Dine valgmuligheter for NAC

Dine valgmuligheter for NAC

Til tross for sikkerhetsfordelene som loves av nettverksløsninger for tilgangskontroll, er det ennå et stykke igjen før disse løsningene blir fullstendig omfavnet.

Grunnene til at den helt store utbredelsen uteblir er kanskje målgruppens oppfatning av kostnadene, kompleksiteten som skapte trøbbel for tidlige brukere eller overfloden av NAC-mulighetene som finnes i dag.

Interessen er likevel enorm, men problemet er kanskje hvilken løsning man skal velge?

Maskinvarebaserte løsninger krever typisk en såkalt appliance som opererer enten inline eller ved siden av nettverket. Noen av disse enhetene erstatter aksess-svitsjen, mens andre opererer mellom aksesslaget og nettverkssvitsjene. Uansett er det mange vurderinger å ta her når det gjelder utrulling, administrasjon og vedlikehold.

For eksempel vil maskinvarebasert inline NAC som sitter oppstrøms fra svitsjer medføre en potensiell single point of failure. De kan bli en feilkilde hvis de ikke kan holde tritt med dagens 10 Gigabit Ethernet-nettverk. Inline-løsninger er trolig heller ikke det ideelle for geografisk spredte, eller sterkt segmenterte nettverk. Det trengs ikke bare en enhet ved hver lokasjon, men jo lengre opp i nettverket man kommer, jo mindre innsikt i nettverkstrafikken vil de kunne gi. Det er liten vits å tro man er mer sikker med NAV når du ikke kan se eller stoppe angrepstrafikk i et stort subnett.

Et såkalt out-of-band alternativ, som for eksempel de løsningene som bruker 802.1X, krever ofte mange konfigurasjonsendringer for servere og nettverk. De krever i tillegg karantene-nettverk, konfigurasjon av porter på hver svitsj samt tilgangsregler for rutere og svitsjer. Dette øker ikke bare administrative kostnader, men også risikoen for feil. Det er tydelig at maskinvarebasert NAC verken er billig eller noen mirakelkur.

Neste løsning er en agentsbasert tilnærming. Ingen vil ha enda en applikasjon å installere, oppdatere og vedlikeholde på sine endepunkter. Det er ikke bare en ekstra byrde for it-avdelingen, men også en stor kilde til en bølge av henvendelser til helpdesk.

Likevel kan man si mye til forsvar for agenter. Man får bedre undersøkelse av endepunktene som dermed gir bedre sikkerhet. Og sannheten er at agenter kan være den mest pålitelige metoden som er tilgjengelig, spesielt for nettverkstrafikk ettersom agenter kjører stille i bakgrunnen og kun sender oppdateringer til en policyserver. Men bedrifter er ikke på jakt etter enda en applikasjon å installere – uansett hvor høy sikkerhet det vil gi tilbake.

Så har vi agentløs NAC. En vanlig metode her er å periodisk skanne endepunkter på jakt etter sårbarheter og regelbrudd, noe som kan lage uønsket trafikkbelastning på et travelt nettverk. Resultatene sendes til en policyserver, og om nødvendig iverksettes endringer. Den agentløse tilnærmingen gir imidlertid ikke en grundig nok sjekk, og ettersom identiteten fastslås via nettverkstrafikken er det mulig å lure systemet. Dette bringer oss til dynamisk NAC som bruker agenter – men kun på en del av systemet. Også kjent som peer-to-peer NAC, krever ikke denne løsningen nettverksendringer eller at programvare installeres på hvert system.

Agentene installeres på tiltrodde systemer, og i likhet med en politistyrke så trenger du kun en liten andel av lovhåndhevere for å sikre god oppførsel. På den måten er det mulig å opprettholde et høyt nivå av sikkerhet, men da uten ulempene som følger med maskinvarebasert NAC eller programvarebaserte løsninger på hver enhet.

Anta at et antall håndhevere installeres på maskiner i et nettverk og et mistenkelig system prøver å logge på. Håndheverne vil detektere og begrense nykommerens nettverkstrafikk ved å bruke Lag 2-protokoller frem til nykommeren har blitt sikkerhetsklarert. Og disse agentene kommuniserer kontinuerlig med en sentral policyserver om hvilke videreforhandlinger som er nødvendige. Et system kan dermed settes i karantene, blokkeres fra visse nettverkssegment eller kun gis internett-tilgang.

Det er viktigere enn noen gang at man vurderer NAC. Utviklingen har gått videre, og spesielt innen mobil kommunikasjon kreves det en proaktiv NAC-basert sikkerhet. Det er liten tvil om at smarttelefoner og andre håndholdte enheter flytter inn i nettverket. Utfordringen med å sikre nettverk og enheter blir derfor større.

Det er den dårlige nyheten. Den gode nyheten? Det er at dynamiske NAC-løsninger er tilgjengelige for å sikre at ditt nettverk opererer sikkert og innenfor de aktuelle reglene.

- Stacey Lum , Network World

Les om:

Sikkerhet