Η διασφάλιση του εσωτερικού δικτύου σε μία επιχείρηση αποτελεί ύψιστη προτεραιότητα και λύσεις όπως η NAP παρέχουν αρκετές δυνατότητες προκειμένου να επιτευχθεί ο στόχος αυτός.
Στη σημερινή εποχή όπου η πληροφορία είναι ένα από τα σημαντικότερα περιουσιακά στοιχεία ενός Οργανισμού, η ασφάλισή της τόσο στο σημείο αποθήκευσης όσο και στο δίκτυο από το οποίο περνά μέχρι να φτάσει στον τελικό προορισμό που έχει ζητηθεί, είναι ένα μέλημα ύψιστης προτεραιότητας. Οι τεχνολογίες αποθήκευσης δεδομένων που κυριαρχούν, δεν απαιτούν μεγάλες ούτε πολύπλοκες διεργασίες για να τα ασφαλίσουν.

Μία σωστή εφαρμογή μέτρων φυσικής ασφάλειας κατά του ενδεχόμενου της κλοπής ή της δολιοφθοράς, αλλά και μία ισχυρή κρυπτογράφηση της πληροφορίας στο φυσικό μέσο αποθήκευσης, συνήθως επαρκούν ώστε να προστατευθούν τα δεδομένα στην πηγή τους. Τι γίνεται όμως όταν τα δεδομένα αυτά θα πρέπει να «αποχωριστούν» από το σημείο αποθήκευσής τους και να ταξιδέψουν στο εσωτερικό (υποτίθεται ασφαλές) δίκτυό μας; Πώς μπορούμε να τα προστατεύσουμε σε όλο αυτό το επικίνδυνο «ταξίδι» και να είμαστε σίγουροι ότι δεν θα καταλήξουν σε μη εξουσιοδοτημένα άτομα;
Σε αυτά τα ερωτήματα θα προσπαθήσουμε να απαντήσουμε στο παρόν άρθρο, αφού εξηγήσουμε τους κινδύνους που ελλοχεύουν κατά τη διάχυση της πληροφορίας σε ένα δίκτυο και αφού αναλύσουμε πώς αυτό μπορεί να γίνει σε ένα δίκτυο το οποίο περιλαμβάνει την τρέχουσα έκδοση του λειτουργικού συστήματος για servers, τα Windows Server 2008 και την τεχνολογία ΝΑΡ.

Κίνδυνοι που αντιμετωπίζουμε σε ενδοεταιρικά δίκτυα
Πολλές φορές θεωρούμε πως το δίκτυο ενός Οργανισμού είναι από τη φύση του ασφαλές (ακριβώς λόγω της δομής του αποκλειστικά στο εσωτερικό της εταιρείας), κάτι το οποίο μπορεί να αποβεί μοιραίο για την ασφάλειά του. Δεν μπορούμε π.χ. να παραβλέψουμε το γεγονός ότι τις περισσότερες φορές τα δεδομένα δεν ταξιδεύουν κρυπτογραφημένα, κάνοντάς τα έτσι ευάλωτα στις προθέσεις οποιουδήποτε μη εξουσιοδοτημένου χρήστη. Αυτό όμως είναι και το πρώτο καίριο ερώτημα στη δική μας υπόθεση: πώς θα μπορούσαμε να αποκλείσουμε την πρόσβαση στο εσωτερικό μας δίκτυο οποιουδήποτε χρήστη δεν επιθυμούμε εμείς να φιλοξενήσουμε, βάσει των δικών μας κανόνων; Ας μην ξεχνάμε και την πρόσβαση από υπολογιστές που μπορεί να θεωρούνται ασφαλείς, αλλά να μην ξέρουμε την κατάσταση της «υγείας» τους – π.χ. υπολογιστές με μη πρόσφατες ανανεώσεις του λογισμικού antivirus που έχουν εγκατεστημένο ή με μη ενεργοποιημένο firewall. Όλα αυτά καταδεικνύουν την πρακτική αδυναμία απόλυτου ελέγχου των Οργανισμών ως προς τους χρήστες και τους υπολογιστές που εισέρχονται στο εσωτερικό δίκτυο, αλλά και τη χαμένη παραγωγικότητα του τμήματος Πληροφορικής (ή Ασφάλειας) που θα επιφορτιστεί με την καταγραφή και εκκαθάριση μιας επίθεσης η οποία θα βασιστεί στην αδυναμία αυτή.

Προτεινόμενη λύση: Network Access Protection (NAP)
Η συντριπτική πλειοψηφία των Οργανισμών στις μέρες μας, βασίζουν το δίκτυό τους σε λειτουργικά συστήματα της Microsoft αλλά και σε δικτυακό εξοπλισμό με προηγμένα χαρακτηριστικά ασφάλειας. Σε αυτά βασίζεται και η τεχνολογία ΝΑΡ, που παρέχει τις εξής δυνατότητες:

  • Policy Validation: Αναγνώριση της κατάστασης «υγείας» των Η/Υ που συνδέονται ενσύρματα ή ασύρματα στο δίκτυό μας, ανάλογα με τις πολιτικές ασφάλειας του Οργανισμού μας.
  • Network Restriction: Περιορισμένη πρόσβαση σε συνδεόμενους Η/Υ ανάλογα με την κατάστασή τους, σε υποδίκτυο με ελάχιστη ή μηδενική πρόσβαση στο κυρίως δίκτυό μας.
  • Remediation: Παροχή των αναγκαίων resources για την επαναφορά των Η/Υ στην απαιτούμενη κατάσταση – πλήρης πρόσβαση στο δίκτυο μετά την επαναφορά.
  • Ongoing Compliance: Κάθε αρνητική αλλαγή στην κατάσταση υγείας του Η/Υ αξιολογείται συνεχώς.

Η λογική της ασφάλισης του δικτύου απέναντι σε κινδύνους, έχει ως εξής: Ο client υπολογιστής με το που συνδέεται στο δίκτυο, διαθέτει ένα ειδικό ΝΑΡ client, το οποίο παρουσιάζει ένα «πιστοποιητικό υγείας» (statement of health) προς τον αντίστοιχο Windows Server, ο οποίος και θα το εξετάσει (health validation server) βάσει των πολιτικών ασφαλείας που εμείς θα ορίσουμε. Αν μετά την εξέταση αυτή αποδειχθεί ότι ο client δεν πληροί τις προϋποθέσεις που έχουμε ορίσει, τότε το δικτυακό switch που «κουβαλάει» την επικοινωνία των δεδομένων, λαμβάνει την εντολή να περιορίσει τον client σε ένα ξεχωριστό, απομονωμένο δίκτυο. Σε αυτήν τη φάση υπάρχει η δυνατότητα αποκατάστασης της υγείας του μηχανήματος (π.χ. λήψη ανανεωμένων antivirus signatures, τελευταίων ανανεώσεων ασφάλειας του λειτουργικού κ.λπ.) από ειδικούς servers (remediation servers) που μπορούμε εμείς να εγκαταστήσουμε έτσι ώστε – μετά την επιστροφή του client λειτουργικού στα αποδεκτά επίπεδα – να επιτραπεί και πάλι η είσοδός του στο δίκτυό μας. Η λύση NAP απεικονίζεται στο διάγραμμα 1.

Προαπαιτούμενα για την υλοποίηση
Η τεχνολογία ΝΑΡ απαιτεί τη χρήση λειτουργικού Windows Server 2008 (υπηρεσίες ΝΑΡ, Active Directory, Certification Authority & RADIUS) σε συνδυασμό με Windows ΧΡSP3/ Vista/Windows 7 clients. Όσον αφορά στη χρήση δικτυακών switches, απαιτούνται συσκευές που να παρέχουν τη δυνατότητα για 802.1x authentication, dynamic VLAN switching και να υποστηρίζουν τα πρωτόκολλα PEAP/EAP-MSCHAPv2.

Του Δημήτρη Παπίτση
Microsoft MVP – Enterprise Security
MCSE, MCT