Coraz więcej dotkliwych w skutkach ataków na systemy IT ma miejsce, ponieważ atakujący wykorzystują słabą konfigurację punktu dostępowego WiFi. W ten sposób, jako „zaufanym użytkownikom sieci wewnętrznej”, udaje im się uzyskać dostęp do wszystkich komputerów, które – w zamierzeniu administratorów – miały być odizolowane przez korporacyjny firewall.

Rozwiązaniem, które umożliwia korzystanie z zalet sieci WLAN, a zarazem eliminuje wprowadzane przez nią luki w bezpieczeństwie firmowych danych, jest system klasy Network Access Control. Weryfikuje on uprawnienia użytkowników, którzy chcą uzyskać dostęp do zasobów i usług sieciowych. Analizuje takie informacje jak: uwierzytelniona tożsamość użytkownika lub urządzenia, jego lokalizacja, bieżący czas oraz aktualny lub historyczny stan zabezpieczeń sprzętu. Urządzenia, które nie przeszły tego testu, są poddawane kwarantannie w celu poprawienia ich stanu zabezpieczeń lub informacje o stanie ich zabezpieczeń są po prostu rejestrowane i poddawane późniejszej analizie.

Należy jednak pamiętać, że wdrożenie tylko mechanizmu jednorazowego uwierzytelniania użytkowników, bez oceny stanu zabezpieczeń urządzenia końcowego, nie jest wystarczające. Do kwestii ochrony trzeba podejść zdecydowanie bardziej kompleksowo, uwzględniając zarówno różne metody dostępu do sieci (w tym połączenia zdalne VPN), rodzaje urządzeń, wykorzystywane protokoły sieciowe, jak i możliwość współpracy serwerów i urządzeń klienckich z aktualnie posiadanymi rozwiązaniami w zakresie bezpieczeństwa sieciowego.

Extreme Networks wychodzi naprzeciw tym wszystkim oczekiwaniom już od 2001 r., kiedy firma uzyskała swoje pierwsze patenty związane z polityką bezpieczeństwa. NAC tego producenta nie jest więc systemem, który ostatnio wprowadzono do oferty, bo taki trend panuje na rynku. Reguły polityki bezpieczeństwa zastosowane w rozwiązaniach NAC umożliwiają wpuszczanie lub blokowanie użytkowników, oznaczanie ich, ograniczanie poziomu pasma, przekie-rowywanie i kontrolowanie ruchu sieciowego.

 
WiFi bez kompromisów

Unikalne podejście do rozwiązań NAC w ujęciu Extreme najlepiej uwidacznia to, że system egzekwuje reguły polityki bezpieczeństwa już „na wejściu” do infrastruktury WiFi, dzięki czemu eliminuje marnotrawienie zasobów sieciowych i optymalizuje wykorzystanie pasma sieci bezprzewodowej, a tym samym ogranicza konieczność dodawania lub rezerwowania zasobów sieci.

 

Trzy pytania do…

 

Konrada Grzybowskiego, inżyniera wsparcia sprzedaży, Versim

CRN W jaki sposób Extreme Networks zaspokaja potrzeby korporacyjnych użytkowników w zakresie bezpieczeństwa sieci bezprzewodowych?

Konrad Grzybowski W firmach bezprzewodowy dostęp do sieci i możliwość korzystania z urządzeń mobilnych nie są już niczym ekskluzywnym, to wręcz „artykuł pierwszej potrzeby”. W tej sytuacji przedsiębiorstwa muszą zwracać szczególną uwagę na ochronę przed nieuprawnionym korzystaniem z sieci bezprzewodowej. Obecnie najskuteczniejszym zabezpieczeniem w tym zakresie są rozwiązania klasy Network Access Control, oferowane m.in. przez Extreme Networks. System tego producenta od wielu lat sprawdza się podczas wdrożeń rozległych sieci bezprzewodowych, a jego otwarta architektura zapewnia skoordynowanie zarządzania działaniem wielu systemów bezpieczeństwa i wykorzystywanie jednego interfejsu administratora.

 

CRN Czy najbezpieczniejszym rozwiązaniem nie jest po prostu rezygnacja z udostępniania pracownikom sieci bezprzewodowej?

Konrad Grzybowski Zdecydowanie nie! Brak sieci WiFi może przynieść większe straty niż korzyści. Gdy pracownikom nie zostanie zapewniony bezprzewodowy dostęp do sieci oraz Internetu, np. ze służbowych laptopów, zaczną kombinować. Najprostszą i najczęściej stosowaną przez nich metodą jest stworzenie hot spota w smartfonie lub tablecie albo skorzystanie z modemu USB. Sytuacja może stać się bardzo poważna, na przykład gdy laptop użytkownika będzie podłączony do firmowej infrastruktury przez sieć przewodową i tam będzie zidentyfikowany jako zaufany, a jednocześnie za pośrednictwem karty bezprzewodowej połączy się z niezabezpieczoną siecią. W takim momencie laptop staje się swoistym mostem dla potencjalnego intruza, umożliwiając mu przejście do wewnętrznej firmowej infrastruktury IT. Ten rodzaj zagrożenia doczekał się określenia przez inżynierów bezpieczeństwa i został nazwany Rogue AP.

 

CRN Jakie rodzaje przedsiębiorstw powinny być najbardziej zainteresowane wdrożeniem systemów typu NAC?

Konrad Grzybowski Statystycznie najczęściej są nimi zainteresowane tradycyjne biura, w których dzięki konwergencji można zmniejszyć koszty operacyjne związane z utrzymaniem sieci. Ciekawą grupę użytkowników stanowią także placówki edukacyjne, które już całkowicie uległy oczekiwaniom studentów, związanym z bezprzewodowym dostępem do Internetu oraz różnego typu narzędzi edukacyjnych zapewnianych przez daną placówkę. Kolejną ważną grupą klientów są instytucje z sektora opieki zdrowotnej – tam z dostępu do sieci bezprzewodowej korzystają pacjenci, ich goście oraz personel medyczny, który np. podczas obchodu cały czas zachowuje możliwość korzystania z danych zgromadzonych w centralnym repozytorium. Obserwujemy też coraz większe zainteresowanie bezpiecznymi sieciami bezprzewodowymi ze strony operatorów obiektów sportowych. Za pośrednictwem tych rozwiązań zapewniają oni swoim gościom dostęp do materiałów związanych z rozgrywką, zawodnikami, powtórek najciekawszych akcji itp., a do odbioru wszystkich tych informacji służą osobiste urządzenia kibiców.

 

Rozwiązanie to, wykorzystując uwierzytelnianie MAC oraz mechanizmy IP Resolution i Reverse DNS Lookup, automatycznie wykrywa wszystkie dołączone do sieci urządzenia końcowe i tworzy ich spis. Tożsamość użytkownika natomiast jest zidentyfikowana za pomocą protokołu 802.1X, Kerberos oraz RADIUS snooping czy też korelacji przypisania zewnętrznego użytkownika do adresu IP. Podczas procesu wykrywania rozpoznaje się i śledzi ponad 50 atrybutów dla każdej pary – systemu końcowego i użytkownika. Dzięki temu zapewniony jest bardzo wysoki poziom szczegółowości tego procesu, nieosiągalny dla konkurencji.

Extreme Networks NAC zapewnia wiele sposobów zarządzania dostępem dla gości, którzy nie posiadają swojego konta. Administratorzy mają do dyspozycji portal do logowania i rejestracji, mechanizmy dostępu sponsorowanego, generowania kont czasowych oraz rejestracji gości przez portale społecznościowe.

 

NAC i… co dalej?

Zgodnie z ideą otwartej architektury NAC oferowany przez Extreme umożliwia integrację z rozwiązaniami bezpieczeństwa sieciowego innych producentów, wykorzystując do tego interfejs XML API. Dzięki współpracy z systemami Next Generation Firewall, takimi jak Palo Alto i FortiGate, NAC otrzymuje informacje o wymianie ruchu z publiczną siecią (odwiedzane strony WWW, pobierane pliki z Internetu itp.). Dzięki informacjom z systemów Mobile Device Management, takich jak FAMOC, MobileIron czy AirWatch, NAC poznaje m.in. dokładny model urządzenia, numer telefonu i adres MAC karty SIM. Natomiast oprogramowanie Extreme Networks Purview dostarcza wiedzy o aplikacjach wykorzystywanych przez użytkowników.

Na podstawie korelacji powyższych informacji NAC podejmuje odpowiednie działania prewencyjne. Konto użytkownika, który łamie reguły skonfigurowane na zaporze sieciowej (np. pobiera złośliwe oprogramowanie, odwiedza blokowane strony lub spędza zbyt dużo czasu na portalach społecznościowych), zostaje czasowo umieszczone w kwarantannie. Użytkownik podłączający do sieci WiFi urządzenie mobilne, które jest niezgodnie z założeniami bezpieczeństwa, np. ma uruchomione udostępnianie Internetu (hot spot), dostęp do konta administracyjnego w systemie urządzenia (root w Androidzie i jailbreak w iOS), włożoną nieautoryzowaną kartę SIM lub nie ma zainstalowanej konkretnej, wskazanej przez administratora aplikacji (np. antywirusa), również nie będzie miał możliwości połączenia się z infrastrukturą na podstawie alarmu wygenerowanego przez rozwiązania MDM.

Dodatkowe informacje:

 

Agnieszka Makowska,

dyrektor sprzedaży, Versim,

agnieszka.makowska@versim.pl

Artykuł powstał we współpracy z firmami Extreme Networks i Versim.