V znam standardû pro fiízení síèového pfiístupu

Podobné dokumenty
Extrémně silné zabezpečení mobilního přístupu do sítě.

Zabezpečené vzdálené přístupy k aplikacím případová studie. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

Co je Symantec pcanywhere 12.0? Hlavní výhody Snadné a bezpečné vzdálené připojení Hodnota Důvěra

Bezpečná autentizace přístupu do firemní sítě

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

Bezpečnost sítí

Enterprise Mobility Management

1 Slovník pojmů Zákaznická data jsou data, která mají být zahrnuta do záložní kopie vytvořené pomocí Služby v závislosti na zálohovacím schématu.

Koncept centrálního monitoringu a IP správy sítě

Bezpečnostní politika společnosti synlab czech s.r.o.

Virtuální datové centrum a jeho dopad na infrastrukturu sítě

IBM Content Manager Collaboration Edition ECM služby pro IBM Lotus Quickr

Technické aspekty zákona o kybernetické bezpečnosti

Zabezpečení v síti IP

1.05 Informační systémy a technologie

1.05 Informační systémy a technologie

Jednorázová hesla pro zvýšení bezpečnosti vzdáleného přístupu mobilních uživatelů

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Desktop systémy Microsoft Windows

Identity Manager 4. Poskytujte okamžitý přístup ke zdrojům v rámci celého podniku

ISMS. Autentizace ve WiFi sítích. V Brně dne 5. a 12. prosince 2013

Cloud Computing pro státní správu v praxi. Martin Vondrouš - Software602, a.s. Pavel Kovář - T-Systems Czech Republic a.s.

Ochrana mobilních uživatelů před hrozbami Internetu mimo firemní prostředí. Simac Technik ČR, a.s.

CA AppLogic platforma typu cloud pro podnikové aplikace

CA Business Service Insight

Bezdrátové sítě Wi-Fi Původním cíl: Dnes

PB169 Operační systémy a sítě

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

CENTRUM ZABEZPEČENÍ VERVE

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

Obrana sítě - základní principy

komplexní podpora zvyšování výkonnosti strana 1 Využití Referenčního modelu integrovaného systému řízení veřejnoprávní korporace Město Hořovice

EXTRAKT z technické normy ISO

Expresní analýza PLM. jako efektivní start implementace PLM.

AleFIT MAB Keeper & Office Locator

P2P komunikace I/O modulů řady E1200 I/O moduly s komunikací přes mobilní telefonní sítě

Srovnávací studie celkových nákladů na vlastnictví (TCO - Total Cost of Ownership Comparison)

Aktivní bezpečnost sítě

Koncept. Centrálního monitoringu a IP správy sítě

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

CA Protection Suites. - Michal Opatřil - Consultant - michal.opatril@ca.com

Úvod - Podniková informační bezpečnost PS1-2

Symantec Protection Suite Small Business Edition Jednoduché, účinné a cenově dostupné řešení navržené pro malé firmy

Jádrem systému je modul GSFrameWork, který je poskytovatelem zejména těchto služeb:

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

INTEGRACE IS DO STÁVAJÍCÍ HW A SW ARCHITEKTURY

Představení Kerio Control

Výčet strategií a cílů, na jejichž plnění se projektový okruh podílí: Strategický rámec rozvoje veřejné správy České republiky pro období

12. Virtuální sítě (VLAN) VLAN. Počítačové sítě I. 1 (7) KST/IPS1. Studijní cíl. Základní seznámení se sítěmi VLAN. Doba nutná k nastudování

2015 GEOVAP, spol. s r. o. Všechna práva vyhrazena.

1. Administrace služby Bezpečný Internet přes webovou aplikaci WebCare GTS

Tomáš HEBELKA, MSc. Skepse vůči cloudu. 21. června 2011 VI. Konference ČIMIB, Hotel Continental, Brno

Vnořený Ensemble nové integrované aplikace. Martin Zubek, Account manager

Autentizace uživatele připojeného přes 802.1X k přepínači Cisco Catalyst 2900/3550 pomocí služby RADIUS

Snížení skrytých nákladů spojených se zvýšením kapacity napájení datových středisek

Wonderware Information Server 4.0 Co je nového

ČESKÁ TECHNICKÁ NORMA

Rok informatiky 2016 SPRÁVA ZÁKLADNÍCH REGISTRŮ ČESKÉ REPUBLIKY SZR JE NYNÍ EIDENTITA READY

Novinky v Novell BorderManageru 3.8

Bezpečnostní aspekty informačních a komunikačních systémů KS2

AUTENTIZAČNÍ SERVER CASE BEZPEČNÁ A OVĚŘENÁ IDENTITA

Definice pojmů a přehled rozsahu služby

SPS Úvod Technologie Ethernetu

Daniela Lišková Solution Specialist Windows Client.

Pohledem managementu firmy.

ADMINISTRACE POČÍTAČOVÝCH SÍTÍ. OPC Server

Služba vzdáleného pečetění I.CA RemoteSeal. Ing. Roman Kučera První certifikační autorita, a.s

CA Integrated Threat Management. - Michal Opatřil - Consultant - michal.opatril@ca.com

SSL Secure Sockets Layer

Telelogic Focal Point využití pro řízení a optimalizaci projektového portfolia Verze 1.0

Cloud Slovník pojmů. J. Vrzal, verze 0.9

EXTRAKT z mezinárodní normy

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Microsoft SharePoint Portal Server Zvýšená týmová produktivita a úspora času při správě dokumentů ve společnosti Makro Cash & Carry ČR

Případová studie O2 SVĚT. Microsoft Azure zefektivňuje řízení prodejní sítě v O2 Slovakia

Symantec Mobile Security

Systém CA Host-Based Intrusion Prevention System r8

Administrace služby - GTS Network Storage

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

Obsah. Úvod 13. Věnování 11 Poděkování 11

Bezpečnost bezdrátové komunikace 9 Téma číslo 1: bezpečnost 10. Základy bezpečnosti komunikačních sítí 13 Bezpečnost sítě 14 Bezpečnostní politika 15

Zabezpečení organizace v pohybu

Lantronix, Inc. xprintserver Office Edition: Obchodní prezentace Listopad 2012

Restrukturalizace průmyslové sítě zvyšuje dostupnost a flexibilitu

Vývoj moderních technologií při vyhledávání. Patrik Plachý SEFIRA spol. s.r.o.

Centrální místo služeb (CMS) Bezpečná komunikace mezi úřady

Služba Rychlý výpis umožňuje on-line službám získat elektronický a snadno zpracovatelný výpis z bankovního účtu klienta.

Tieto Future Office. Přehled. Země: Česká republika. Odvětví: Samospráva

EXTRAKT z české technické normy

PŘÍRUČKA SÍŤOVÝCH APLIKACÍ

Kmenové projekty egov a Úplné elektronické podání. Ing. Ondřej Felix CSc Hlavní architekt egovernmentu MV ČR

3. SPECIFIKACE TECHNICKÝCH PARAMETRŮ

Jak efektivně ochránit Informix?

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Dalibor Kačmář

Administrace služby IP komplet premium

Technická a organizační opatření pro ochranu údajů

Administrace služby IP komplet premium

Transkript:

White Paper V znam standardû pro fiízení síèového pfiístupu Juniper Networks, Inc. 1194 North Mathilda Avenue Sunnyvale, California 94089 USA 408.745.2000 1.888 JUNIPER www.juniper.net Part Number: 200205-001 Nov 2006

Obsah Úvod 3 Standardní versus proprietární řízení síťového přístupu... 3 Co je TNC (Trusted Network Connect)... 5 Jak TNC funguje... 5 Architektura TNC založená na standardech... 6 Technologie UAC (Unified Access Control) od Juniper Network... 8 UAC & TNC... 9 Shrnutí... 10 2 Copyright 2006, Juniper Networks, Inc

Úvod Uživatelé dnes potřebují mít přístup do podnikové sítě odkudkoliv ve světě, v kteroukoliv denní dobu a přes bezpočet přístupových technologií a zařízení s nejrůznějšími operačními systémy, operačními prostředími a aplikacemi. V tomto globálně dynamickém a odlišném světě obvykle síťoví administrátoři nemají ponětí, kde bylo řízené či neřízené zařízení nějakého uživatele předtím, než se uživatel pokusil dostat do podnikové sítě. Zařízení tohoto uživatele mohlo být nakaženo nějakou zákeřnou formou škodlivého softwaru malwaru produkovaného dnešními sofistikovanými a velmi dobře financovanými počítačovými hackery. Zařízení uživatele by tak mohlo sloužit jako zprostředkovatel pro transfer viru, spyware, adware, tzv. trojských koní, červů, rootkitů a dalších škodlivých aplikací do podnikové sítě nebo přímo do dalších nic netušících uživatelských zařízení. A proto vstupuje na scénu řízení síťového přístupu. Neexistuje sice univerzálně schválená definice řízení síťového přístupu (Network Access Control), ale v zásadě se jedná o schopnost kontrolovat a řídit přístup do sítě na základě souladu s určitými síťovými politikami (pravidly, zásadami). Síťové politiky, se kterými je vyžadován soulad, mohou zahrnovat politiky založené na identitě uživatelů, identitě zařízení, stavu zařízení nebo umístění zařízení abychom jmenovali alespoň některé. Řízení síťového přístupu umí zajistit, aby bylo navázáno odpovídající spojení do odpovídající sítě a odpovídajícím způsobem - jak z hlediska uživatele tak z hlediska zařízení. Dále lze pomocí řízení síťového přístupu zajistit, aby uživatelé vyhovovali určitým politikám (pravidlům, zásadám) autentizace, aby jejich zařízení splňovala požadavky autentizačních a bezpečnostních politik a aby uživatelé a zařízení byli v souladu i s dalšími politikami nastavenými v dané organizaci. Vzhledem k šíři záběru funkcí řešení pro řízení síťového přístupu tato řešení často přesahují oddělení podnikové počítačové sítě a zasahují do řady interních podnikových jednotek a úseků. Implementace řízení síťového přístupu se týká jednak všech IT oborů, od správy uživatelských počítačů po bezpečnost uživatelských PC, od síťové infrastruktury po administraci sítě. Může také zahrnovat osoby a zdroje, které zajišťují pro organizaci soulad s legislativními požadavky, neboť řízení síťového přístupu úzce souvisí s některými problémy při zajištění souladu s právními normami a dalšími předpisy. Kromě různých organizačních oddělení a skupin zapojených do rozhodovacího procesu kolem řízení síťového přístupu existuje dále i řada uživatelských zařízení a hardwarových a softwarových komponent síťové infrastruktury, na které budou mít tato rozhodnutí významné dopady. Vezmeme-li v úvahu, jak širokou oblastí je řízení síťového přístupu, od počtu a variantnosti uživatelských zařízení a infrastrukturních komponent přímo ovlivňovaných zavedením této technologie po počet úseků organizace zahrnutých do rozhodovacího procesu ohledně řízení síťového přístupu, je zřejmé, že rozhodnutí mezi standardním nebo proprietárním řešením řízení síťového přístupu má pro podnik kritický význam. Standardní versus proprietární fiízení síèového pfiístupu Podle výkladového Merriam-Websterova slovníku je standard definován jako něco, co je zavedeno státní institucí, zvyklostmi nebo obecným souhlasem jako model nebo vzor. Slovo proprietární je naopak definováno jako něco, co je používáno, vyráběno nebo prodáváno v rámci výhradního zákonného práva vynálezce nebo výrobce. Tyto definice platí také pro svět síťových technologií. V technickém kontextu je standard obvykle definován jako soubor specifikací nebo směrnic ohledně interoperability (vzájemné spolupráce a fungování výrobku či technologie), které byly dohodnuty, přijaty či schváleny všeobecně (univerzálně), anebo velkou skupinou zainteresovaných stran. Otevřenými standardy jsou pak ty sady směrnic pro interoperabilitu, které jsou veřejně dostupné a mohou být použity kýmkoliv, kdo se takto rozhodne. Standardy obsahují parametry konkrétních produktů, ale také koncepty kompatibility, interoperability a dohod. Copyright 2006, Juniper Networks, Inc 2

V oblasti řízení síťového přístupu je k dispozici řada řešení, ale většina řešení pro řízení síťového přístupu je buď zcela nebo zčásti proprietární. Přestože z krátkodobého hlediska se mohou proprietární řešení řízení síťového přístupu jevit jako atraktivní, z dlouhodobého hlediska bývají pro podnik velmi nákladná. Prakticky každá skupina nebo organizace může prohlásit, že její specifikace nebo směrnice jsou standardem. Avšak pokud tyto specifikace či směrnice nebyly dány k dispozici veřejnosti pro všeobecné použití a přijetí, bez nějakých omezení nebo limitů v podobě licenčních podmínek či uživatelských poplatků, pak nemohou představovat skutečný standard. Uživatelé by si měli dávat pozor na specifikace, které se zdají být standardem, nebo jsou jako standard deklarovány, ale ve skutečnosti se jedná o proprietární technologii. Omezení přitom může spočívat v použití těchto specifikací, které slouží spíš zájmům tvůrce specifikace, nikoliv uživatele. Obdobně může nějaký výrobce úspěšně nalákat velký počet společností, aby přijaly určitou jeho privátní specifikaci, ale tím se z této specifikace nestává otevřený standard. Pokud není specifikace otevřeně publikována za účelem veřejného použití a revize, pokud nebyla všeobecně přijata a odsouhlasena skupinou podobně zaměřených zúčastněných stran a pokud není její použití nijak omezeno, nemůže se nazývat standardem. Je vlastněna a kontrolována privátně, a tudíž je podle definice proprietární. Existuje spousta pádných důvodů, proč by měla organizace při svém rozhodování o tom, jaké řešení pro řízení přístupu do své sítě použije, uvažovat o řešení založeném na standardech. Standard zdůrazňuje interoperabilitu mezi komponentami. Standard dále poskytuje interoperabilitu s jinými technologiemi a produkty, a tak umožňuje, aby si organizace zvolila ty produkty a řešení, které jsou pro ni nejvhodnější, a přitom bude mít zaručeno, že budou vzájemně spolupracovat. Zavedení proprietárního řešení naopak může snížit tuto flexibilitu a zvýšit celkové náklady na vlastnictví systému (TCO), neboť organizace má omezený výběr produktů a nemůže vytvářet heterogenní prostředí založené na těch nejlepších technologiích. U většiny organizací se rozhodování o tom, zda zvolit a implementovat standardní nebo proprietární řešení, soustředí do několika klíčových faktorů: 1. Organizace potřebuje určit, jakou hodnotu přinese daná technologie ať proprietární nebo založená na standardech jejímu podnikání. Jedním z faktorů je, zda řešení poskytne okamžitou úsporu nákladů. Standardy jsou životně důležité pro organizace, které se chtějí vyhnout tomu, že budou závislé pouze na technologii, produktech či podpoře jediného výrobce (dodavatele). Pokud organizace zvolí technologii založenou na standardech, nemusí se obávat nepřiměřeného zvyšování cen nebo jiných jednostranných nátlakových akcí, které může dodavatel podniknout. 2. Dalším důležitým faktorem je doba, práce a náklady potřebné na integraci, otestování a zavedení zvoleného řešení, a dále to, zda standardní nebo proprietární řešení pomáhá při snížení těchto nákladů. Díky standardům mohou být technologie otevřené a všeobecně přístupné a typicky poskytují organizacím, které standardní technologie implementují, možnost vybrat si z různých dodavatelů. Přínosy plynoucí z této výhody se pochopitelně zvyšují s tím, jak se zvyšuje počet interoperabilních prvků v rámci celkového řešení. Řešení založená na standardech mohou snížit celkové náklady na vlastnictví (TCO) a současně organizaci poskytují svobodu zvolit si technologie, které chtějí používat a integrovat. Použití a implementace standardů se rovná hodnotě a svobodě volby. 3. Řešení pro řízení síťového přístupu v sobě integrují řadu uživatelů, zařízení a technologií týkajících se bezpečnosti a kontroly síťového provozu. Zejména k nim patří tzv. oblast AAA (Authentication, Authorization, Accounting) tj. technologie autentizace, autorizace a účtování přístupů, dále technologie pro integritu koncových bodů, prosazování a řízení síťových politik, pro realizaci karantén a nápravy. Řešení řízení přístupu na bázi standardů tyto technologie hladce integruje, a propojuje tak i různé organizační úseky zodpovědné za kontrolu nad implementací těchto technologií, jako je provoz a administrace sítě, bezpečnostní operace, správa uživatelských počítačů, správa RADIUS serverů neboli identit a soulad s právními normami. Volbou řešení řízení síťového provozu založeného na standardech může organizace současně integrovat několik technologií a zároveň skupiny a úseky kritické pro úspěšnou implementaci a zavedení těchto technologií. 4 Copyright 2006, Juniper Networks, Inc

Co je TNC (Trusted Network Connect) 4. Řízení přístupu má rovněž svůj díl standardů a protokolů, které zajišťují kompatibilitu a interoperabilitu. K těmto standardům a protokolům patří protokol RADIUS, protokol EAP (Extensible Authentication Protocol) a protokol 802.1X. Standard 802.1X, což je IEEE standard pro řízení síťového přístupu na bázi portů přizpůsobený pro prostředí velkých podniků, poskytuje silný základ pro autentizaci, řízení přístupu a zajištění privátnosti dat. Standard 802.1X sám o sobě využívá také další standardy, jako je např. protokol RADIUS (Remote Dial-In User Service), což je standardní bezpečnostní protokol pro prostředí klient/server od IETF a typicky se používá v autentizačních serverech v prostředích na bázi 802.1X. Standard 802.1X také využívá standardní protokol EAP, který pracuje v různých autentizačních systémech a poskytuje standardní autentizační rámec u klasických i bezdrátových sítí. (Význam standardu 802.1X a souvisejících protokolů a standardů pro řízení přístupu bude předmětem jiného analytického materiálu). Jedinou otevřenou architekturou pro řízení síťového přístupu založenou na standardech, která vyhovuje prakticky všem aspektům definice standardu, je technologie TNC (Trusted Network Connect), sada otevřených specifikací založených na standardech, jejíž základní filosofií je propojený ideál integrity a identity. Trusted Network Connect neboli TNC je název divize organizace Trusted Conputing Group (TCG). Je to také název architektury řízení síťového přístupu založené na otevřených standardech. The Trusted Computing Group (TCG) je nezisková organizace založená v roce 2003 s cílem vyvíjet, definovat a podporovat otevřené standardy pro důvěryhodné počítačové a bezpečnostní technologie napříč platformami, periferiemi a zařízeními. Skupina TCG má přibližně 140 členů, ke kterým patří výrobci komponent, vývojáři softwaru, systémoví integrátoři a síťové a infrastrukturní společnosti, z nichž 70 se aktivně podílí na definici a specifikaci otevřené architektury TNC pro řízení síťového přístupu založené na standardech. Řešení TNC vyvíjené uskupením Trusted Computing Group je otevřená architektura, která definuje několik standardních rozhraní, jež naznačují tečkované čáry na obr. 2. Tato standardní rozhraní umožňují, aby komponenty od různých výrobců spolu bezpečně spolupracovaly, a vytvářely tak z existujících instalovaných zařízení a heterogenních sítí řešení pro integritu koncových bodů a řízení síťového přístupu. Architektura TNC je vytvořena tak, aby stavěla na zavedených standardech a technologiích, jako jsou protokoly 802.1X, RADIUS, IPsec, EAP nebo TLS/SSL. Jak TNC funguje Architektura TNC byla vytvořena s tím záměrem, aby organizacím pomáhala chránit jejich podnikové sítě před viry, červy, útoky typu DoS (odmítnutí služby), a dalšími škodlivými aplikacemi, a to tak, že budou moci kontrolovat konfigurace připojujících se zařízení a uplatňovat určité bezpečnostní politiky předtím, než bude přístup do sítě poskytnut. Architektura TNC staví na existujících oborových standardech a podle potřeby definuje nové otevřené standardy, s cílem umožnit neproprietárním a interoperabilním řešením vzájemně spolupracovat v rámci heterogenních prostředí. Otevřené specifikace TNC obsahují definici softwarových rozhraní a protokolů pro komunikaci mezi komponentami bezpečnosti koncových bodů a mezi servery koncových bodů a síťovými prvky. Rámec architektury TNC umožňuje realizovat interoperabilní řešení zahrnující produkty od různých výrobců a nabízí větší výběr při volbě komponent, které by nejlépe splňovaly požadavky podniku na integritu koncových bodů a řízení síťového přístupu. Copyright 2006, Juniper Networks, Inc 5

Standardy 802.1X, EAP, IPsec a RADIUS řeší otázky bezpečné síťové konektivity. Tyto standardy poskytují robustní základnu pro rozšíření procesu síťového přístupu tak, aby zahrnoval i bezpečnostní konfigurační informace týkající se hostitelského systému, a jsou proto široce podporovány výrobci síťových zařízení. Všeobecné rozšíření a implementace těchto bezpečnostních standardů a protokolů umožňuje zákazníkům začleňovat do svých systémů technologii TNC, a tak využívat investice do existující infrastruktury, aniž by museli slevit z výhod interoperability a svobody volby. Architektura TNC popisuje interakci různých síťových entit, jejímž výsledkem je zjištění stavu klientského systému nebo zařízení, které se pokouší připojit do sítě, a sdělení tohoto stavu dalším síťovým entitám jako jsou systémy, síťová zařízení nebo servery. To umožňuje vyhodnotit klientské zařízení vůči stanoveným minimálním požadavkům bezpečnostní politiky organizace a určit reakci sítě na žádost o přístup. Řešení založená na otevřených specifikacích TNC zajišťují přítomnost, stav a bezpečnostní úroveň bezpečnostních aplikací stejně jako dalších aplikací specifikovaných organizací. Řešení na bázi TNC zajišťují dodržování přístupových politik organizace tak, že ověřují autentizaci zařízení nebo uživatele a předtím, než povolí připojení do sítě, vyžadují vytvoření určité úrovně důvěry. Tato řešení také poskytují možnost realizace karantény a nápravy u zařízení, která nesplňují minimální požadavky bezpečnostní politiky, jak jsou definovány organizací. Toto se realizuje tak, že se problematické zařízení izoluje a pak se u něj provedou, je-li to možné, příslušné nápravné procedury, aby zařízení vyhovovalo stanovené bezpečnostní politice organizace a získalo nárok na přístup do podnikové sítě. Architektura TNC zaloïená na standardech Typická architektura řešení pro řízení síťového přístupu se podobá standardní architektuře bezpečnosti přístupu jako je RADIUS nebo 802.1X. V architektuře řízení síťového přístupu je podniková síť hlídána tzv. bodem vynucení (policy enforcement point vynucuje definovanou politiku), který poskytuje uživatelům nebo zařízením přístup pouze tehdy, pokud byli schváleni serverem pro řízení sítě. Jako bod vynucení může fungovat mnoho různých síťových zařízení: např. přístupový bod 802.1X, přepínač nebo směrovač, firewall, VPN gateway nebo specializované zařízení pro integritu koncového bodu. Na uživatelském zařízení je agent, buď předinstalovaný nebo ho lze stáhnout. Tento agent obvykle pomocí nějakého API nebo zásuvného modulu (plug-in) shromažďuje informace o bezpečnostním stavu zařízení uživatele a stavu bezpečnostních produktů, které jsou na něm nainstalované, a určuje, zda zařízení neobsahuje nějaký malware nebo jiné škodlivé aplikace. Uživatel nebo zařízení je pak autentizováno vůči podnikové síti, aby se ověřilo, že mu bylo schváleno přistupovat do sítě. Jakmile je autentizováno, informace shromážděné o bezpečnostním stavu uživatelského zařízení a stavu jeho bezpečnostního softwaru se porovnaní vůči definovaným politikám organizace pro bezpečnost sítě a přístupů. Když se profil uživatelského zařízení zkontroluje vůči politikám organizace a ověří se, že vyhovuje, uživateli a jeho zařízení může být poskytnut přístup do podnikové sítě. Autentizace uživatele, bezpečnostní stav zařízení, stav bezpečnostního softwaru zařízení, soulad s bezpečnostními politikami a politikami síťového přístupu a autorizace uživatele nebo zařízení to vše bude určovat, zda uživateli a zařízení bude poskytnut přístup do podnikové sítě, anebo zda se provede jiný typ akce např. zamítnutí přístupu do sítě, karanténa nebo náprava zařízení. 6 Copyright 2006, Juniper Networks, Inc

Integrity Client APIs/Plug-ins Integrity Server APIs/Plug-ins Integrity Client Integrity Server Network Control Agent Network Control Server Policy Enforcement Point Obr. 1 Typická architektura a komponenty fiízení síèového pfiístupu Otevřená architektura TNC založená na standardech se řídí podobným modelem. V řešení na bázi TNC obsahuje strana klienta tzv. integrity klienta, který se jmenuje TNC Client. TNC Client spolupracuje s plug-inem IMC (Integrity Measurement Collector), který shromažďuje stavové informace ohledně bezpečnosti klientského zařízení a stavu bezpečnostního případně dalšího softwaru na tomto zařízení. TNC Client dále spolupracuje s komponentou Network Access Requestor, která řídí základové protokoly pro požadavky na síťový přístup (802.1X, Ipsec, TLS/SSL, DHCP). Na straně serveru funguje TNC Server jako Integrity Server. Spolupracuje s plug-inem IMV (Integrity Measurement Verifier), který ohodnocuje bezpečnost koncových bodů na základě informací přijatých od plug-inu IMC a předdefinovaných nebo dynamicky uplatňovaných bezpečnostních politik zavedených organizací. TNC Server dále spolupracuje se síťovou autorizační autoritou (Network Access Authority), kterou je typicky AAA/RADIUS server, který realizuje rozhodnutí TNC Serveru ohledně přístupu a povoluje nebo zamítá koncovému bodu přístup do chráněné sítě v závislosti na tom, zda vyhovuje bezpečnostním síťovým politikám. AR PEP PDP Integrity Measurement Collectors IF-M Integrity Measurement Veriflers IF-IMC IF-IMV TNC Client IF-TNCCS TNC Server IF-T Network Access Requestor Policy Enforcement Point IF-PEP Network Access Authority Supplicant/ VPN Client, etc. Switch/ Firewall/ Gateway, etc. Obr. 2 Architektura a komponenty fiízení síèového pfiístupu TNC (Trusted Network Connect) Copyright 2006, Juniper Networks, Inc 7

Otevřená architektura TNC také poskytuje solidní základ pro budoucí rozšíření řízení přístupu, neboť poskytuje volitelnou podporu pro další standardní komponentu TCG modul TPM (Trusted Platform Module). TPM je hardwarový modul začleněný do zařízení, které umožňuje vzdálenou verifikaci integrity hardwaru a softwaru tohoto zařízení. Nejedná se sice o vyžadovanou komponentu TNC, ale integrováním TNC architektury s modulem TPM lze vytvořit integritu koncového bodu ještě důvěryhodnějším způsobem, který je naprosto imunní vůči jakémukoliv škodlivému softwaru. Existuje tedy způsob jak integrovat zavedené oborové standardy a je definována otevřená architektura založená na standardech. Nyní tedy vše, co podnik potřebuje, je řešení od důvěryhodného dodavatele, respektovaného v daném oboru, který by spojil standardy a otevřenou architektury dohromady a vytvořil řešení integrity koncových bodů a řízení přístupu do sítě, které by bylo možno použít ve smíšeném, heterogenním síťovém prostředí a které by chránilo celou podnikovou síť a různorodá uživatelská zařízení pokoušející se o přístup do ní. Všechno toto a ještě mnohem více je nyní k dispozici od společnosti Juniper Networks v jejím řešení UAC (Unified Access Control). e ení UAC (Unified Access Control) od Juniper Network Unified Access Control (UAC) je komplexní řešení pro řízení síťového přístupu, které v sobě kombinuje výkonnou uživatelskou autentizaci a autorizaci založenou na standardech, řízení a správu politik na bázi identit a bezpečnost a inteligenci koncových bodů, a výsledkem je rozšíření řízení přístupu v rámci celé podnikové sítě. Díky začlenění oborových standardů a zavedených, ověřených a všeobecně přijímaných síťových a bezpečnostních produktů poskytuje řešení UAC od Juniper Networks organizacím spolehlivý prostředek pro realizaci jejích bezpečnostních politik, a to jak před vlastním poskytnutím přístupu uživateli do sítě, tak během trvání relace. Tento model pomáhá organizaci dosáhnout komplexní jednotné bezpečnostní politiky a účinně funguje v boji proti současným síťovým hrozbám. Obr. 3 e ení Unified Access Control (UAC) od Juniper Networks 8 Copyright 2006, Juniper Networks, Inc

UAC & TNC Nová verze řešení Unified Access Control (UAC) od Juniper Networks UAC verze 2.0 umožňuje řízení bezpečného přístupu na bázi standardů v rámci podnikových LAN. UAC v. 2.0 podporuje otevřené specifikace TNC (Trusted Network Connect) pro aplikační prosazování bezpečnostních požadavků u koncových bodů pokoušejících se o připojení do podnikové sítě. Díky podpoře otevřených specifikací architektury TNC umožňuje řešení UAC organizacím využít jejich dosavadní investice do heterogenních síťových zařízení a softwaru. Podpora specifikací architektury pro řízení síťového přístupu na bázi standardů dále zjednodušuje schopnost řešení UAC začlenit se do existujícího síťového prostředí, takže může rychle a cenově efektivně začít zabezpečovat síť a síťová zařízení, což poskytuje podniku maximální flexibilitu při implementaci a velmi vysokou návratnost investic (ROI). UAC dále rozšiřuje své hodnotící schopnosti koncových bodů tak, že začleňuje do svého systému integrity koncových bodů řešení pro antivirus, správu souladu s normami a správu softwarových oprav odpovídající TNC. Poskytuje také podporu pro generická TNC bezpečnostní řešení třetích stran, která tak lze snadno integrovat v rámci soustavy řešení UAC. UAC také rozšiřuje své schopnosti kontroly hostitelského systému, takže podporuje kontroly koncových zařízení podle norem TNC týkající se MAC adres a NetBios systémů. Organizace nyní mohou implementovat řízení přístupů na bázi standardů flexibilním a cenově efektivním způsobem, a to na základě využití UAC podpory pro různé typy prvků pro prosazování politik a schopnosti tohoto řešení zabezpečovat přístup bez nutnosti nákladných síťových upgradů nebo masivních aktualizací softwaru či firmwaru v její síťové infrastruktuře. Obr. 4 e ení UAC v. 2.0 od Juniper Network na architektufie TNC Copyright 2006, Juniper Networks, Inc 9

Shrnutí Řešení UAC v. 2 od Juniper Networks poskytuje komplexní bezpečnost sítě a koncových bodů od síťové vrstvy 2 až po vrstvu 7. Řešení lze snadno a rychle implementovat v rámci zavedených, existujících sítí, a je flexibilní i v rámci měnících se síťových prostředí. Vzhledem k tomu, že UAC je řešení založené na standardech, které využívá a podporuje otevřené specifikace TNC a oborové standardy pro řízení síťového přístupu a integritu koncových bodů, zajišťuje organizaci interoperabilitu a kompatibilitu různých zařízení, a tak organizaci nabízí možnost svobodně volit síťová zařízení a komponenty a vyhnout se potenciálně nákladným, omezujícím závislostem na jediném dodavateli. Výhody a nevýhody proprietárních řešení pro řízení síťového přístupu by měly organizace přesvědčit o tom, aby se vyhýbaly řešením, která jsou proprietární nebo jsou založená na proprietárních standardech, a orientovaly se na řešení důsledně založená na otevřených standardech. Řešení pro řízení síťového přístupu na bázi standardů přinášejí organizacím snadnou implementaci, interoperabilitu, vysokou návratnost investic a svobodnou volbu. Poskytují organizaci možnost vybrat si takovou síťovou infrastrukturu a software, které nejlépe vyhovují a přizpůsobují se jejich neustále se měnícím sítím, a přitom se nemusejí obávat, že se stanou závislými na jednom výrobci či dodavateli. Stnadardní architekturní specifikace pro řízení síťového přístupu TNC (Trusted Network Connect) jsou veřejné, otevřené a dostupné online každému výrobci a to poskytuje vynikající úroveň bezpečnosti a jistoty. Začleněním robustních prověřených oborových standardů, jako je 802.1X, RADIUS a EAP, do svých otevřených architekturních specifikací TNC nabízí nejvyšší úroveň ochrany, která je v dnešních dynamicky se měnících tržních podmínkách nezbytná. Totéž realizuje Juniper Networks prostřednictvím přijetí a použití otevřených specifikací TNC ve svém řešení UAC (Unified Access Control). Díky použití architektury TNC založené na standardech jako jednoho z pilířů svého řešení umožňuje řešení UAC od Juniper Networks organizacím realizovat řízení síťového přístupu v rámci podnikových LAN flexibilním a cenově efektivním způsobem. Využitím podpory UAC pro různé typy prvků pro prosazování politik a díky schopnosti zabezpečovat přístup bez nutnosti nákladného předělávání sítě nebo kompletních aktualizací softwaru či firmwaru síťové infrastruktury umožňuje UAC organizacím využívat jejich existující investice do různorodých síťových zařízení a softwaru pro řízení přístupu. Otevřený přístup UAC založený na standardech prostřednictvím architektury TNC a jeho začlenění dalších oborových standardů jako je protokol 802.1X poskytuje organizacím interoperabilitu nezávislou na výrobcích a tím možnost volby i v případech, kdy byla organizace dříve vázána na použití proprietárních řešení. S řešením UAC od Juniper Networks si organizace může svobodně vybrat kterékoliv z nejlepších síťových komponent a softwaru tak, aby co nejlépe vyhovovaly jejím obchodním potřebám což představuje významné přínosy ve smyslu flexibility, nákladů a hodnoty. PRAHA Nagano III, U nákladového nádraïí 10 130 00 Praha 3 Tel.: +420-266 109 211 Fax: +420-283 840 236 www.soft-tronik.cz OSTRAVA Tvorkovsk ch 5 709 00 Ostrava-Mariánské Hory Tel.: +420-596 622 191 Fax: +420-596 622 486 www.soft-tronik.cz BRATISLAVA Hattalova 8 831 03 Bratislava Tel.: +421-244 631 232 Fax: +421-244 631 233 www.soft-tronik.sk Copyright 2006, Juniper Networks Inc. Všechna práva vyhrazena. Juniper Networks a logo Juniper Networks jsou ochranné známky společnosti Juniper Networks, Inc. ve Spojených státech amerických a dalších zemích. Veškeré další registrované obchodní značky, značky služeb a ochranné známky v tomto dokumentu jsou vlastnictvím společnosti Juniper Networks nebo jejich příslušných vlastníků. Veškeré specifikace podléhají změnám bez předchozího upozornění. Společnost Juniper Networks nepřebírá odpovědnost za jakékoliv nepřesnosti v tomto dokumentu, ani závazek aktualizovat informace v tomto dokumentu. Společnost Juniper Networks si vyhrazuje právo měnit, modifikovat, přesunovat a jinak revidovat tuto publikaci bez předchozího upozornění. 10 Copyright 2006, Juniper Networks, Inc

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář