå fire, men vi må gå dypere for kontrollere de høyere nivåene, sier Jayshree Ullal, konserndirektør for sikkerhet i Cisco.

"Nivå fire" knytter seg til referansemodellen for nettverk, betegnet OSI-modellen. Dette nivået behandler tcp (Transmision Control Protocol).

Maskiner en trussel

Ideen til Cisco er at ormer, søppelpost og spionprogrammer vil fortsette å plage virksomhetene. Brukerne er delvis autentisert, utstyret er det ikke.

Derfor utgjør maskiner som ikke sikkerhetsklareres en trussel, spesielt hvis de er usynlige. Eksempel på et utsynlig produkt er en trådløs tilgangsenhet plugget inn i lokalnettet (Rogue).

Som en viktig del av lanseringen introduseres agentprogramvare med forskjellig funksjoner - fra å avsløre versjonsnivået på brukernes pc-er til å oppdage maskiner som ikke svarer på nettverkshenvendelser.

Et omfattende samarbeid med leverandører av sikkerhetsprogramvare og tjenester gjør at virksomhetene kan skreddersy overvåkningen.

Dette er begynnelsen. Nettverksproduktene skal kunne foreta inspeksjon av nettverkstrafikken på et detaljert nivå, både for inngående og utgående trafikk.

Ideen er å lære seg trafikkmønsteret slik at endringer kan gi varsler om mulige trusler. En slik trussel kan være et nytt databasekall som ønsker å legge inn eller skaffe data ved hjelp av smarte utvidelser av kallet.

Ferdig oppsett

Nettverkskontrollen er delt i to, en hvor Cisco tilbyr en totalløsning, Cisco Clean Access, og en hvor kundene kan skreddersy løsningen til sin sikkerhetspolitikk, NAC Framework.

Begge løsningene er i første omgang for virkelig store virksomheter. Største kunde har en løsning med 63.000 brukere. Til nå har over 300 virksomheter tatt Cisco Clean Access i bruk.

Arizona State University reduserte antall mulige sikkerhetsbrister fra 6.000 i året til færre enn 50.

- Når utstyret oppdager at brukeren mangler nødvendig sikkerhetsnivå gis det beskjed før pc-en plasseres i et karantenenett med begrenset tilgang til ressurser, sier Steinthor Bjarnason, sikkerhetsekspert i Cisco.

Utstyret er to sikkerhetsapparater, Clean Access Server og Clean Access Manager. Access Server tar seg av nettverkskontrollen, mens Access manager foretar beslutningen om tilgang, begrensete rettigheter, karantene eller avvisning. I tillegg benyttes programvaren Clean Access Agent for overvåkning.

Kontroll foretas av Microsofts brukermiljøer ME, 98, 2000 og XP og av antivirus programvare fra CA, F-secure, McAfee, Panda, Sophos, Symantec, Trend og Zone.

Utvidet sikkerhet

Norman er ikke en del av Clean Access. Norman er derimot en del av det utvidete NAC-rammeverket. Her benyttes en tjenestemaskin for adgangskontroll med hele virksomhetens sikkerhetsregelverk.

Hver eneste maskin som skal ha tilgang til nettet må dokumentere sine rettigheter tilsvarende en diplomat som må vise sine akkreditiver. Rettighetene sendes gjennom nettet til en autorisasjonstjener og kanskje videre til en samarbeidspartner for ytterligere kontroll.

Cisco samarbeider med veldig mange leverandører som eksempelvis Check Point, Intel, Internet Security Systems, Phoenix og Vmware.

Autorisasjonstjeneren tar beslutningene om tilgang. Beslutningen videreformidles til administrasjonssystemet, eksempelvis IBM Tivoli.

Tivoli vil deretter sette i gang nødvendige tiltak hvis beslutningen er begrensete tilgangsrettigheter. Trådløse enheter vil typisk bli overført til et karantenenett inntil nødvendig sikkerhet er på plass.