Řízení přístupu k síťovým zdrojům

Zveřejněno:

Řízení přístupu ke komunikační infrastruktuře se stává nedílnou součástí bezpečnostních opatření, zejména pak v případě větších firem a největších korporací. Cílem je zajistit, aby přístup k síťovým zdrojům – od úložných systémů až po sofistikované služby – byl k dispozici pouze pro oprávněné klienty. Sítě jsou navíc i základem pro přístup k aplikacím, byť bezpečnost bývá řešena i na úrovni těchto aplikací. Jinými slovy, řízení přístupu k datům a informacím se týká až další úrovně, nikoli komunikační infrastruktury.

Společnost Dimension Data využívá pro řízení přístupu k síťovým zdrojům technologii založenou na standardu IEEE 802.1x a její konkrétní implementaci v produktu Cisco ISE (Identity Services Engine). Tento produkt slouží pro centralizované řízení autentizace a autorizace uživatelských entit, které přistupují do sítě. Centrální RADIUS server Cisco ISE komunikuje s přístupovými prvky jako jsou např. síťové přepínače nebo bezdrátové kontroléry pomocí RADIUS protokolu. Přístupové prvky vynucují výsledek autentizace a autorizace na základě rozhodnutí RADIUS serveru. Součástí 802.1x jsou tzv. autentizační rámce EAP (Extensible Authentication Protocol) – jde v podstatě o jediný protokol, pomocí kterého může klient po připojení do sítě komunikovat s nadřízenou entitou. Následná komunikace je zcela či částečně povolena teprve po potvrzení identity klienta centrálním RADIUS serverem. Důležité také je, že klientem nemusí být pouze fyzický uživatel, ale v podstatě jakékoli zařízení, které je s IEEE 802.1x kompatibilní. Pro ověření identity lze využít řadu možností, od přihlašovacích údajů až po certifikáty. Pro zařízení, která nemají implementovaný 802.1x protokol, je možné použít ověřování pomocí MAC adresy. Tento způsob ověřování se nazývá MAB (MAC authentication bypass).

Už vím, kdo jsi

Po připojení klienta k síti dojde nejen k ověření identity s přidělením síťového prostředí (např. VLAN, filtračních pravidel), ale lze uplatnit i kontrolu souladu s bezpečnostními politikami organizace. Automaticky tak může proběhnout například ověření přítomnosti nejnovější verze antivirového programu, kontrola stavu oprav operačního systému apod. V případě kladného výsledku je vše v pořádku a klient získá přístup k síti. Při zjištěných nedostatcích je možné přístup zcela odmítnout, ale v praxi jde o nepoužitelnou variantu. Nesoulad s bezpečnostními politikami totiž může souviset například s delší absencí uživatele v síti, kdy jeho aktualizace systému ještě nemohly být nainstalovány. Obvyklým řešením je proto dočasný přístup do karanténní části sítě, kde může být provedena náprava stavu koncové stanice.

Důvěřuj, ale prověřuj

Výhodou řešení Cisco ISE není jen vlastní řízení přístupu, ale také podpora přesné identifikace typu koncového zařízení. Následně může být tato informace využita k upřesnění řízení přístupu v podobě rozdílných přístupových politik a dále k zpřesnění informace, jaký klient v daném čase využil daný síťový zdroj. Připomeňme si, že klientem může být nejen uživatel, ale libovolné síťové zařízení.

Podrobné protokolování je důležité i tehdy, kdy bezpečnostní incident způsobí interní člověk – a je tomu tak v cca 80 procentech případů.

Z protokolů lze zjistit celou řadu zajímavých informací, například o identitě „pachatele“, o použitém zařízení, o čase incidentu apod.

Připraveni na „cizí“ zařízení

Technologie řízení přístupu k sítím existují již delší dobu, nicméně největší růst zájmu je záležitostí teprve několika posledních let – a to i v České republice, byť s mírným časovým odstupem. Boom souvisí nejen s pokrokem na straně výrobců zařízení a bezpečnostních řešení, ale také se změnou postupů, kterými firmy ve skutečnosti pracují. Dnešní IT je ve srovnání s dobou nedávno minulou v ledasčem jiné. V posledních několika letech nárůst „Smart“ mobilních zařízení, jako jsou tablety a chytré mobilní telefony, zvýšil potřebu inteligentnější identifikace a kontroly koncových zařízení při přístupu do koorporátních sítí. Naše společnost nabízí další technologie, které řeší tuto problematiku, jedná se o Mobile Device Mangament (MDM) nástroje, které lze integrovat s Cisco ISE produktem. Moderní korporace v dnešní době chtějí nabídnout svým zaměstnancům komfort a tedy pracovat odkudkoliv a v podstatě z jakéhokoliv zařízení, ať už se jedná o zařízení vlastněné korporacemi nebo zaměstnanci. S touto problematikou úzce souvisí podpora využívání koncových zařízení vlastněných zaměstnanci (BYOD, Bring Your Own Device) a zajištění přístupu do firemní infrastruktury pro hosty. Na první pohled by se sice mohlo zdát, že jde o úzce spojené nádoby, ale ve skutečnosti tomu až tak není. Koncept BYOD sebou nese povolení přístupu prakticky na stejné úrovni, jako by zaměstnanec využíval firemní zařízení. Naopak přístup pro hosty je většinou spojený s maximálními restrikcemi a povolení jen jedné či několika málo nezbytných služeb a zdrojů na omezenou dobu.

Host do firmy, bůh do firmy

Mezi další výhody platformy Cisco ISE patří i řešení velmi specifických situací, jako je například řízení přístupu na základě registrace sama sebe. Nemusí přitom jít pouze o hosty ve smyslu návštěvníka firmy, ale třeba o účastníky konference či hotelové hosty. Přístup je povolen až na základě získání potřebných informací. Tyto rozšířené možnosti šetří nejen náklady dané firmě (například recepční nemusí generovat jednorázová hesla), ale také čas uživatelům – registraci mohou provést bez fyzické návštěvy jakéhokoli kontaktního místa. Nejčastěji jsou tyto možnosti využívané v prostředí bezdrátových sítí Wi-Fi, ale obdobně jsou k dispozici i u jiných typů konektivity.

Podmínkou nasazení IEEE 802.1x je využití zařízení, které jsou s tímto standardem kompatibilní. Pokud tomu tak u některých zařízení není, lze bezpečnost posílit například řízením přístupu pomocí MAC adresy – byť jde o mechanismus, který lze relativně snadno obejít podvržením falešné adresy. Další možností pro posílení bezpečnostních prvků je filtrace na třetí a čtvrté vrstvě dle referenčního modelu ISO/OSI. V praxi dochází ke kombinaci jednotlivých variant, protože jen málokterá infrastruktura podporuje IEEE 802.1x na všech svých prvcích.

Alfou a omegou

Zavedení řízení přístupu k síťovým zdrojům ale není jen o technologiích – důležitým základem úspěchu je podrobná analýza firemních procesů a návrh řešení, který pokrývá běžné i atypické situace. Společnost Dimension Data pracuje s každým zájemcem o IEEE 802.1x komplexně, a může tak odhalit situace, kdy je nasazení této technologie nevhodné a navrhnout odpovídající způsob řešení. Jakékoli pochybení v analytické části totiž může mít na úspěšnost nasazení IEEE 802.1x velmi negativní dopady. Proč? Sítě jsou přece alfou a omegou funkčnosti celé podnikové informační architektury.


Jakub Chytráček

Consultant
Dimension Data

Ve společnosti Dimension Data působí od roku 2008. Ve společnosti pracuje na pozici konzultanta v oddělení Network Infrastructure Professional Services. V posledních letech se věnuje převážně oblasti síťové bezpečnosti.

Téma aktuálního čísla

CUSTOMER EXPERIENCE

Kontakt

Dimension Data Czech Republic s.r.o.
Na Hřebenech II 10
140 00 Praha 4
Tel: +420 255 770 111
Email: info.cz@dimensiondata.com
www.dimensiondata.com