"Железный" контроль доступа

04.06.2008

Cisco перекладывает заботу о соблюдения политик доступа на специализированные сетевые устройства NAC Appliance

Валерий Коржов, Computerworld Россия

Технология Cisco Network Admission Control (NAC) решает одну из наиболее сложных проблем информационной безопасности - защищает от нарушения политик. Формально все необходимые компоненты данной технологии общедоступны, поскольку интегрированы в сетевые устройства от Cisco Systems. Поэтому, для того чтобы внедрить ее на предприятии, было достаточно правильно настроить сетевое оборудование.

На деле оказалось, что все не так просто. Полноценно внедрить Cisco NAC могут только те клиенты, у которых вся сеть построена на оборудовании корпорации. Кроме того, настройка всего сетевого оборудования предприятия и поддержка его актуального состояния - достаточно сложное дело, справиться с которым можно было только с помощью опытных консультантов, а их услуги недешевы. В результате количество информационных систем, где была внедрена технология Cisco NAC, оказалось небольшим. По данным Алексея Афанасьева, менеджера Cisco по продуктам безопасности, полноценных внедрений в России на сегодняшний день всего несколько десятков.

"Правда, это в основном очень крупные клиенты", - заметил Афанасьев. (Впрочем, поскольку технология общедоступна, то в самой корпорации могут и не знать всех внедрений, особенно небольших. - В.К.)

Cisco учла первый опыт внедрения NAC и предложила другое решение проблемы контроля за сетевыми конфигурациями предприятий. Теперь исходную технологию обозначают терминами "интегрированный подход" или NAC Framework; новый, небесплатный способ внедрения NAC, заключается в использовании специализированных сетевых устройств, которые упрощают развертывание этой технологии на предприятии. Соответствующее семейство устройств, NAC Appliance, состоит из Cisco Clean Access Server, который контролирует доступ пользователей к корпоративным ресурсам, Clean Access Manager, управляющего серверами Cisco CAS, и Clean Access Agent, устанавливающегося на клиентские машины и выполняющего все проверки. Отдельно продается NAC Guest Server, с помощью которого обеспечивается подключение к системе в режиме гостя.

Система выполняет процедуры аутентификации пользователей и устройств, сканирования и оценки опасности подключаемых устройств, переключения в карантинную сеть, которую организует Guest Server, и обновления потенциально опасных элементов. Агент может определить, установлены ли критические обновления Windows, антивирусных и антишпионских баз, выполнить другие проверки. Сейчас написаны агенты для операционных систем Windows и MacOS. Все остальные пользователи, в том числе и со смартфонов, подключаются к системе с помощью Web-регистрации. В последнем случае проверки проводит специальный Java-апплет.

NAC Appliance не требует настройки всего сетевого оборудования - его достаточно установить в точке доступа к корпоративным ресурсам, например на шлюзе доступа к Internet для контроля удаленных сотрудников либо на входе в защищаемый фрагмент сети. Новая концепция "точечного NAC" больше пришлась по душе клиентам, поскольку даже те немногие из них, которые первоначально внедрили NAC Framework, сейчас переходят на NAC Appliance. В то же время потребность в технологии Cisco NAC растет, поскольку она позволяет удовлетворить одно из наиболее сложно реализуемых требований различных стандартов по безопасности - контроль за соблюдением политик.

Работу всего комплекса устройств, связанных с NAC Appliance, можно было посмотреть на семинаре "Пример построения защиты сетевой инфраструктуры современного предприятия" компании "Поликом Про", который проходил 20 и 28 мая. На созданном специально для мероприятия стенде показывалось взаимодействие NAC Appliance с антивирусными решениями Trend Micro и устройствами аутентификации Aladdin eToken. В том числе демонстрировалась и работа технологии со смартфонами, подключенными по технологии Wi-Fi. В последнем случае подключение выполнялось с использованием одноразовых паролей устройства Aladdin eToken NG OTP.

Источник: Открытые системы.