Первая глава
Проблема:
Сети должны быть защищены от угроз безопасности, таких, как вирусы, черви и шпионское программное обеспечение. Эти угрозы препятствуют нормальной работе бизнеса, вызывают простои и требуют постоянного применения новых патчей для программного обеспечения. Для того, чтобы гарантировать соответствие всех проводных и беспроводных устройств, пытающихся получить доступ к сети, корпоративной политике безопасности, нужно обеспечить полную прозрачность и управляемость всех оконечных устройств. Зараженные или уязвимые оконечные устройства необходимо автоматически выявлять, изолировать и "лечить".
Приоритетное решение:
Технология NAP позволяет ограничить доступ к сети, разрешая его только хостам, удовлетворяющим требованиям безопасности. С помощью данной технологии можно создавать различные политики для проверки состояния компьютера, перед тем как разрешить ему доступ в сеть. Компьютерам, не удовлетворяющим этим требованиям можно, к примеру, разрешить доступ только в карантинную зону, где они смогут установить необходимые обновления, или же запретить доступ совсем.
С помощью NAP администратор может назначить специальные политики соответствия, которые должны быть удовлетворены, прежде чем клиентский компьютер сможет обратиться к сетевым ресурсам. Если клиентский компьютер не соответствует требованиям к состоянию, он помещается в карантин (с ограниченным доступом к определенным узлам) или просто не получает доступа.
Кроме того, NAP может автоматически скорректировать настройки не отвечающих требованиям клиентских систем, по возможности обновляя компьютеры в соответствии с корпоративной политикой. В зависимости от типа клиентских соединений администратор настраивает метод принудительного применения NAP. NAP обеспечивает соответствие требованиям для следующих типов соединений:
соединения с защитой Ipsec;
соединения с проверкой подлинности IEEE 802.1x;
VPN-соединения;
DHCP-управляемые соединения;
соединения шлюза служб терминалов.
Меня, как администратора локальной сети образовательного учреждения, не требующей удаленных подключений, интересует, в первую очередь, реализация NAP для DHCP-управляемых соединений. Использование NAP в сочетании с DHCP позволяет защитить сеть от всех потенциально небезопасных клиентов, управляемых через DHCP (т. е. получающих IP-адреса от службы DHCP), в том числе NAP-совместимых настольных компьютеров-резидентов.
К NAP-совместимым операционным системам относятся Windows Vista и последующие версии (по умолчанию) и Windows XP SP2 с программой NAP-клиента (ныне представленной бета-версией 3). NAP-клиент также входит в состав XP SP3. Более старые операционные системы не поддерживаются, так как в NAP используется информация от компонента Windows Security Center (WSC), который имеется только в ОС начиная с Vista и XP SP2.
Преимущество NAP заключается в том, что область применения не ограничивается только технологиями Microsoft. Использовать NAP может любая система, способная передать сведения о своем состоянии серверу NAP. Компания Microsoft сотрудничает со многими поставщиками оборудования и программных продуктов и другими партнерскими компаниями, помогая им проектировать NAP-совместимые устройства и программы. Чтобы использовать NAP для управляемых службой DHCP соединений, требуется подготовить среду, настроить политики состояния, составить сетевые политики для NAP, настроить DHCP для NAP и реализовать NAP на клиентской стороне.
Альтернативы:
В Windows Server 2003 SP1 реализована технология помещения в карантин Network Access Quarantine (NAQ), с помощью которой администраторы могут ограничить или запретить подключение к компьютерам, не соответствующим политикам безопасности компании. Однако у NAQ много недостатков. Во-первых, технология применима только к VPN-соединениям и не обезопасит сеть от незащищенных пользователей и даже от пользователей с физическим подключением к сети (например, через ноутбуки сотрудников). Во-вторых, в основе NAQ лежат составленные вручную сценарии (реализованные через диспетчер соединений), которые необходимо запустить на клиентской системе, прежде чем ему будет предоставлен VPN-доступ. Эти сценарии проверяют, в частности, состояние брандмауэра и антивирусной защиты, наличие хранителя экрана с паролем и состояние Internet Connection Sharing. Помимо того что подготовка сценариев — трудоемкая задача, отнимающая много времени, различные типы программ защиты на клиентской стороне могут стать источником проблем. Например, если на VPN-клиентах установлены разные антивирусные программы, то для каждой программы необходимо подготовить специальный сценарий и использовать свой пакет диспетчера соединений. Данное решение — статическое. После того как клиент пройдет все проверки и основной сценарий сообщит серверу о состоянии клиента, пользователь волен отключить брандмауэр, антивирусную программу и все остальные функции безопасности. Эти действия не будут обнаружены, и уровень доступа к ресурсам останется неизменным.
Фильтр MAC – адресов (протокол управления доступом к (передающей) среде). Каждое сетевое устройство имеет свой собственный уникальный MAC Address.
Зная этот адрес можно легко определить какой компьютер подключен к сети. Идя от обратного можно просто записать все МАС-адреса в сети на сервер либо на маршрутизатор либо на управляемый свитч с присвоением им IP адреса. Почти на всех современных устройствах или ноутбуках, имеющих функцию Wi-Fi, MAC адрес напечатан на обратной стороне устройства, либо прописан в настройках.
Как я уже сказал, возможно это реализовать с помощью сервера – программно (настройка службы DHCP) либо с помощью дополнительного оборудования (маршрутизаторы, свитчи и т.п.) Маршрутизатор способен отслеживать все MAC адреса, к которым подсоединен.
Есть несколько недостатков по которым это решение не подходит:
Большие трудозатраты:
Необходимо вручную «перебивать» МАС-адреса всех компьютеров сети;
При добавлении нового компьютера в сеть опять прийдется перенастраивать существующие установки;
Если необходимо подключить ноутбук, плашет и т.п. удостройство с доступом в сеть сторонней организации или того же самого ученика к сети, то прийдется добавлять его, а после выполнения работы удалять из настроек.
Неэффективность:
Практически любой старшекласник знает как можно изменить МАС-адрес карты => защиту легко обойти;
Даже если этот тот самый компьютер с нужным адресом, то на нем может быть целый «зверинец» различных «вирусов», «червей», «троянов» и т.п., принесенных на флешке, диске из дому, которые тут же попадут в сеть и соответственно на другие незараженные компьютеры;
Более продвинутые начинающие «хакеры» наверняка знают что такое «сниффинг». Сниффинг (Sniffing) - это перехват пакетов, передающихся между двумя компьютерами. Перехват может произойти в любой точке маршрута данных. В локальной сети перехватчиком может быть любой узел сети, в интернет - провайдер. В сетях, построенных на основе TCP/IP, вся информация передается, в основном, в открытом виде (в том числе и всякие секретные данные - пароли и логины). Поэтому очень выгодно бывает настроить на одной машине софт, который будет просматривать все пакеты, проходящие по сети, и проверять, не содержится ли в них каких-нибудь паролей. Это и есть сниффинг. А такой софт называется сниффером.
В случае добавления маршрутизаторов, свитчей для контроля по МАС-адресам необходимо дополнительно оборудование, его настройка установка и возможно частичное перестроение сети.
К преимуществам метода можно отнести очень простую настройку (простую, но очень рутинную, длительную по времени) сводящуюся с переписывания МАС-адресов с клиентских компьютеров в базу DHCP на сервере либо на роутере (свитче).
Таким образом, данный метод категорически меня не устраивает.
Использование технологии Cisco® Network Admission Control (NAC)
Отличная защита, использующая технологию подобную NAP, с даже большими возможностями, не привязанную к серверу. Решение NAC Framework позволяет применять привилегии доступа на сетевых устройствах Cisco, в том числе на маршрутизаторах и коммутаторах, при попытке оконечного устройства подключиться к управляемой сети. Решение о предоставлении доступа к сети принимается исходя из сведений об оконечном устройстве, например о текущем состоянии его программного обеспечения, в частности, о наличии антивирусных программ и уровне патчей для операционной системы.
Решение NAC Framework позволяет выбрать один из трех вариантов действий в отношении устройств, не прошедших проверку на соответствие требованиям безопасности: им можно запретить доступ, их можно поместить в карантинную зону и, наконец, им можно предоставить ограниченные права на доступ к сетевым ресурсам. NAC Framework проверяет соответствие устройств политике безопасности сети WLAN на точках доступа в момент, когда клиенты WLAN пытаются подключиться к сети. Точки доступа WLAN реализуют политику NAC с помощью сетей VLAN. Сервер RADIUS** помещает не отвечающих требованиям политики безопасности клиентов WLAN в карантинную или "лечебную" сеть VLAN/мобильную группу на автономной точке доступа или на контроллере беспроводной сети в случае "облегченных" точек доступа
Практически по всем параметрам NAC превосходит выбранный мной метод (NAP), но использование столь мощной системы защиты, просто нецелесообразно в обычном образовательном учреждении.
Основным недостатком в данном случае является стоимость решения: от 517 138 руб., притом вряд ли стоимость NAC вряд ли окупится, скорее наоборот.
Резюме:
В результате сравнений возможных средств защиты сети в доменной инфраструктуре я убедился в правильности выбранного изначально решения - Network Access Protection, а именно: это решение подходящее по возможностям и уровню защиты для локальной сети лицея с количеством ПК – 140шт при этом стоимость ОС Windows Server 2008 – около 20000 р., при том мы получаем все необходимые функции по защите доступа к сети и, «в дополнение» лицензионный сервер Microsoft, который помимо защиты сети выполняет множество других необходимых задач.
Если бы сеть состояла из более 500 машин, активно обменивающимся ценным и конфиденциальным трафиком имело бы смысл использовать решение Cisco® Network Admission Control (NAC), стоимость которого в десятки раз превышает стоимость NAP, но в данной ситуации это не самое подходящее средство.
Если бы стоял вопрос безопасности в SOHO-сети (офисная сеть с небольшим количеством компьютеров), то возможно было бы использовать привязку к МАС-адресу и фильтр МАС-адресов. Т.к. компьютеров в сети мало администратор всегда заметит появление постороннего ПК подключенного к такой сети.
Эффект:
В результате внедрения и использования Network Access Protection можно было бы сократить «нелегальное использование внутрисетевого и интернет трафика, количество внутрисетевых вирусов, троянов и т.п., пресечь попытки обучающихся использовать информацию, предназначенную для преподавателей и предоставить приходящим родителям, работникам других школ возможность использования той части сети в которую им будет разрешён доступ.