Lover enkel tilgangskontroll

Lover enkel tilgangskontroll

Det kan fort bli dyrt og komplisert å innføre tilgangskontroll. Men det trenger ikke å være slik, mener Juniper.

Cisco kaller det Network Access Control (NAC), Microsoft kaller det Network Access Protection (NAP, inngår i Vista og Longhorn Server) og Juniper kaller det Unified Access Control (UAC). Men siden Cisco var første ute, er NAC er blitt fellesbetegnelse på denne typen løsninger.

På norsk kalles NAC gjerne tilgangskontroll, eller helsesjekk av pc. Konseptet dreier seg om å ha et system for å sjekke at alt utstyr som knyttes til virksomhetens nett, følger gjeldende sikkerhetspolicy. Det betyr at tilgang ikke gis før nettet har sjekket at antivirusprogramvaren er oppdatert og slått på, at brukeren har de riktige rettighetene og at den personlige brannmuren er aktivert, for å nevne noen av aspektene som kan inngå i sikkerhetspolicyen.

LES OGSÅ: Juniper med ny generasjon tilgangskontroll

Målet er å unngå at egne ansatte eller gjester innfører sikkerhetstrusler i nettet når de kobler seg opp bak brannmur og andre sikkerhetstiltak.

Ifølge analyseselskapet Infonetics Research vil markedet for NAC vokse fra to milliarder kroner i 2005, til 24 milliarder kroner i 2008.

Uavhengig

Blant annet basert på selskapets styrke innen SSL VPN, er Juniper et av selskapene som er kommet lengst med å lage løsninger for tilgangskontroll. Junipers Unified Access Control (UAC) er uavhengig både av nettverk og programvare på pc-er og servere. I sin enkleste form består UAC av en styringsenhet, Infranet Controller (IC), og en brannmur som også må komme fra Juniper. IC-en koster i underkant av hundre tusen kroner.

- Folk tror det er så komplisert å innføre tilgangskontroll. Men UAC kan gjøres ganske enkelt, sier Anton Grashion, europeiske sikkerhetsstrateg i Juniper.

Styringsenheten kontaktes hver gang en pc knyttes til nettet. En liten programvareagent lastes ned til pc-en, dersom den da ikke finnes der fra før. Denne programsnutten foretar så en godkjenning av pc-en, og gir eventuelt tilgang til de riktige vlan (virtuelle lan). Er ikke sikkerhetspolicyen oppfylt, settes pc-en typisk i karantene til de nødvendige oppdateringer er foretatt.

Juniper har også en form for klientløs pc-sjekk, som kan brukes dersom maskinene kjører med andre operativsystemer enn de den vanlige agenten støtter. Juniper har blant annet ikke en agent for Windows Vista, men det kommer selvsagt.

Ifølge Rob Whitters, teknisk sjef UAC og SSL VPN, kommer mye av programvaren som inngår i UAC 2.0 fra Funk Software, et selskap Juniper kjøpte for et drøyt år siden. Funk leverer blant annet Radius/AAA-server (Authentication, Authorization og Accounting) og Odyssey-klienten som brukes på pc-ene. Autentiseringsmekanismen IEEE 802.1X spiller også en viktigere rolle i UAC 2.0 enn i tidligere versjoner.

Grovt eller fint

I Computerworlds sikkerhetskompendium, som kan lastes ned fra idg.no, uttaler flere eksperter at de er skeptiske til å innføre tilgangskontroll uten svært grundige forberedelser. Zeuz Kerravala, analytiker i Yankee Group, peker blant annet på at brukerne oftest må forholde seg til flere leverandører og at løsningen derfor blir kompleks.

Seniorrådgiver Espen Torseth i NorSIS understreker viktigheten av å bygge opp en organisasjon som kan håndtere forespørsler og problemer som kan oppstår når ansatte ikke får tilgang til it-ressursene på grunn av utdatert pc. Torseth mener døgnkontinuerlig support er nødvendig, og at NAC derfor ikke bør innføres av mindre virksomheter.

- UAC kan innføres på en veldig enkelt måte eller med en svært finmasket policy, begge deler med den samme boksen, sier Grashion.

Et universitet innførte UAC for 25.000 brukere i løpet av tre timer. Effekten var stor selv om kun helt enkle regler for tilgangskontroll ble innført. Junipers sikkerhetsekspert bruker også ofte Fredrikstad kommune, med 200 brukere, som eksempel på at UAC kan innføres også i mindre organisasjoner.