Sakaru Pasaule - Žurnāls par
modernām komunikācijām

  
  


Atpakaļ Jaunais numurs Arhīvs Par mums Meklēšana

Ko pagājušonakt darīja tavs dators?

   

1

Pirmdiena, 9.00 no rīta. Vai tu zini, ko pagājušonakt darīja tavs dators? Bijis kontaktā ar šaubīgiem tīkliem? Bez autorizācijas ir lejupielādēta un uzstādīta jauna programmatūra? Vai arī tieši otrādi, tavam portatīvajam datoram pietrūkst jaunāko pretvīrusu un kritisku operācijas sistēmu labojumu, jo biji aizkavējies komandējumā? No rīta dators tiek ieslēgts tieši organizācijas lokālajā tīklā, ļaujot vīrusam, datortārpam vai kādam citam apdraudētājam, apejot rūpīgi sargāto korporatīvā tīkla perimetru, piekļūt uzņēmuma IT sistēmām, bet viens vienīgs uzņēmuma drošības standartiem neatbilstošs dators var paralizēt visu organizācijas tīklu.

 

Virtuālās drošības slēdzenes

Mūsdienās gan valsts, gan privātā biznesa struktūras darbības nodrošināšanai izmanto internetu un ar to saistītas tehnoloģijas, lai efektīvāk komunicētu ar klientiem, piegādātājiem un partneriem. Ļaujot arvien plašākam lietotāju skaitam pieslēgties organizāciju IT infrastruktūras dažādām daļām, paaugstinās darbības efektivitāte, diemžēl tas rada arī papildu risku IT drošībai.

Hakeru uzbrukumu, vīrusu un datortārpu izplatība ir sasniegusi epidēmisku raksturu, kas nodara nopietnus zaudējumus uzņēmumu IT infrastruktūrai un darba ražībai. Organizācijas ir spiestas patērēt arvien vairāk laika un līdzekļu, lai cīnītos pret minētajiem draudiem, tomēr drošības pasākumi nereti nav pietiekami. Lai novērstu elektroniskos draudus, tiek ieviestas dažādas industrijas un valdību izstrādātas prasības un ierobežojumi, piemēram, ASV Sarbanes-Oxley Act (SOX), Health Insurance Portability and Accountability Act (HIPAA), Basel II Accord un citi. Papildus tam daudzi uzņēmumi lieto pašu vai konsultantu firmu izstrādātus IT drošības standartus.

Draudus organizācijas IT struktūrai var iedalīt divās kategorijās:

tajos, kas saistīti ar lietotāja identitāti un autorizāciju;

lietotāja neatbilstība uzņēmuma IT standartiem, jo pat autorizēts lietotājs var nopietni apdraudēt uzņēmuma IT sistēmu, ja viņa dators nav apgādāts ar pretvīrusu programmatūru un jaunākajiem programmatūras labojumiem.

Parasti organizācijās ar plašu un sarežģītu IT infrastruktūru tiek izstrādāta IT drošības politika, kas dažādām klientu grupām (klienti var būt visdažādākās iekārtas - PC, printeri, plaukstdatori utt.) nosaka prasības to drošībai. Tipiski drošības standarti ietver prasības operāciju sistēmai un tās jauninājumiem, pretvīrusu programmatūras versijai un pēdējai pilnajai pretvīrusu pārbaudei, personiskā ugunsmūra programmatūrai un lietotāja identifikācijai, piemēram, paroles sarežģītībai un atjaunošanas biežumam.

Risinot šos jautājumus, uzņēmuma IT nodaļu vadītāji saskaras ar dilemmu. Ir nepieciešams IT drošības latiņu uzstādīt pietiekami augstu, jo nereti visa uzņēmuma, piemēram, bankas darbība, ir atkarīga no informācijas drošības. No otras puses, pārāk daudz virtuāli piekārtās slēdzenes var būtiski mazināt lietotāju un līdz ar to visas organizācijas produktivitāti. Protams, tas ir pamatoti, ja lietotājam ir liegta pieeja korporatīvajam tīklam, ja nav instalēti kādi kritiski programmatūras labojumi, bet vienlaikus IT administratoram dažkārt fiziski nav iespējams laikus novērst šos trūkumus. Rezultātā lietotājs, kamēr nav atlabojis savu datoru atbilstoši standartam, ir atslēgts no tīkla un nevar produktīvi strādāt. Tātad bez lietotāja identifikācijas un autorizācijas un drošības politikai neatbilstoša lietotāja gala iekārtas atklāšanas ir nepieciešamas procedūras un rīki, kas atjauno klienta atbilstību organizācijas drošības standartiem.

Cisco Systems un IBM iniciatīva

Cisco Systems 2003. gada nogalē nāca klajā ar paziņojumu par Self Defending Network tīkla aizsardzības stratēģiju, kuras mērķis ir veidot datortīklu, kas pats identificēs draudus drošībai, tos novērsīs un piemērosies jaunajai situācijai. Self Defending Network centrālais elements ir Cisco Network Admission Control (NAC), kas nodrošina vai liedz pieeju organizācijas korporatīvajam tīklam, balstoties uz organizācijas informācijas drošības politiku. Šī politika var ietvert gan lietotāju un gala iekārtu identitātes kontroli, gan to atbilstību drošības standartiem. Sistēmas, kas neatbilst šiem standartiem, nonāk karantīnas tīklā, kur tās var tikt atlabotas, un pēc tam tām tiek dota pieeja organizācijas tīkla resursiem. Atlabošana parasti ietver jaunāko OS labojumu instalēšanu, pretvīrusu aizsardzības instalāciju un pārbaudi, kā arī sistēmas konfigurācijas labojumus.

Savukārt IBM šā gada sākumā Enterprise Class Autonomic Computing Model iniciatīvas ietvaros nāca klajā ar vairākiem produktiem, kas integrējas Cisco NAC tehnoloģijā. IBM Tivoli Security Compliance Manager (SCM) un IBM Tivoli Provisioning Manager (TPM) jaunajās versijās ir iestrādātas īpašības, kas uzlabo uzņēmuma biznesa aplikāciju pieejamību, samazinot vīrusu un datortārpu radītos draudus. Abi produkti tagad darbojas kopā ar Cisco Secure Access Control Server (ACS) programmatūru.

IBM Tivoli Security Compliance Manager (SCM) palīdz definēt un ieviest IT drošības politiku. Programmatūra ir iepriekš konfigurēta, lai lietotājam atliktu tikai pieskaņot to savām vajadzībām. SCM pārbauda lietotāju galiekārtas, kas mēģina pieslēgties organizācijas tīklam, izgaismojot tās, kuras neatbilst korporatīvajai drošības politikai. Pēc būtības SCM darbojas kā ātrās reaģēšanas brīdinājuma sistēma, identificējot draudus tīkla drošībai, lai uzņēmums varētu tiem pievērsties, pirms ir nodarīts kaitējums. SCM veic serveru un datoru drošības pārbaudi gan pirms, gan pēc to pieslēgšanās tīklam. SCM aktivizē TPM atlabošanas sistēmu, kas karantīnā izolētās iekārtas atjauno atbilstoši drošības standartiem.

IBM Tivoli Provisioning Manager (TPM) automatizē serveru, operāciju sistēmu, programmatūras, datu glabātavu un tīkla iekārtu apgādi ar labojumiem. Programmatūra izmanto darba plūsmu (workflow) vadības metodi, kas spēj pārvaldīt un konfigurēt visu lielāko ražotāju produktus. Tādējādi uzņēmums var centralizēti pārvaldīt galiekārtu programmatūru un konfigurācijas. TPM automatizēti atlabo neatbilstošu klientu iekārtu, instalējot programmatūru vai atjaunojot konfigurāciju uzstādījumus.

Kā tas darbojas

Tātad Cisco NAC seko, lai drošības politika tiktu ievērota visām tīklā saslēgtajām lietotāju ierīcēm: galda, plaukstas un portatīvajiem datoriem, kā arī serveriem. NAC aģents Cisco Trust Agent (CTA) aptaujā klientus par programmatūras stāvokli, piemēram, antivīrusa, personiskā ugunsmūra, OS labojumu, un citu klienta datora komponentu veselības stāvokli. CTA strādā ar Windows 2000, NT un XP, kā arī Windows Server 2003, Red Hat Linux un Unix operāciju sistēmām. CTA savāktā informācija caur komutatoru tiek nodota Cisco Secure Access Control serverim (ACS). Klients un komutators izmanto 802.1x par transporta protokolu; klienta dati tiek noraidīti uz ACS, izmantojot Extensible Authentication Protocol (EAP) protokolu.

ACS pārbauda šo informāciju IBM Tivoli Security Compliance Manager (SCM), kas uztur un realizē uzņēmuma datu drošības politiku. Pēc pārbaudes ACS atkal pārraida SCM lēmumu komutatoram, kas pozitīvas atbildes rezultātā dod pieeju tīklam, bet, ja klients neatbilst drošības politikas prasībām, tas tiek novietots karantīnas tīklā. Šajā drošajā tīklā var notikt datora drošības standartu atjaunošana, izmantojot IBM Tivoli Provisioning Manager (TPM). Kad datora atbilstība drošības prasībām ir atjaunota, klients var pieslēgties tīklam.

Citi spēlētāji

Programmatūras gigants Microsoft savukārt piedāvā Network Admission Protection (NAP) risinājumu. Atšķirībā no Cisco NAC, kas paredz drošības standartiem neatbilstoša klienta nepielaišanu datortīklā un tā izolāciju karantīnā, NAP drošības politikas realizēšanai izmanto operāciju sistēmu. NAP shēma balstās uz IP adreses kontrolēšanu ar DHCP palīdzību. Kad PC pieprasa IP adresi no DHCP servera, tas aktivizē speciālu karantīnas aģentu Quarantine Agent (QA) uz PC, lai pārbaudītu sistēmas statusu. DHCP nodod šo informāciju Internet Authentication Service (IAS) serverim, kas veic sistēmas veselības salīdzinājumu ar standartu. Pēc pārbaudes IAS instruē DHCP piešķirt PC IP adresi vai ne. Pašlaik problēma ir tā, ka shēmas darbināšanai ir nepieciešama Windows Longhorn servera versija, kas tiek plānota tikai uz 2007. gadu.

Bez jau minētajiem Cisco, IBM un Microsoft pie saviem risinājumiem strādā arī citi piegādātāji. Piemēram, Enterasys Trusted End System, izmantojot Matrix komutatorus un NetSight serveri, veido līdzīgu risinājumu kā Cisco NAC. Savukārt Vernier Networks, kas sākotnēji fokusējās uz informācijas drošību bezvadu datu pārraides risinājumos, ir nākusi klajā ar EdgeWall iekārtām, kas novietotas pirms komutatora vai bezvadu piekļuves punkta un aptaujā klientus, kuri vēlas piekļūt tīklam, un dod tiem piekļuvi atkarībā no saņemtajām atbildēm. Tās arī uzmana tīkla satiksmes plūsmas, lai atklātu vīrusu vai citu nevēlamu programmu klātbūtni. EdgeWall iekārtām diemžēl jāielogojas katrā no pārbaudāmajām sistēmām, lai konstatētu tās atbilstību, un šā iemesla dēļ tām nepieciešama pieeja pie klienta autentifikācijas informācijas.

No šiem ražotājiem šobrīd Cisco Systems un IBM risinājums ir krietni pārāks par konkurentu piedāvājumu, jo tas paredz ne vien atklāt un izolēt drošības standartiem neatbilstošus klientus, bet arī to novietošanu karantīnā un atlabošanu. Turklāt SCM un TPM ir atsevišķi moduļi Tivoli pārvaldes rīku saimē, un tos var ērti apvienot ar citiem Tivoli produktiem, piemēram, Tivoli Identity Manager un Tivoli Configuration Manager(vairāk informācijas par Tivoli www.ibm.com/tivoli). Ne mazāk svarīgs ir apstāklis, ka Cisco Systems un IBM risinājums ir OS neatkarīgs; tas atbalsta ne tikai Windows platformu, bet arī Unix un Linux.

Nākotnē daudz būs atkarīgs no tā, vai Cisco Systems savā NAC risinājumā spēs iesaistīt arī citus programmatūras un tīkla aparatūras piegādātājus tā, ka šī arhitektūra kļūs par industrijas standartu.

 

 

Jaunie Cisco Systems un IBM risinājumi ļauj organizācijām:

  • apvienot Cisco Systems un IBM produktus vienā pārvaldes shēmā, kas ļauj efektīvi pārvaldīt tīkla piekļuves politiku un galiekārtu atbilstību drošības standartiem;
  • palīdz nodrošināt konsekventu drošības politikas ievērošanu visā tīklā ar automatizētu biznesa procesu;
  • automātiski veic tīklā pieslēgto galiekārtu drošības pārbaudes un nodrošina drošības standartiem neatbilstošu iekārtu atlabošanu;
  • samazina kļūdu skaitu, kuras var rasties manuālās drošības pārbaudēs;
  • nodrošina lietotājiem labāku pieejamību tīkla resursiem un aplikācijām;
  • savāc un analizē datus par sistēmu drošību, lai varētu sekmīgi veikt drošības auditus.

Mārtiņš GRANTS

 
Design and programming by Anton Alexandrov - 2001