A JUNIPER NETWORKS UNIFIED ACCESS CONTROL PORTFOLIÓJA

Átírás

1 A JUNIPER NETWORKS UNIFIED ACCESS CONTROL PORTFOLIÓJA AZ INFRANET CONTROLLER, AZ UAC AGENT ÉS AZ ENFORCEMENT POINT ESZKÖZÖK A hálózat, az azn futó alkalmazásk és az üzlet többé nem elválasztható fgalmak. A hzzáférésnek biztnságsnak kell lennie, de mégis egyszerűnek. Olyan hzzáférés-kezelési megldáskra van szükség, amelyek megfelelően rugalmasak, hgy a vállalat flyamatsan váltzó igényeinek hsszú távn is megfeleljenek. A Juniper Netwrks Unified Access Cntrl (UAC) megldása csökkenti a hálózat sebezhetőségét, miközben kiváló menedzsment eszközöket ad az üzemeltetők kezébe. Az UAC a hálózat minden szintjén védelmet nyújt, széles körű iparági kapcslatk révén pedig száms más gyártó termékeivel is prblémamentesen együttműködik.

2 Bevezetés Manapság a vállalatk lyan hzzáférés kezelési megldáskat keresnek, amelyek egyszerre képesek kezelni a felhasználó aznsítását, a felhasználó által használt eszköz biztnsági állaptát, a hálózathz kapcslódás helyét és módját; és ezen adatk alapján egységesen, házirend alapn tudják kezelni a hzzáférési igényeket. Külön prblémát jelent, hgy a kapcslódáshz használt eszközök és hálózatk sk esetben nem a vállalat saját felügyelete alatt állnak, illetve a felhasználók sem tekinthetőek megbízhatónak. A megldásnak alapvetően a következő funkciókat kell nyújtania, illetve tulajdnságkkal kell rendelkeznie: csatlakzás előtti és a csatlakzás időtartama alatti biztnsági ellenőrzés részletes hálózati erőfrrás kezelés karanténba helyezés, illetve a biztnsági prbléma rvslása a házirendnek nem megfelelő eszközök esetén nem a vállalat által menedzselt eszközök prblémájának kezelése vendég felhasználók egyszerű kezelése a meglévő hálózati infrastruktúra elemeinek minél hatéknyabb kihasználása, befektetésvédelem az iparági szabványk követelményeit teljes mértékben elégítse ki, hgy a felhasználó ne legyen a szállítóhz kötve a megldás bevezetését követően. lehetővé tegye a fkzats bevezetést, a lehető legkisebb költséggel bevezethető legyen, minimális eszközcserét és knfigurálást igényeljen. A Juniper válasza a prblémára A Juniper Netwrks Unfied Access Cntrl megldása többrétegű az igényeknek való minél jbb megfelelőség érdekében. Képes Layer 2 üzemmódban prt szintű ellenőrzést végezni a 802.1x szabvány segítségével, vagy Layer 3-as szintű ellenőrzést végezni ahl a 802.1x aznsítás valamilyen kból nem lehetséges vagy nem kívánats. A két üzemmód szabadn és rugalmasan kmbinálható egyazn hálózatn belül. Az UAC tvábbi előnyei: Switch infrastruktúra az UAC együttműködik bármely gyártó 802.1x képes switch és wireless access pint eszközeivel. Kmpatibilitási kérdések a Juniper UAC megldása nem egyszerűen 100%-ban 802.1x kmpatibilis (és ezáltal gyártófüggetlen), de kiemelten támgatja a Trusted Cmputing Grup csprt Trusted Netwrk Cnnect kezdeményezését, amely együttmüködést garantál más egyéb biztnsági eszközökkel (például: patch management). A legtöbb felhasználási módra előknfigurált sablnk és megldási metódusk állnak rendelkezésre az eszközben, mint például vendég hzzáférések biztnságs kezelése. Szrs integráció más egyéb Juniper megldáskkal, mint például a behatlásdetektáló és megelőző IDP platfrm. Az integrált működésnek köszönhetően radikálisan csökkenthető az üzemeltető személyzetre nehezedő teher. 1 1 Egy ntebk felhasználó egy külső helyszínen véletlenül féregvírussal fertőzi meg a gépét. Amikr a belső hálózatra csatlakztatja a gépét, a behatlás-detektáló érzékeli a féregvírus által generált frgalmat, és blkklja azt. Ha nincs integrált működés, akkr a felhasználó hálózat hibára gyanakdva hívja a hálózat üzemeltetőjét és hsszas hibakeresés kezdődhet, hgy miért nem éri el az adtt hálózati erőfrrást a felhasználó. Integrált működés esetén az IDP eszköz a vírus frgalmának blkklása mellett értesíti az UAC megldást, amely karanténba helyezi a felhasználót (ezáltal már más gépekhez sem fér hzzá, nem csak azkhz, amiket az IDP véd). A fel- 2 / 8

3 A felhasználó aznsságát az UAC összerendeli az általa betöltött szerepekkel, és ez alapján szabályzható a felhasználó hálózati és alkalmazás hzzáférése. Így a hatóságk által megkövetelt jgszerű működés (ún. plicy cmpliance ) is egyszerűen teljesíthető. Széles körű kliens platfrm támgatás majdnem minden Windws, Apple Mac OS X, Linux és Slaris verzió támgatása. használó egy felugró ablakból értesül arról, hgy karanténba került a féregvírus miatt, és a tvábbi teendőiről (vírusminta-fájl frissítése, stb.). Így nem fgja az üzemeltetést felesleges munkára kényszeríteni. 3 / 8

4 A megldás elemei Az UAC infrastruktúra alapkiépítésben hárm elemet tartalmaz: Az Infranet Cntrller (IC) célhardvert, amely a közpnti házirendet tartalmazza, és illesztő-felületként működik / működhet a vállalatnál meglévő AAA megldáskhz. Az IC tartalmaz egy Steel Belted Radius szervert is beépítve, amely lehetővé teszi a 802.1x tranzakciókat a kliensek csatlakzásakr. Az UAC Agent prgramt, amely előknfigurált állaptban autmatikusan letölthető akár valós időben, amikr a kliens csatlakzni próbál a hálózathz. (Természetesen telepíthető közpnti menedzsment megldáskkal is.) Az UAC infrastruktúra képes úgynevezett agentless (kliens prgram nélküli) üzemmódra is, amely különösen haszns például vendég felhasználók elérésének biztsítása esetén. Az UAC Agent infrmációkat gyűjt a kliens biztnsági állaptáról, illetve bekéri hitelesítési infrmációkat (felhasználónév és jelszó, tanúsítvány, stb.) majd a beépített Odyssey Access Client (OAC) 802.1x funkcinalitás segítségével mint 802.1x supplicant tvábbítja azkat. A Hst Checker kmpnens száms adatt képes autmatizáltan begyűjteni, például a személyi tűzfal pnts knfigurációjat, telepített Service Pack csmagk és azk verziója, stb. Az UAC hzzáférés kntrlláló eszközök (az úgynevezett UAC Enfrcement Pints ), amelyek bármely gyártótól származó 802.1x képes drótós vagy drót nélküli eszközök lehetnek, valamint Juniper Netwrks tűzfalak. Az Infranet Cntrller Az Infranet Cntrller technlógiai alapja a Juniper SSL VPN eszközökből már jól ismert plicy cntrl engine illetve a Steel Belted Radius Server. Jelenleg kétféle mdell kapható, az IC 4000 és az IC Az IC 4000 néhány ezer felhasználó kiszlgálására alkalmas, és redundáns kiépítésben is telepíthető, aznban maximum két tagú klasztereket engedélyez. Az IC 6000 eszköz már belső hardver redundanciát is tartalmaz, menet közben cserélhetőek a merevelemezek és a tápegységek (ht swap); valamint több tízezer egyidejű felhasználó kezelésére alkalmas, mivel többtagú terheléselszttt, hibatűrő klaszter építhető belőle. Az UAC Agent Az UAC Agent prgram gyakrlatilag megegyezik az Odyssey Access Client prgrammal. Tartalmaz néhány fnts kiegészítő funkciót a Windws perációs rendszerhez, mint például a Single Sign On bejelentkezés lehetősége a Windws Active Directry rendszerébe. Az ügynök-prgram száms aspektusát képes vizsgálni a kliensgép állaptának a beépített Hst Checker kmpnens segítségével, mint például: Antivírus, antispyware, személyi tűzfal (persnal firewall) és egyéb harmadik féltől (3rd party) származó termékek állaptának lekérdezése, integritásának figyelése. Tetszőleges állmány meglétének és integritásának figyelése MD5 checksum segítségével. Futó alkalmazásk lekérdezése, az alkalmazás integritásának ellenőrzése. Registry adatbázis kulcs és felvett érték szintű figyelése. Nyittt prtk, futó szerveralkalmazásk a kliensen. 4 / 8

5 A hzzáférést krlátzó eszköz (Enfrcement Pint) A hzzáférést a Juniper megldásában úgynevezett Enfrcement Pintk segítségével krlázzhatjuk. Enfrcement Pint lehet bármely gyártótól származó 802.1x képes eszköz (például switch vagy wireless access pint), és bármely ScreenOS 5.4 verziójú (vagy afölötti) perációs rendszert futtató Juniper tűzfal. Ennek előnye, hgy amennyiben a meglévő infrastruktúra tartalmaz nem 802.1x képes elemeket is, úgy nem kényszerül a felhasználó költséges hardver cserékre. A Juniper tűzfalak Layer 2 transzparens üzemmódban is telepíthetőek, hgy a meglévő ruting és más egyéb hálózati beállításkn se kelljen módsítani; illetve úgynevezett audit módra is van lehetőség, amikr az eszközök nem végeznek beavatkzást, csak dkumentálják a hálózati hzzáféréseket és azk biztnsági szintjét. Azkn a tűzfalakn, amelyeken tartalmszűrési funkcinalitás is elérhető (mint például az összes SSG eszköz), a rsszindulatú kódk szűrése integrálható az UAC megldásba felhasználónkénti és kapcslatnkénti krlátzást lehetővé téve. 5 / 8

6 Néhány tvábbi lehetőség áttekintése Tulajdnság Tulajdnság leírása Tvábbi részletek Összeköti a felhasználó és az általa használt eszköz aznsságát a hálózati kapcslódási pnttal valós időben, dinamikus biztnsági házirend betartatással A különböző adatk kiértékelése a kapcslódás megkezdésétől kezdve a kapcslat végéig flyamatsan zajlik, a házirend érvényesítése emiatt teljesen valós idejű és maximálisan biztnságs Bár a megldás teljesen gyártó-független, a dinamikus VLAN újraknfigurálási funkció nem minden 802.1x eszközben áll rendelkezésre. Egységes plicy engine Rbsztus, rendkívül kifrrtt UAC Agent Nincs szükség több eszköz telepítésére és menedzselésére, akárhány telephelyet kell is ellátni UAC funkcinalitással. Dinamikusan (valós időben, az authentikációs flyamat srán) letölthető prgramcsmag, amely előre knfigurálható. Természetesen előre is telepíthető közpnti menedzsment megldásk segítségével. A legnépszerűbb kliens platfrmk támgatása mellett (mint például a Windws Vista) száms ritkábban használtat is támgat (mint például a Slaris. Linux vagy a Apple Mac). TNC kmpatibilitás a más gyártók megldásaival történő integrálás érdekében. A megldás flyamatsan alkalmazkdik a váltzó felhasználói igényekhez, nagyn valószínűtlen, hgy a hálózati infrastruktúra váltzása tvábbi beruházáskat igényelne az UAC megldás ldalán. Kiegészítő funkciók, mint például Single Sign On. Agent-less üzemmód Azkn a gépeken ahl nem lehetséges, vagy nemkívánats az ügynökprgram telepítése, szintén védelmet nyújt az UAC infrastruktúra. Akár hálózati nymtatók kapcslatának védelme is lehetséges a MAC fallback funkció segítségével. 6 / 8

7 Tulajdnság Tulajdnság leírása Tvábbi részletek Crdinated Threat Cntrl Nem menedzselhető eszközök dinamikus kezelése Kiterjesztett autmatikus prbléma rvslás / megldás lehetősége Integrált, előre definiált patch szint ellenőrzés Az UAC megldás integrálható a Juniper IDP behatlásdetektáló platfrmmal. Az integráció teljes mélységű frgalmelemzést tesz lehetővé. A nem menedzselhető eszközök számára (mint például vnalkód lvasók, pénztárgépek, hálózati nymatatók) MAC Address authentikációs lehetőség áll rendelkezésre a RADIUS szerverből. A MAC címekből fehér- és feketelisták is képezhetőek. Az adatk lekéréséhez meglévő címtárak is használhatóak, például LDAP. A felhasználók számára prtál alakítható ki, ahl száms prblémát önmaguk el tudnak hárítani, nincs szükség az üzemeltető személyzet bevnására. A patch és htfix telepítettségének ellenőrzése alapján biztnsági szintek határzhatóak meg. A rendszer több gyártó megldását támgatja, például a Shavlik NetChk Prtect rendszerét. Az integrált működésnek köszönhetően az adminisztrátr nemcsak a támadó IP címével lesz tisztában, de száms tvábbi részlettel, mint például felhasználónév, prcess neve, stb. Igény szerint a felhasználó is értesíthető és segítséget kap a prbléma rvslására (például féregvírus vagy eltávlítása.) kémprgram Tipikus hiba például a ntebk felhasználó esete, akinek a gépén nincs meg a legfrissebb vírusminta fájl. Ha a vállalati házirend maximum 72 órás vírusminta-fájlkat enged meg, akkr a felhasználót bejelentkezési kísérletekr egy lyan ldal fgadja, ami linket tartalmaz a legfrissebb mintafájlra. Így pillanatk alatt újra tud csatlakzni, de már a biztnsági házirendnek megfelelően. A legkritikusabb erőfrrásk eléréséhez például megkövetelhető, hgy minden ismert kritikus hiba ellen védve legyen az adtt gép, míg átlags erőfrráskat esetleg még elérhet alacsnyabb biztnsági szint mellett is. Dinamikus szerep figyelés Száms biztnsági tényező megléte már az előtt ellenőrizhető, hgy egyáltalán a bejelentkező ldalra jutna a felhasználó. Külön ellenőrzések köthetőek az aznsítás előttre és utánra, illetve a kapcslódás teljes időtartamára. 7 / 8

8 Tulajdnság Tulajdnság leírása Tvábbi részletek Meglévő AAA megldásk széles köre támgattt 802.1x, RADIUS, LDAP, MS AD, RSA ACE, NIS, tanúsítványk (PKI), helyi felhasználóadatbázis, Netegrity SiteMinder (CA), RSA Cleartrust, Oracle Oblix valamint Prxy Radius Gyakrlatilag bármely AAA rendszerrel integrálható. 8 / 8