RSS
| Řízení síťového přístupu |
 |
 |
 |
|
Autor: Tomáš Přibyl, externí odborný redaktor ICTsecurity Zajištění řízení přístupu je klíčovou součástí každé pokročilejší aplikace. Nejinak je tomu i v případě sítí, kde je určování toho, kdo a za jakých podmínek může využívat které zdroje, kritické. Autorizace a přístupová práva V praxi je zapotřebí rozlišovat dva pojmy, které jsou mnohdy nesprávně považované za synonyma. Je to jednak autorizace a jednak jsou to právě přístupová práva. Autorizace je proces, při němž se ověřuje, zdali má dotyčný uživatel (v praxi může jít třeba i o server či jiný objekt) dostatečná práva pro přístup do určité oblasti nebo pro vykonání nějaké akce. Toto ověření se provádí na základě srovnání práv se dožadujícího subjektu s nějakou databází ověřených entit. Jinými slovy by se také dalo říci, že se vychází z předpokladu dřívější úspěšné autentizace (= zařazení do nějaké databáze), na jejíž kvalitě je aktuální autorizace plně závislá. Naproti tomu řízení přístupu (Access Control) je pojem mnohem obecnější. Zahrnuje omezení na základě mnoha dalších prvků (přítomnost subjektu v nějaké databázi může, ale nemusí být jedním z nich). Omezení pro přístup mohou být založená třeba na čase (typicky se jedná o využívání určité služby jen v některých hodinách), IP adrese (možnost přihlášení jen z určitého počítače nebo z konkrétní sítě), typu šifrování datového přenosu (aby byla zajištěna určitá úroveň bezpečnosti komunikace), počtu přihlášení či dotazů. Řízení přístupu zkrátka může nabývat mnoha různých podob. Řízení síťového přístupu Network Access Control (NAC) je „řízení síťového přístupu“. Jeho podstatou je nejen provádět ověřování (ne)oprávněnosti uživatele, ale také zajistit, aby se přihlašování ke zdrojům nestalo bezpečnostním rizikem. Pokud bychom chtěli nechat promluvit definici, pak kontrola síťového přístupu je souborem softwarových a/nebo hardwarových prostředků, které společně řídí přístup ke zdrojům, a to na základě určitých pravidel. Zásadní je přitom skutečnost, že není řízený přístup jen určitého uživatele, ale klientského systému jako celku. Je to logický vývoj, neb dnešní doba je ve znamení mobility. Ke zdrojům se přihlašujeme z cest, z různých zařízení, z rozličných zemí… Je přitom zapotřebí na straně jedné zajistit oprávněným uživatelům přístup ke zdrojům (= neomezovat je), na straně druhé ale zároveň dbát na bezpečnost a související otázky. Kontrola sítového přístupu zkrátka přiděluje dynamicky práva i podle toho, v jakém je zařízení, z něhož pokus o přihlášení probíhá, stavu. Zdali má všechny antivirové definice, zdali na něm běží antivirový program, jaký je stav osobního firewallu, zdali jsou nainstalované všechny bezpečnostní záplaty, jak vypadá log jeho bezpečnostních událostí z poslední doby (tedy zdali někdo nevypínal antivirový program nebo nedocházelo k nějaké jiné podezřelé činnosti)… Zjištěné skutečnosti jsou srovnány s bezpečnostní politikou a na základě toho jsou automaticky přidělena práva: plný přístup, omezený přístup, přístup jen pro čtení, zamítnutý přístup apod. Event. je možné podmínit tento přístup ještě nějakým úkonem, jako je třeba aktualizace antivirové aplikace nebo stažení nových záplat. NAC komplexní i neúplné NAC je pojmem a technologií moderní, a tak není divu, že se v praxi lze setkat s nepřeberným množstvím produktů nesoucích toto označení. V drtivé většině případů se ovšem nejedná o komplexní řešení, ale zpravidla o produkty, které zajišťují některou z rolí. Tedy třeba kontrolují stav záplatování, ale už nejsou schopné vynutit přesměrování nedostatečně ošetřeného počítače do uzavřeného prostředí nebo mu jinak omezit práva. Nebo monitorují, odkud se uživatel přihlásí (internetová kavárna, neznámý počítač, domácí stroj…), ale už není v jejich silách upravit nastavení jednotlivých částí sítě v návaznosti na zjištěné skutečnosti. Před nasazením řízení síťového přístupu vždy pečlivě určete, co od produktu očekáváte, co potřebujete - a co skutečně nabízí. Vyhnete se tak zbytečným pozdějším nedorozuměním. NAC přitom vychází z filozofie, že interní síť je budována jako bezpečné prostředí. A do tohoto bezpečného prostředí není vpuštěn nikdo a nic, kdo se dostatečně neautorizuje a neprokáže, že nepředstavuje bezpečnostní riziko. Jinak by se také dalo říci, že do sítě nejsou připuštěna neautorizovaná hardwarová zařízení nebo jakákoliv zařízení, která nesplňují určitá bezpečnostní minima (aktualizace antivirového programu, zapnutý firewall apod.). Tato filozofie je samozřejmě zajímavá, ale praxe ukazuje, že naráží na své limity. Těmi jsou cena (vysoká a neodpovídající přidané hodnotě NAC), složitost (nasazení i údržby) a zranitelnost (realita ukazuje, že NAC nemusí být zase tak těžké „ošálit“, a to hlavně v případech zanedbání správy). Nejde ovšem o chyby v technologii, ale v implementaci. |
