Первая глава

Проблема:

Сети должны быть защищены от угроз безопасности, таких, как вирусы, черви и шпионское программное обеспечение. Эти угрозы препятствуют нормальной работе бизнеса, вызывают простои и требуют постоянного применения новых патчей для программного обеспечения. Для того, чтобы гарантировать соответствие всех проводных и беспроводных устройств, пытающихся получить доступ к сети, корпоративной политике безопасности, нужно обеспечить полную прозрачность и управляемость всех оконечных устройств. Зараженные или уязвимые оконечные устройства необходимо автоматически выявлять, изолировать и "лечить".

Приоритетное решение:

Технология NAP позволяет ограничить доступ к сети, разрешая его только хостам, удовлетворяющим требованиям безопасности. С помощью данной технологии можно создавать различные политики для проверки состояния компьютера, перед тем как разрешить ему доступ в сеть. Компьютерам, не удовлетворяющим этим требованиям можно, к примеру, разрешить доступ только в карантинную зону, где они смогут установить необходимые обновления, или же запретить доступ совсем.

С по­мо­щью NAP ад­ми­ни­стра­тор может на­зна­чить спе­ци­аль­ные по­ли­ти­ки со­от­вет­ствия, ко­то­рые долж­ны быть удо­вле­тво­ре­ны, пре­жде чем кли­ент­ский ком­пью­тер смо­жет об­ра­тить­ся к се­те­вым ре­сур­сам. Если кли­ент­ский ком­пью­тер не со­от­вет­ству­ет тре­бо­ва­ни­ям к со­сто­я­нию, он по­ме­ща­ет­ся в ка­ран­тин (с огра­ни­чен­ным до­сту­пом к опре­де­лен­ным узлам) или про­сто не по­лу­ча­ет до­сту­па.

Кроме того, NAP может ав­то­ма­ти­че­ски скор­рек­ти­ро­вать на­строй­ки не от­ве­ча­ю­щих тре­бо­ва­ни­ям кли­ент­ских си­стем, по воз­мож­но­сти об­нов­ляя ком­пью­те­ры в со­от­вет­ствии с кор­по­ра­тив­ной по­ли­ти­кой. В за­ви­си­мо­сти от типа кли­ент­ских со­еди­не­ний ад­ми­ни­стра­тор на­стра­и­ва­ет метод при­ну­ди­тель­но­го при­ме­не­ния NAP. NAP обес­пе­чи­ва­ет со­от­вет­ствие тре­бо­ва­ни­ям для сле­ду­ю­щих типов со­еди­не­ний:

• со­еди­не­ния с за­щи­той Ipsec;

• со­еди­не­ния с про­вер­кой под­лин­но­сти IEEE 802.1x;

• VPN-со­еди­не­ния;

• DHCP-управ­ля­е­мые со­еди­не­ния;

• со­еди­не­ния шлюза служб тер­ми­на­лов.

Меня, как администратора локальной сети образовательного учреждения, не требующей удаленных подключений, интересует, в первую очередь, ре­а­ли­за­ция NAP для DHCP-управ­ля­е­мых со­еди­не­ний. Ис­поль­зо­ва­ние NAP в со­че­та­нии с DHCP поз­во­ля­ет за­щи­тить сеть от всех по­тен­ци­аль­но небез­опас­ных кли­ен­тов, управ­ля­е­мых через DHCP (т. е. по­лу­ча­ю­щих IP-ад­ре­са от служ­бы DHCP), в том числе NAP-сов­ме­сти­мых на­столь­ных ком­пью­те­ров-ре­зи­ден­тов.

К NAP-сов­ме­сти­мым опе­ра­ци­он­ным си­сте­мам от­но­сят­ся Windows Vista и последующие версии (по умол­ча­нию) и Windows XP SP2 с про­грам­мой NAP-кли­ен­та (ныне пред­став­лен­ной бе­та-вер­си­ей 3). NAP-кли­ент также входит в со­став XP SP3. Более ста­рые опе­ра­ци­он­ные си­сте­мы не под­дер­жи­ва­ют­ся, так как в NAP ис­поль­зу­ет­ся ин­фор­ма­ция от ком­по­нен­та Windows Security Center (WSC), ко­то­рый име­ет­ся толь­ко в ОС начиная с Vista и XP SP2.

Пре­иму­ще­ство NAP за­клю­ча­ет­ся в том, что об­ласть при­ме­не­ния не огра­ни­чи­ва­ет­ся толь­ко тех­но­ло­ги­я­ми Microsoft. Ис­поль­зо­вать NAP может любая си­сте­ма, спо­соб­ная пе­ре­дать све­де­ния о своем со­сто­я­нии сер­ве­ру NAP. Ком­па­ния Microsoft со­труд­ни­ча­ет со мно­ги­ми по­став­щи­ка­ми обо­ру­до­ва­ния и про­грамм­ных про­дук­тов и дру­ги­ми парт­нер­ски­ми ком­па­ни­я­ми, по­мо­гая им про­ек­ти­ро­вать NAP-сов­ме­сти­мые устрой­ства и про­грам­мы. Чтобы ис­поль­зо­вать NAP для управ­ля­е­мых служ­бой DHCP со­еди­не­ний, тре­бу­ет­ся под­го­то­вить среду, на­стро­ить по­ли­ти­ки со­сто­я­ния, со­ста­вить се­те­вые по­ли­ти­ки для NAP, на­стро­ить DHCP для NAP и ре­а­ли­зо­вать NAP на кли­ент­ской сто­роне.

Альтернативы:

1. В Windows Server 2003 SP1 ре­а­ли­зо­ва­на тех­но­ло­гия по­ме­ще­ния в ка­ран­тин Network Access Quarantine (NAQ), с по­мо­щью ко­то­рой ад­ми­ни­стра­то­ры могут огра­ни­чить или за­пре­тить под­клю­че­ние к ком­пью­те­рам, не со­от­вет­ству­ю­щим по­ли­ти­кам без­опас­но­сти ком­па­нии. Од­на­ко у NAQ много недо­стат­ков. Во-пер­вых, тех­но­ло­гия при­ме­ни­ма толь­ко к VPN-со­еди­не­ни­ям и не обез­опа­сит сеть от неза­щи­щен­ных поль­зо­ва­те­лей и даже от поль­зо­ва­те­лей с фи­зи­че­ским под­клю­че­ни­ем к сети (на­при­мер, через но­ут­бу­ки со­труд­ни­ков). Во-вто­рых, в ос­но­ве NAQ лежат со­став­лен­ные вруч­ную сце­на­рии (ре­а­ли­зо­ван­ные через дис­пет­чер со­еди­не­ний), ко­то­рые необ­хо­ди­мо за­пу­стить на кли­ент­ской си­сте­ме, пре­жде чем ему будет предо­став­лен VPN-до­ступ. Эти сце­на­рии про­ве­ря­ют, в част­но­сти, со­сто­я­ние бранд­мау­э­ра и ан­ти­ви­рус­ной за­щи­ты, на­ли­чие хра­ни­те­ля экра­на с па­ро­лем и со­сто­я­ние Internet Connection Sharing. По­ми­мо того что под­го­тов­ка сце­на­ри­ев — тру­до­ем­кая за­да­ча, от­ни­ма­ю­щая много вре­ме­ни, раз­лич­ные типы про­грамм за­щи­ты на кли­ент­ской сто­роне могут стать ис­точ­ни­ком про­блем. На­при­мер, если на VPN-кли­ен­тах уста­нов­ле­ны раз­ные ан­ти­ви­рус­ные про­грам­мы, то для каж­дой про­грам­мы необ­хо­ди­мо под­го­то­вить спе­ци­аль­ный сце­на­рий и ис­поль­зо­вать свой пакет дис­пет­че­ра со­еди­не­ний. Дан­ное ре­ше­ние — ста­ти­че­ское. После того как кли­ент прой­дет все про­вер­ки и ос­нов­ной сце­на­рий со­об­щит сер­ве­ру о со­сто­я­нии кли­ен­та, поль­зо­ва­тель волен от­клю­чить бранд­мау­эр, ан­ти­ви­рус­ную про­грам­му и все осталь­ные функ­ции без­опас­но­сти. Эти дей­ствия не будут об­на­ру­же­ны, и уро­вень до­сту­па к ре­сур­сам оста­нет­ся неиз­мен­ным.

2. Фильтр MAC – адресов (протокол управления доступом к (передающей) среде).  Каждое сетевое устройство имеет свой собственный уникальный MAC Address.

Зная этот адрес можно легко определить какой компьютер подключен к сети. Идя от обратного можно просто записать все МАС-адреса в сети на сервер либо на маршрутизатор либо на управляемый свитч с присвоением им IP адреса. Почти на всех современных устройствах или ноутбуках, имеющих функцию Wi-Fi, MAC адрес напечатан на обратной стороне устройства, либо прописан в настройках.

Как я уже сказал, возможно это реализовать с помощью сервера – программно (настройка службы DHCP) либо с помощью дополнительного оборудования (маршрутизаторы, свитчи и т.п.) Маршрутизатор способен отслеживать все MAC адреса, к которым подсоединен.

Есть несколько недостатков по которым это решение не подходит:

Большие трудозатраты:

• Необходимо вручную «перебивать» МАС-адреса всех компьютеров сети;

• При добавлении нового компьютера в сеть опять прийдется перенастраивать существующие установки;

• Если необходимо подключить ноутбук, плашет и т.п. удостройство с доступом в сеть сторонней организации или того же самого ученика к сети, то прийдется добавлять его, а после выполнения работы удалять из настроек.

Неэффективность:

• Практически любой старшекласник знает как можно изменить МАС-адрес карты => защиту легко обойти;

• Даже если этот тот самый компьютер с нужным адресом, то на нем может быть целый «зверинец» различных «вирусов», «червей», «троянов» и т.п., принесенных на флешке, диске из дому, которые тут же попадут в сеть и соответственно на другие незараженные компьютеры;

• Более продвинутые начинающие «хакеры» наверняка знают что такое «сниффинг». Сниффинг (Sniffing) - это перехват пакетов, передающихся между двумя компьютерами. Перехват может произойти в любой точке маршрута данных. В локальной сети перехватчиком может быть любой узел сети, в интернет - провайдер. В сетях, построенных на основе TCP/IP, вся информация передается, в основном, в открытом виде (в том числе и всякие секретные данные - пароли и логины). Поэтому очень выгодно бывает настроить на одной машине софт, который будет просматривать все пакеты, проходящие по сети, и проверять, не содержится ли в них каких-нибудь паролей. Это и есть сниффинг. А такой софт называется сниффером. 

В случае добавления маршрутизаторов, свитчей для контроля по МАС-адресам необходимо дополнительно оборудование, его настройка установка и возможно частичное перестроение сети.

К преимуществам метода можно отнести очень простую настройку (простую, но очень рутинную, длительную по времени) сводящуюся с переписывания МАС-адресов с клиентских компьютеров в базу DHCP на сервере либо на роутере (свитче).

Таким образом, данный метод категорически меня не устраивает.

3. Использование технологии Cisco® Network Admission Control (NAC)

Отличная защита, использующая технологию подобную NAP, с даже большими возможностями, не привязанную к серверу. Решение NAC Framework позволяет применять привилегии доступа на сетевых устройствах Cisco, в том числе на маршрутизаторах и коммутаторах, при попытке оконечного устройства подключиться к управляемой сети. Решение о предоставлении доступа к сети принимается исходя из сведений об оконечном устройстве, например о текущем состоянии его программного обеспечения, в частности, о наличии антивирусных программ и уровне патчей для операционной системы.

Решение NAC Framework позволяет выбрать один из трех вариантов действий в отношении устройств, не прошедших проверку на соответствие требованиям безопасности: им можно запретить доступ, их можно поместить в карантинную зону и, наконец, им можно предоставить ограниченные права на доступ к сетевым ресурсам.  NAC Framework проверяет соответствие устройств политике безопасности сети WLAN на точках доступа в момент, когда клиенты WLAN пытаются подключиться к сети. Точки доступа WLAN реализуют политику NAC с помощью сетей VLAN. Сервер RADIUS** помещает не отвечающих требованиям политики безопасности клиентов WLAN в карантинную или "лечебную" сеть VLAN/мобильную группу на автономной точке доступа или на контроллере беспроводной сети в случае "облегченных" точек доступа

Практически по всем параметрам NAC превосходит выбранный мной метод (NAP), но использование столь мощной системы защиты, просто нецелесообразно в обычном образовательном учреждении.

Основным недостатком в данном случае является стоимость решения: от 517 138 руб., притом вряд ли стоимость NAC вряд ли окупится, скорее наоборот.

Резюме:

В результате сравнений возможных средств защиты сети в доменной инфраструктуре я убедился в правильности выбранного изначально решения - Network Access Protection, а именно: это решение подходящее по возможностям и уровню защиты для локальной сети лицея с количеством ПК – 140шт при этом стоимость ОС Windows Server 2008 – около 20000 р., при том мы получаем все необходимые функции по защите доступа к сети и, «в дополнение» лицензионный сервер Microsoft, который помимо защиты сети выполняет множество других необходимых задач.

Если бы сеть состояла из более 500 машин, активно обменивающимся ценным и конфиденциальным трафиком имело бы смысл использовать решение Cisco® Network Admission Control (NAC), стоимость которого в десятки раз превышает стоимость NAP, но в данной ситуации это не самое подходящее средство.

Если бы стоял вопрос безопасности в SOHO-сети (офисная сеть с небольшим количеством компьютеров), то возможно было бы использовать привязку к МАС-адресу и фильтр МАС-адресов. Т.к. компьютеров в сети мало администратор всегда заметит появление постороннего ПК подключенного к такой сети.

Эффект:

В результате внедрения и использования Network Access Protection можно было бы сократить «нелегальное использование внутрисетевого и интернет трафика, количество внутрисетевых вирусов, троянов и т.п., пресечь попытки обучающихся использовать информацию, предназначенную для преподавателей и предоставить приходящим родителям, работникам других школ возможность использования той части сети в которую им будет разрешён доступ.