Cisco NAC Appliance в действии
Специалисты по защите сетей решают сложнейшие задачи, но ни одна из них не приносит столько головной боли, как необходимость контролировать неконтролируемые компьютерные устройства, которые подключены к сети, но не находятся под непосредственным управлением сетевого администратора. Новаторская технология Cisco Systems может предоставить сетевым администраторам возможность автоматической проверки внешних устройств (настольных компьютеров, ноутбуков и КПК) для поиска пробелов в системе безопасности и обновления антивирусных программ. Новый продукт, получивший название Cisco NAC Appliance, повышает безопасность сетей и резко облегчает задачу подключения неконтролируемых компьютеров. Cisco NAC Appliance не только распознает опасности, заключенные в компьютерных устройствах (особенно у путешествующих сотрудников и надомных работников), но и предлагает действенный способ защиты сети от компьютеров, на которые не распространяются ваши правила корпоративной безопасности. В отличие от сотрудников, которые обязаны следовать корпоративным правилам, ваши партнеры, заказчики и поставщики этим правилам не подчиняются, и их компьютеры могут представлять серьезную угрозу. С другой стороны, их компьютеры могут быть вполне "чистыми" и безопасными, но может ли ваш сетевой администратор отличить "чистый" чужой компьютер от "грязного"?
NAC Appliance автоматически проверяет оконечные сетевые устройства на соответствие вашим правилам безопасности, включая проверку версии антивирусного программного обеспечения. Если NAC обнаруживает, что устройство не соответствует вашим правилам, он не дает ему доступа в сеть или предоставляет доступ только к некоторым ограниченным компонентам сетевой системы.
NAC Appliance не просто блокирует опасные компьютеры, но и автоматически лечит их, устанавливая все необходимые средства защиты. К примеру, NAC может подсказать владельцу компьютера, как и где загрузить последние коррекционные модули (патчи) для операционной системы и последние версии антивирусных программ. Кроме того, NAC может автоматически установить на компьютер нужные настройки и параметры для системы безопасности. До недавнего времени безопасность сводилась к строительству неприступной крепости вокруг корпоративной сети. Однако Интернет, беспроводные технологии и другие технологические достижения сделали этот подход совершенно неэффективным. Командировочные сотрудники, посетители и поставщики должны работать в вашей сети, иначе вы не построите эффективный бизнес. К сожалению, на любом постороннем компьютере, подключенном к сети, может сидеть вирус или сетевой червь. Особую опасность несут анонимные подключения.
Некоторые вендоры разработали отличные системы защиты, но большинство этих систем - включая антивирусные программы - должно устанавливаться на клиентских устройствах или управлять подключенными устройствами. Однако организация не может требовать от всех посетителей обязательной установки тех или иных компьютерных программ. В то же время сети и Интернет-коммуникации приобретают все большее значение для бизнеса и требуют от организаций открыть свои сети для чужаков.
Приведем один пример. В США есть Ассоциация тенниса USTA (United States Tennis Association), которая ежегодно проводит в Нью-Йорке турнир Большого шлема - U.S. Open. Ее руководители знали, что производители вирусов любят приурочивать свои атаки к важным датам. В определенный день они активируют множество новых вирусов, для которых еще нет противоядий. Новые вирусы начинают свободно гулять по сетям, нанося огромный ущерб. До 2005 года USTA не подвергалась таким атакам, но было ясно, что рано или поздно атака произойдет. А срыв турнира U.S. Open - это страшный удар по престижу (и карману) организаторов.
"Мы хотели как можно лучше защитить свою организацию и представителей прессы, освещающих наш турнир, - говорит технический директор USTA Карлос Лакоми. - Для этого мы предприняли упреждающие профилактические меры и создали максимально надежную систему безопасности".
Ассоциация USTA отлично контролировала компьютеры своих сотрудников, но не могла управлять компьютерными системами более 400 представителей СМИ из разных стран, которые ежегодно работали на турнире. Именно поэтому USTA установила в прошлом году систему Cisco NAC Appliance.
Особенно важной для USTA была функция маршрутизации виртуальных локальных сетей (VLAN), за счет чего стало возможным направлять весь сетевой трафик через NAC Appliance на Интернет-шлюз. С этого шлюза трафик может свободно выходить в Интернет и другие сети. С помощью NAC Appliance ассоциация USTA предоставила представителям прессы все проводные и беспроводные соединения, необходимые для продуктивной работы, без доступа к своей корпоративной сети.
"NAC Appliance творит настоящие чудеса. Эта система полностью решает все проблемы, связанные с хостингом компьютерных систем журналистов, - утверждает Карлос Лакоми. - Мы не можем заставить журналистов устанавливать на компьютеры дополнительные программы, а межсетевые экраны просто не имеют нужной функциональности, так как не предназначены для полной блокировки доступа в вашу сеть".
Итак, USTA успешно использует Cisco NAC Appliance, чтобы контролировать посетителей своей сети. Другие компании видят, что эта система хорошо подходит для управления устройствами, которыми по определению очень трудно управлять. Это мобильные компьютеры и КПК путешествующих сотрудников, а также настольные компьютеры в небольших удаленных офисах. А в Американском университете это еще и компьютеры студентов.
Американский университет обратился к Cisco Systems после серии разрушительных вирусных атак, кульминацией которых стало катастрофическое распространение червя Sasser весной 2004 года. Эта атака на три дня полностью парализовала университетскую сеть. "Мы совершенно не занимались безопасностью пользовательских систем" - вспоминает Эрик Уикленд, директор университета по вопросам сетевой безопасности.
По его словам, компьютеры студентов, которые университет никак не мог контролировать, стали поистине неисчерпаемым источником червей, вирусов и других сетевых угроз. Лишить студентов доступа к университетской сети невозможно. Университет существует для того, чтобы давать своим студентам полный и беспрепятственный доступ ко всем учебным и сетевым ресурсам, включая учебные расписания и программы, научные исследования, электронную почту и доступ в Интернет. С другой стороны, "вольных студентов" абсолютно невозможно втиснуть в прокрустово ложе сетевой безопасности. Тем не менее, технология Cisco NAC Appliance позволила Американскому университету управлять неуправляемым и контролировать неконтролируемое. "Cisco NAC позволяет внедрить систему безопасности, даже не притрагиваясь к компьютерам студентов," - говорит Эрик Уикленд.
Сегодня Cisco NAC автоматически проверяет компьютер каждого студента в момент подключения к сети и автоматически приводит его в соответствие с общими правилами безопасности. В результате, по словам Эрика Уикленда, количество вирусов и червей в университетской сети сократилось на 40 процентов.
Хотя Cisco NAC создает уникальные условия для защиты сети, успех любой системы безопасности (включая Cisco NAC) требует тщательного планирования и управления. "Cisco NAC - это не та система, которую можно включить и забыть, - говорит Эрик Уикленд. - Компьютерные технологии и угрозы быстро меняются, и мы не можем ни на минуту терять бдительность".
Организации должны постоянно думать о пользователях, об их потребностях и отношении к административному контролю. USTA и Американский университет разработали правила и процессы, которые делают системы NAC практически незаметными. "Мы понимаем, что NAC может полностью отрубить доступ к сети и поэтому его нужно очень внимательно настраивать, - отмечает Эрик Уикленд. - При этом нужно учитывать специфические требования каждой отдельной организации".
Главным достоинством технологии Cisco NAC Эрик Уикленд считает постоянный автоматический контроль над посетителями, которых очень трудно контролировать вручную (например, студентов, которые работают глубокой ночью). "NAC - это аудитор, который никогда не спит" - говорит он.
По материалам компании Cisco Systems
NAC Appliance автоматически проверяет оконечные сетевые устройства на соответствие вашим правилам безопасности, включая проверку версии антивирусного программного обеспечения. Если NAC обнаруживает, что устройство не соответствует вашим правилам, он не дает ему доступа в сеть или предоставляет доступ только к некоторым ограниченным компонентам сетевой системы.
NAC Appliance не просто блокирует опасные компьютеры, но и автоматически лечит их, устанавливая все необходимые средства защиты. К примеру, NAC может подсказать владельцу компьютера, как и где загрузить последние коррекционные модули (патчи) для операционной системы и последние версии антивирусных программ. Кроме того, NAC может автоматически установить на компьютер нужные настройки и параметры для системы безопасности. До недавнего времени безопасность сводилась к строительству неприступной крепости вокруг корпоративной сети. Однако Интернет, беспроводные технологии и другие технологические достижения сделали этот подход совершенно неэффективным. Командировочные сотрудники, посетители и поставщики должны работать в вашей сети, иначе вы не построите эффективный бизнес. К сожалению, на любом постороннем компьютере, подключенном к сети, может сидеть вирус или сетевой червь. Особую опасность несут анонимные подключения.
Некоторые вендоры разработали отличные системы защиты, но большинство этих систем - включая антивирусные программы - должно устанавливаться на клиентских устройствах или управлять подключенными устройствами. Однако организация не может требовать от всех посетителей обязательной установки тех или иных компьютерных программ. В то же время сети и Интернет-коммуникации приобретают все большее значение для бизнеса и требуют от организаций открыть свои сети для чужаков.
Приведем один пример. В США есть Ассоциация тенниса USTA (United States Tennis Association), которая ежегодно проводит в Нью-Йорке турнир Большого шлема - U.S. Open. Ее руководители знали, что производители вирусов любят приурочивать свои атаки к важным датам. В определенный день они активируют множество новых вирусов, для которых еще нет противоядий. Новые вирусы начинают свободно гулять по сетям, нанося огромный ущерб. До 2005 года USTA не подвергалась таким атакам, но было ясно, что рано или поздно атака произойдет. А срыв турнира U.S. Open - это страшный удар по престижу (и карману) организаторов.
"Мы хотели как можно лучше защитить свою организацию и представителей прессы, освещающих наш турнир, - говорит технический директор USTA Карлос Лакоми. - Для этого мы предприняли упреждающие профилактические меры и создали максимально надежную систему безопасности".
Ассоциация USTA отлично контролировала компьютеры своих сотрудников, но не могла управлять компьютерными системами более 400 представителей СМИ из разных стран, которые ежегодно работали на турнире. Именно поэтому USTA установила в прошлом году систему Cisco NAC Appliance.
Особенно важной для USTA была функция маршрутизации виртуальных локальных сетей (VLAN), за счет чего стало возможным направлять весь сетевой трафик через NAC Appliance на Интернет-шлюз. С этого шлюза трафик может свободно выходить в Интернет и другие сети. С помощью NAC Appliance ассоциация USTA предоставила представителям прессы все проводные и беспроводные соединения, необходимые для продуктивной работы, без доступа к своей корпоративной сети.
"NAC Appliance творит настоящие чудеса. Эта система полностью решает все проблемы, связанные с хостингом компьютерных систем журналистов, - утверждает Карлос Лакоми. - Мы не можем заставить журналистов устанавливать на компьютеры дополнительные программы, а межсетевые экраны просто не имеют нужной функциональности, так как не предназначены для полной блокировки доступа в вашу сеть".
Итак, USTA успешно использует Cisco NAC Appliance, чтобы контролировать посетителей своей сети. Другие компании видят, что эта система хорошо подходит для управления устройствами, которыми по определению очень трудно управлять. Это мобильные компьютеры и КПК путешествующих сотрудников, а также настольные компьютеры в небольших удаленных офисах. А в Американском университете это еще и компьютеры студентов.
Американский университет обратился к Cisco Systems после серии разрушительных вирусных атак, кульминацией которых стало катастрофическое распространение червя Sasser весной 2004 года. Эта атака на три дня полностью парализовала университетскую сеть. "Мы совершенно не занимались безопасностью пользовательских систем" - вспоминает Эрик Уикленд, директор университета по вопросам сетевой безопасности.
По его словам, компьютеры студентов, которые университет никак не мог контролировать, стали поистине неисчерпаемым источником червей, вирусов и других сетевых угроз. Лишить студентов доступа к университетской сети невозможно. Университет существует для того, чтобы давать своим студентам полный и беспрепятственный доступ ко всем учебным и сетевым ресурсам, включая учебные расписания и программы, научные исследования, электронную почту и доступ в Интернет. С другой стороны, "вольных студентов" абсолютно невозможно втиснуть в прокрустово ложе сетевой безопасности. Тем не менее, технология Cisco NAC Appliance позволила Американскому университету управлять неуправляемым и контролировать неконтролируемое. "Cisco NAC позволяет внедрить систему безопасности, даже не притрагиваясь к компьютерам студентов," - говорит Эрик Уикленд.
Сегодня Cisco NAC автоматически проверяет компьютер каждого студента в момент подключения к сети и автоматически приводит его в соответствие с общими правилами безопасности. В результате, по словам Эрика Уикленда, количество вирусов и червей в университетской сети сократилось на 40 процентов.
Хотя Cisco NAC создает уникальные условия для защиты сети, успех любой системы безопасности (включая Cisco NAC) требует тщательного планирования и управления. "Cisco NAC - это не та система, которую можно включить и забыть, - говорит Эрик Уикленд. - Компьютерные технологии и угрозы быстро меняются, и мы не можем ни на минуту терять бдительность".
Организации должны постоянно думать о пользователях, об их потребностях и отношении к административному контролю. USTA и Американский университет разработали правила и процессы, которые делают системы NAC практически незаметными. "Мы понимаем, что NAC может полностью отрубить доступ к сети и поэтому его нужно очень внимательно настраивать, - отмечает Эрик Уикленд. - При этом нужно учитывать специфические требования каждой отдельной организации".
Главным достоинством технологии Cisco NAC Эрик Уикленд считает постоянный автоматический контроль над посетителями, которых очень трудно контролировать вручную (например, студентов, которые работают глубокой ночью). "NAC - это аудитор, который никогда не спит" - говорит он.
По материалам компании Cisco Systems
Сетевые решения. Статья была опубликована в номере 08 за 2006 год в рубрике success story