Альтернативы точечным решениям NAC

Популярность средств контроля над сетевым доступом (Network Access Control, NAC) достигла астрономических масштабов. И, как частенько бывает в неоправданно раздутом рыночном сегменте, продукты, функции которых содержат лишь намек на NAC, преподносятся производителями как интегральные компоненты NAC-решений.

В апреле мы попытались оценить роль примерно 30 NAC-продуктов в крупных решениях, базирующихся на инициативе Cisco Network Admission Control (CNAC) или протоколе Trusted Network Connect (TNC) одноименной группы в составе Trusted Computing Group. Оказалось, что базовые функции NAC вполне могут быть обеспечены в рамках CNAC или TNC. Вот только далеко не каждая организация располагает временем, желанием, сетевой инфраструктурой и ресурсами для развертывания полноценной NAC-среды. Отсюда — потребность в комплексных решениях, которые поддерживают аутентификацию и авторизацию, оценку уровня защищенности оконечных устройств, принудительное исполнение политик контроля над доступом и управление соответствующими средствами.

На сей раз мы протестировали 13 таких решений, предлагаемых Bradford Networks, Check Point Software, Cisco, ConSentry Networks, ForeScout Technologies, InfoExpress, Juniper Networks, Lockdown Networks, McAfee, StillSecure, Symantec, TrendMicro и Vernier Networks. В процессе оценки функций аутентификации и авторизации проверялись опции, доступные при физическом подключении к сети. Мы имели дело с продуктами, в которых используются схемы аутентификации, не соответствующие стандартному протоколу 802.1X. Это позволяет им, в частности, упрощать мониторинг, контролировать сетевые коммутаторы и даже самим выступать в роли коммутаторов уровня доступа. Наш выбор был обусловлен тем, что многие организации предпочли бы развернуть NAC-решения еще до внедрения средств 802.1X. Все перечисленные производители предлагают хотя бы один альтернативный подход к аутентификации, поэтому у заказчиков есть возможность выбора.

Оценка информации о среде, зачастую именуемая «оценкой уровня защищенности оконечных устройств», концентрировалась на эффективности сбора сведений об этих устройствах — от общих данных о компьютерах до специфических настроек средств защиты. Изучая принудительное выполнение политик, мы интересовались действиями в отношении системы, на которой обнаруживались несоответствия, после завершения оценки ситуации и выработки политики. Наконец, проверялась способность средств управления поддерживать работу всей NAC-системы (в том числе описание новых политик, получение уведомлений и генерацию отчетов через удобный интерфейс).

Отрадно, что в областях аутентификации, авторизации, а при необходимости — блокирования и восстановления сбойных систем функционирование всех продуктов соответствовало рекламным заявлениям производителей. Однако разные продукты принимали различные ответные меры, поэтому выявить лучшее решение для вашей организации позволит лишь понимание того, какие из возможностей NAC-решений являются ключевыми для конкретной среды.

По итогам тестирования победителем стала разработка Symantec. Другие продукты тоже продемонстрировали отличные результаты в отдельных испытаниях, но именно решение Network Access Control 5.1 от Symantec оказалось лучшим по совокупности тестов. Следом довольно плотной группой разместились продукты ForeScout, Lockdown и Juniper.

Тенденции на рынке NAC-решений

Как показало тестирование функций аутентификации и авторизации, большинство NAC-решений можно эффективно встраивать в действующие сети, причем разными способами. Авторизацию доступа известных и гостевых пользователей по общим каналам ЛС, соединениям удаленного доступа и БЛС поддерживают практически все продукты. Технически эта функция реализуется по-разному, но необходимые гибкость и охват сетевых узлов достигаются в любом случае.

Большинство решений интегрируются со стандартными каталогами пользователей вроде Active Directory компании Microsoft и иными репозиториями на базе протокола LDAP, а также с серверами аутентификации RADIUS. Различия проявляются в том, что в одних случаях аутентификация достигается путем пассивного мониторинга соответствующего трафика (например, пакетов Kerberos) и генерации записи о событии, а в других — только после ввода пользователем его регистрационных данных. Другое различие связано с характером сведений о пользовательских системах, применяемых для авторизации и принудительного выполнения политик. Когда-то именно ключевую роль играет информация о пользователе, а иногда решение о возможности доступа принимается исключительно на основе сведений о пользовательском устройстве. Обе возможности редко поддерживаются одним и тем же решением.

Победителями в тесте на авторизацию и аутентификацию оказались продукты Juniper, Symantec и Vernier, допускающие тесную интеграцию со всеми четырьмя использовавшимися методами установления соединения (по ЛС, удаленный доступ, гостевой вход и беспроводное соединение). К тому же они поддерживают разные технологии аутентификации и позволяют конфигурировать параметры авторизации на основе данных о пользователе либо устройстве.

При тестировании уровня защищенности оконечных устройств оценивались готовые к использованию функции проверки соответствия системным политикам в области антивирусного ПО, статуса брандмауэра, наличия файлов исправлений Windows, имеющих отношение к защите данных, уязвимостей пользовательских устройств и выявления зараженных систем. Необходимые базовые функции поддерживаются большинством продуктов. Различия между ними относятся к механизмам оценки защищенности, простоты настройки параметров проверок и способности выполнять более обстоятельные проверки, например при наличии общих механизмов выявления уязвимостей. Возможности настраиваемых проверок уровня защищенности простирались от простых средств определения значений конкретных ключей системного регистра и свойств файлов до полноценных функций выполнения написанных администратором сценариев.

Победители в тестах на оценивание

В этой категории лидером оказалась разработка Symantec — как по определению уровня защищенности оконечных устройств, так и в плане сбора системной информации. Продукт ForeScout тоже хорошо зарекомендовал себя, прежде всего — благодаря расширенным функциям вроде обнаружения аномальных типов поведения. Кроме того, он может использоваться как полноценная платформа диагностики уязвимостей.

Возможности средств принудительного исполнения политик сильно зависят от особенностей реализации. Скажем, в продуктах, использующих контроль на уровне коммутатора доступа, основные механизмы принудительного исполнения обеспечивают переконфигурирование виртуальных ЛС и изменения в списках контроля над доступом. Устройства, которые непосредственно работают в сети, обычно контролируют доступ к ней на основе правил, поддерживаемых брандмауэром. Иногда они допускают изменения в виртуальных ЛС посредством модификации тегов 802.1Q.

Изменения в виртуальных ЛС реализуются довольно просто, но в этом случае основной проблемой заказчиков будут общее проектирование и администрирование виртуальных ЛС на базе имеющейся сетевой инфраструктуры, хотя все зависит от степени детализации политик контроля над доступом. Использование разных политик для различных корпоративных функций (политики могут различаться даже при несоответствии конфигураций пользовательских систем) может превратить администрирование виртуальных ЛС в сущий кошмар. Результаты тестирования

Другой механизм исполнения политик — так называемое «самопринуждение», реализуемое посредством специального ПО на базе программных агентов. Преимущество такого подхода состоит в обеспечении соответствия оконечного устройства общесетевым правилам даже в том случае, когда оно не подключено к корпоративной сети. Мы рекомендуем использовать данный механизм наряду с сетевыми методами принудительного исполнения политик, такими как описание правил на брандмауэре, модификация виртуальных ЛС и изменение списков доступа на коммутаторе.

Функции устранения обнаруженных несоответствий обычно заставляют пользователей открывать компьютеры для сканирования NAC-продуктом. Как правило, им предлагается перейти на Web-страницу с информацией или программным обеспечением, которые позволят решить проблему самостоятельно. В некоторых разработках реализованы средства упреждающего устранения потенциальных проблем, например удаления нежелательного процесса либо автоматического запуска специальной программы. В роли последней может выступать агент управления файлами обновлений — вроде PatchLink, который принудительно инициирует обновление корпоративного ПО через сервер SMS компании Microsoft или путем выполнения пользовательского сценария.

В тестах на устранение проблем лучше других показали себя продукты ForeScout, Juniper, Lockdown и Symantec. Лидером оказался CounterACT CT100 фирмы ForeScout — благодаря разнообразию и гибкости опций (от изменений виртуальных ЛС до удаления подозрительных процессов).

Разочарование вызвал недостаток ретроспективных сведений о пользователе или устройстве, которые могли бы предоставлять тестируемые решения. Если устройство оказалось в карантине, то какой именно тест оно не прошло? Какие меры были приняты? Какой пользователь регистрировался в сети в это время? С какими еще устройствами он установил связь? Как раньше вели себя данный пользователь и соответствующее устройство в сети? Подобный уровень детализации, без которого развертывание NAC-решения рискует стать пустой тратой денег, поддерживают лишь единичные продукты.

Средства эффективного управления NAC-системой (общий интерфейс описания политик и ежедневного контроля над их исполнением, система экранной помощи и печатная документация, функции уведомления и генерации отчетов) оказались самой слабой стороной протестированных разработок. Графические пользовательские интерфейсы беспорядочны и не отличаются интуитивностью, которая упростила бы работу с ними. Зачастую средства определения политик контроля над доступом (ключевого момента администрирования NAC-систем) так запрятаны в недрах системы, что приступить к их использованию можно только после многочисленных щелчков мышью. Лишь отдельные продукты предоставляют в распоряжение администратора инструментальную панель с полезной информацией. Наиболее удачным оказалось устройство Enforcer компании Lockdown: сразу после регистрации администратора на экран выводится инструментальная панель с обобщенными сведениями; они дают наглядное представление об уровне риска, которому подвержена система, и содержат некоторые детали ее текущего состояния.

Процедура описания политик контроля над доступом, как правило, сопряжена с неоправданными сложностями. Производители без труда достигают высокой гибкости и значительного уровня детализации на уровне механизмов создания политик, но большинство из них не обеспечили простоты работы с этими механизмами через управляющие приложения. Наиболее сложную методику контроля над доступом реализовала в продукте EdgeWall фирма Vernier. Однако, в конечном счете, именно это решение опередило остальные разработки с точки зрения гибкости и уровня детализации при описании политик.

Еще одна группа интересовавших нас функций связана с управлением регистрационными данными администраторов и сотрудников группы поддержки (включая определение их ролей). Мы проверяли, способны ли NAC-решения управлять регистрационными данными администраторов в рамках общего репозитория корпоративных пользователей, а не через отдельную БД потребителей, наделенных полномочиями администратора. Большинство продуктов поддерживает многоролевую структуру, но степень детализации оказалась неодинаковой.

Еще одна чрезвычайно проблемная область — генерация отчетов. Некоторые разработки вообще не поддерживают выдачу отчетов, другие обеспечивают лишь базовые средства поиска. Вряд ли кто-то возьмется оспаривать важность принудительного контроля над доступом с учетом интеграции пользовательских устройств и имеющихся политик. Однако в современных сетевых средах не менее ценны возможности ретроспективного просмотра результатов процедуры, связанной с оценкой уровня защищенности оконечных устройств, и описаний мер в отношении систем, которые не соответствуют заданным политикам.

Хотя в области администрирования все протестированные разработки требуют улучшения, наилучшие результаты продемонстрировали продукты Check Point, ForeScout и Lockdown. Они предоставляют в распоряжение администратора те самые средства генерации отчетов и управления корпоративной сетью, которые мы так надеялись увидеть. Среди них — различные варианты выдачи уведомлений (с интеграцией в корпоративное системное управляющее ПО), передача управляющих функций, полезная документация и система экранной помощи.

Будущее NAC-систем

Сегодня основные ресурсы производителей брошены на реализацию средств контроля над оконечными устройствами после их регистрации в сети. Поскольку система допущена в сеть, она обязана соответствовать правилам. В большинстве продуктов это достигается путем выполнения проверок по расписанию, обычно каждые 15 мин.

Компании McAfee и StillSecure пошли дальше с помощью средств обнаружения/предотвращения сетевых атак, которые инициируют необходимые действия при поступлении предупреждения о нештатном состоянии пользовательского устройства. Эту информацию можно сопоставить с результатами проверки на наличие уязвимостей, чтобы выяснить, не было ли уведомление ошибочным. Хотя средства подобной проверки уже имеются в ряде NAC-решений, выявление ложных срабатываний остается делом будущего. Следующим логическим шагом могла бы стать интеграция с ПО управления информацией и инцидентами в области безопасности. Она позволила бы получить наиболее полную картину для выработки NAC-системой оптимального решения о предоставлении непрерывного доступа в сеть оконечному устройству.

Другой сценарий интеграции NAC-продуктов — тесное взаимодействие с программами проверки соответствия контента и защиты от утечки данных, число которых на рынке неуклонно растет. Располагая подобной комбинацией, организации получили бы инструмент блокирования доступа при обнаружении попытки несанкционированной передачи данных.

Итак, следует признать, что в базовой форме комплексные NAC-решения уже готовы к применению. Заказчики могут приобрести любой из нескольких десятков продуктов, способных проверять интегрированность оконечных систем и поддерживать необходимый контроль над сетевым доступом. Наблюдая ажиотаж вокруг аббревиатуры NAC, производители активно инвестируют средства в исследования и разработки, стремятся наделить свои продукты дополнительными функциями и обеспечить возможность их интеграции практически в любую сетевую инфраструктуру. Однако секрет развертывания по-настоящему эффективного комплексного NAC-решения кроется в том, чтобы найти производителя, чьи приоритеты в области контроля над доступом совпадают с вашими собственными.

Процедура тестирования

Наша тестовая среда включала в себя следующие компоненты (см. рисунок):

• серверы Windows 2003 Active Directory и Juniper Funk Radius, отвечавшие за аутентификацию;
• коммутаторы Cisco Catalyst 3750 и Extereme Summit для доступа в ЛС;
• VPN Concentrator из семейства Cisco 3000 и устройство Juniper IVE для поддержки удаленного доступа;
• беспроводная точка доступа Proxim AP-200 для организации беспроводных соединений;
• устройства FortiGate UTM фирмы Fortinet и SSG компании Juniper, действовавшие в качестве брандмауэров на периферии сети.

Кроме того, соединения VoIP поддерживались коммуникационным сервером фирмы Asterisk. Автоматическую загрузку файлов исправлений обеспечивало ПО Windows Server Update Services, а для тестирования функции генерации уведомлений служил сервер Kiwi, на котором хранились журнальные файлы.

В качестве клиентских систем, используемых для доступа в сеть, фигурировали ноутбуки производства HP под управлением Windows XP SP2 с разными наборами файлов исправлений. На всех клиентских компьютерах мы инсталлировали антивирусное приложение фирмы Sophos и программный брандмауэр ISS Proventia Desktop.

Тестовая сеть была разбита на несколько виртуальных ЛС — для серверов, оборудования VoIP и принтеров, зарегистрированных и гостевых пользователей. Конфигурационная схема одиночных пользователей и групп, принятая по умолчанию, хранилась на сервере Windows 2003 Active Directory. Профили групп и потребителей были призваны сымитировать структуру типичной организации, в том числе ее сотрудников, партнеров и разработчиков.