Työasemat tarkastukseen
PERTTI HÄMÄLÄINEN • TESTIT: TERO MÄKIKANGAS • KUVAT: TIMO SIMPANEN
Työasemat tarkastukseen
Verkon voi virittää puolustamaan itse itseään haittaohjelmia vastaan. Pitävän suojan aikaansaaminen ei kuitenkaan ole aivan helppoa.
Mukana vertailussa:
• Cisco Nac Appliance 3310
• Extreme Networks Sentriant AG
• Juniper Networks IC 4000 + SSG-5-SH
• Symantec Network Access Control 11.0 Full edition
• Trend Micro Network Viruswall Enforcer 2500
Nac-termin lanseerasi Cisco Systems vuonna 2003 osana itsepuolustustaitoisten verkkojen markkinointiarkkitehtuuriaan. Lyhenteen merkitys oli tuolloin network admission control. Ajatuksena oli myöntää verkkoon pyrkiville laitteille pääsy vasta sen jälkeen, kun niiden terveys oli varmistettu.
Ajankohtaisena kimmokkeena toimivat ip-verkossa omatoimisesti leviävät haittaohjelmat kuten Blaster ja Sql slammer. Ne aiheuttivat tuohon aikaan ikäviä ongelmia eri puolilla maailmaa, myös monissa suomalaisissa organisaatiossa. Esimerkiksi elokuussa 2003 suljettiin 80 Nordean asiakaspalvelukonttoria Blaster-pohjaisen Lovsan-viruksen aiheuttaman epidemian takia.
Verkon ulkoreuna on yleensä palomuureilla ja sähköpostin virustorjunnalla asianmukaisesti suojattu, mutta sisäverkkoon tuotu saastunut matkamikro voi levittää tartuntaa hallitsemattomasti ennen paljastumistaan. Vaikka tietoturvaohjelmien päivitykset työasemiin hoidettaisiin keskitetysti, verkkoon kirjautumisen ja työaseman päivittymisen välinen aika muodostaa haavoittuvuusikkunan. Usein tämä aika on tunteja tai jopa päiviä.
Työaseman terveys on moniulotteinen käsite. Tärkeitä terveyden tuntomerkkejä ovat muun muassa vapaus haittaohjelmista, ajan tasalla olevat haittaohjelmien torjuntatyökalut, haavoittuvuuksia korjaavat ohjelmapaikkaukset sekä asetukset työaseman palomuuriohjelmassa. Näiden käyttöä säätelevät yrityksen tietoturvapolitiikasta johdetut yksityiskohtaiset säännöt.
Nac toimii tarkastamalla työasemasta jo ennen verkkoon kirjautumista, ovatko sen varusohjelmien tasot ja turvaohjelmien asetukset yrityksen tietoturvapolitiikan mukaiset. Jos ovat, työasema päästetään kirjautumaan verkkoon normaalisti. Muut ohjataan erilliselle turvavyöhykkeelle korjaavia toimenpiteitä varten.
Standardi on vielä haussa
Nacista ei tullut menestystä hetkessä. Se oli kuitenkin ajatuksena herkullinen ja herätti koko joukon kilpailijoita, jotka ryntäsivät tuomaan markkinoille omia, kevyempiä ja laitevalmistajista vähemmän riippuvaisia ratkaisujaan. Jotta Ciscon apinointi ei olisi liian ilmeistä, lyhenteelle nac annettiin pian uusi merkitys network access control.
Kiivas kilpailu tuotti keskenään epäyhteensopivia ratkaisuja. Tilanne ei ollut omiaan herättämään asiakkaiden luottamusta. Nac pysyikin vuosikausia suurena lupauksena, jonka kehittymistä potentiaaliset asiakkaat seurasivat kunnioittavan välimatkan päästä.
Standardointityötä on tehty ennen kaikkea tcg-ryhmässä (www.trustedcomputinggroup.org). Tämä luotettavien tietojärjestelmien edistämiseen keskittynyt tietokone- ja verkkovalmistajien yhteenliittymä on eräänlainen ”abc”-organisaatio (anybody but Cisco). Nacin standardoinnissa on Juniperilla ollut erityisen näkyvä rooli, ja aktiivisia toimijoita ovat olleet myös Microsoft ja Extreme Networks.
Tcg n näkemys nacista on nimeltään tnc (trusted network connect). Standardiperheeseen kuuluu niin yleisen arkkitehtuurin kuin nac-prosessiin osallistuvien komponenttien määritysdokumentteja. Osa alistandardeista on jo versiossa 1.2. Työllä on konkreettinen tavoite: eri valmistajien työasema-, verkko- ja palvelinkomponenttien ristiintoimivuus nac-toteutuksissa. Käytännössä näin pitkällä ei vielä olla.
Koneet karanteeniin
Palataanpa alkuperäiseen tehtävänasetteluun. Ongelmana on siis verkkoon tuleva työasema, joka saattaa olla haittaohjelmien saastuttama. Paras tapa torjua haittaohjelmat on varmistaa, että työaseman tietoturvaohjelmat ja -asetukset ovat yrityksen tietoturvapolitiikan mukaiset.
Tarkastusta varten työasema on kuitenkin päästettävä johonkin verkkoon. Analogia löytyy maahanmuuttoviranomaisten käytännöistä: maahan (verkkoon) pyrkijät laitetaan ensin karanteeniin, jossa heidän terveytensä tarkastetaan ja tarvittaessa varmistetaan rokotusten ja muiden hoitojen (ohjelmistopäivitysten ja haittaohjelmien poistojen) avulla.
Karanteeniverkko voidaan toteuttaa verkkoteknisesti monin tavoin. Kakkoskerroksella eli siirtoyhteyskerroksella työasema eristetään tuotantoverkosta tyystin, kolmoskerroksella sille annetaan ip-osoite tuotantoverkon sijaan karanteenialiverkosta.
Nac-laitteet voivat toimia linjalla (in-band) eli fyysisesti verkkoon pyrkivän työaseman ja tuotantoverkon välissä, jolloin ne voivat tarkkailla kaikkea lävitseen kulkevaa liikennettä. Toinen vaihtoehto on toimia sivussa (out-of-band) ja ohjata verkon pääsynvalvontaa hoitavia laitteita keskitetystä hallintapisteestä käsin.
Virtuaalisesti varmimmin
Toteutustavan valintaan vaikuttaa ennen kaikkea halutun suojauksen vedenpitävyys. Ip-osoitteistuksen keinoin karanteenialiverkkoon ohjattu työasema ei näe tuotantoaliverkon työasemia verkkokerroksella, joten suojaus pätee lähes kaikkiin internetissä leviäviin viruksiin. Sen sijaan jokin siirtoyhteyskerroksella toimiva haittaohjelma voisi nuuskia verkosta löytyvien koneiden mac-osoitteita ja käynnistää hyökkäyksen ip-kerroksesta piittaamatta.
Jos karanteeniverkosta tehdään oma vlan eli siirtoyhteyskerroksen virtuaalilähiverkko, suojaus lähentelee fyysisesti erillisen verkon käyttöä. Päivityspalvelimet voidaan sijoittaa joko suoraan karanteeniverkkoon tai reitityksen taakse omaan virtuaaliverkkoon.
Miten verkkoon tuleva työasema sitten saadaan ohjattua tilanteen mukaan karanteeniin tai tuotantoverkkoon? Avaintekniikka on porttikohtainen pääsynvalvonta eli 802.1x, johon pohjautuu myös langattomien lähiverkkojen wpa-standardi (katso 802.1x-tukiasemien vertailu Tietokone 6/2004).
802.1x:n alkuperäinen tavoite oli tietoturva: Ethernet-kytkimen porttiin kytketty työasema saa pääsyn verkkoon vain, jos työaseman ja käyttäjän tunnistus onnistuu. Työasemassa tarvitaan 802.1x-suplikantiksi kutsuttu agenttiohjelma, joka hoitaa käyttäjätietojen kyselyn ja kommunikoinnin kytkimen kanssa. Käyttäjän ja työaseman todennus toteutetaan radius-palvelun avulla, ja erilaisia todennustapoja ja niiden laajennuksia voidaan kehittää avoimen eap-käytännön avulla.
Verkkoon pääsyn avaamisen ja poissulkemisen lisäksi on muitakin vaihtoehtoja. Esimerkiksi suplikantin puuttuessa, työasemalle voidaan avata pääsy vierailijaverkkoon, josta on pääsy vain internetiin. Tällainen vierasverkko toteutetaan yrityksen ethernet-verkossa parhaiten vlan-tekniikalla.
Virtuaaliverkkoihin pohjautuva nac on tämän idean laajennus. Tuotanto- ja vierailija-vlanien lisäksi luodaan karanteeni-vlan työasemien tervehdyttämistä varten, ja suplikantti hoitaa tunnistuksen lisäksi myös terveystarkastuksen.
Reitityksellä helpommin
Ip-kerroksella mahdollisuuksia karanteenin toteuttamiseen on useampia. Suosittu menettely on muokata dhcp-palvelun toimintaa tavalla, joka antaa epäkelvolle työasemalle osoitteen karanteenialiverkosta ja tuntemattomalle koneelle osoitteen vierailija-aliverkosta. Reititykset päivityspalveluihin ja internetiin hoidetaan normaaliin tapaan.
Koska karanteeni on tilapäinen sijainti, osoitteen vuokra-aika voi olla hyvin lyhyt. Jos mahdollisesti saastunut kone halutaan eristää mahdollisimman tarkkaan muista, karanteenialiverkkoja voidaan määritellä useampia ja pyrkiä sijoittamaan kuhunkin vain yksi kone kerrallaan.
Dhcp-menettelyn ongelmana on, että se suojaa verkkoa vain dhcp-osoitteistusta käyttäviä työasemia vastaan. Jos työasema tulee tuotantoverkkoon käyttäen kelvollista kiinteätä ip-osoitetta, se pääsee ohittamaan koko nac-kontrollin. Olipa kyse päivittämättä jääneestä ikivanhasta työasemasta, itsepäisestä nörtistä tai ulkopuolisesta tunkeilijasta, riski on olemassa.
Agentilla tai ilman
Nac-ohjain voi myös toimia linjalla tarkkaillen lävitseen kulkevaa liikennettä. Laite voidaan toteuttaa joko siirtoyhteyskerroksella siltalaitteella tai verkkokerroksella reitittimenä. Menettelyä on vaikea ohittaa, koska nac-laite toimii palomuurina estäen yhteydet tuotantoverkkoon. Toisaalta verkon topologia ei aina tee helpoksi suojata kaikkia työasemia tällä tekniikalla.
Parhaiten nac-silta tai -reititin soveltuu etäkäyttäjien vartioimiseen. Jos tällainen laite sijoitetaan yrityksen rungon ja reunakytkinten väliin, siitä voi muodostua suorituskykymielessä pullonkaula. Työasemat eivät myöskään ole pomminvarmassa suojassa toisiltaan, vaan nac-kontrollia läpäisemättömät työasemat saattavat pystyä kommunikoimaan terveiden työasemien kanssa.
Parhaan turvatason antavat työasemiin pysyvästi asennetut agentit. Asennus voidaan hoitaa joko mikrotuen toimesta tavallisena ohjelmistojakeluna tai ohjaamalla uudet käyttäjät selaimella sivulle, josta agentti asennetaan activex- tai java-tekniikalla. Joko työaseman käyttäjällä tai asennuspalvelimella pitää tietysti olla asennuksen aikana paikallisen pääkäyttäjän oikeudet.
Aina ohjelmien asennus ei kuitenkaan ole mahdollista. Esimerkiksi vierastyöasemiin ei yrityksen mikrotuki useinkaan pääse asentamaan yhtään mitään. Jonkinlaisen avun tarjoavat agentittomat ratkaisut, joissa työasemiin ladataan tilapäinen java- tai activex-komponentti selaimen kautta. Näillä voidaan tarkastaa vaikkapa, että yrityksen vierasverkkoon tulevalla käyttäjällä on edes jonkinlainen virustorjunta koneessaan.
Älä unohda käyttäjää
Nacin käyttöönotto on suuri muutos yrityksen toimintatapoihin, ja sitä ei pidäkään ottaa käyttöön hätiköiden. Tietoturvakäytäntöjen tiukentaminen tietää aina jonkin asteista epämukavuutta niin käyttäjille kuin tukiorganisaatiollekin. Esimerkiksi erilaiset käyttäjäryhmät, suojaustarpeet ja päivitysrutiinit on syytä käydä läpi.
Monella isommalla yrityksellä on ohjelmistojen ylläpitoryhmä, joka valitsee ohjelmistovalmistajien päivityspalveluista saatavat ohjelmaversiot ja -paikkaukset ja testaa ne omassa ympäristössä ennen niiden jakelua työasemiin.
Nac-ohjelmistot saavat kuitenkin tiedon päivityksistä suoraan valmistajien palveluista, mikä vaatii palvelujen synkronointia. Ylläpitäjien on pidettävä huoli siitä, että kriittinen paikkaus on vapautettu yrityksen omalta päivityspalvelimelta ennen kuin nac alkaa vaatia sitä työasemilta.
Käytännöt voivat myös vaihdella tilanteen mukaan. Esimerkiksi virusepidemian raivotessa voi olla tarpeen vaatia kaikkiin työasemiin tehtäväksi tarkastuksia ja päivityksiä heti odottamatta seuraavaa sisäänkirjautumista. Hädän hetkellä nac-ohjelmistojen avulla voi äärimmäisenä toimenpiteenä siirtää työaseman karanteeniin vaikka kesken työpäivän.
Toisaalta nac-tuotteet antavat mahdollisuuden lähteä liikkeelle niin hienovaraisesti, että käyttäjät eivät juuri huomaa mitään muutosta tapahtuneenkaan. Agenttien ja palvelinten asennuksen jälkeen voidaan vain seurata tilannetta sen sijaan, että käyttäjiä heti pakotettaisiin mihinkään karanteeneihin. Lokeja ja tilastoja selaamalla nähdään, kuinka suuri ongelma tietoturvapolitiikan vastaiset koneet itse asiassa ovat.
Nac tuo muutoksia verkkoon
Nac-ratkaisuja tarjoaa maailmalla hyvinkin kolmattakymmentä valmistajaa. Kelpuutimme testiin edustavan valikoiman tuotteita, joita on jo ehditty ottaa Suomessakin käyttöön.
Valitsimme testipenkiksi hypoteettisen yritysverkon, jossa työasemien päivitys oli hoidettu Windows-verkon parhaita käytäntöjä noudattaen. Windowsin päivitykset haettiin ensin yrityksen omalle wsus-palvelimelle, ja wsus-asetukset määriteltiin työasemille aktiivihakemiston ryhmäkäytäntöjen avulla.
Yrityksen oman jakelupalvelimen avulla oli toteutettu myös virustorjuntaohjelmiston ja tuntomerkkikannan päivitysten ylläpito työasemille. Nac-laitteet tukevat laajaa joukkoa tietoturvaohjelmistoja, joista testiverkkoon poimittiin Panda Security. Valinta oli neutraali, koska yhtiöllä ei ole omaa nac-tuotetta tarjolla.
Testiverkossa lähes kaikki palvelut oli sijoitettu samalle palvelimelle, mikä ei ole reaalimaailman nac-toteutusten kannalta tarkoituksenmukaista. Windowsin päivityspalvelu olisi syytä erottaa Pandan tavoin omalle palvelimelleen, joka voitaisiin sijoittaa karanteeniverkkoon. Myös dhcp-palvelu olisi järkevää sijoittaa muualle kuin raskaasti kuormitetulle tietokanta- ja sähköpostipalvelimelle.
Tarve kehittää verkon rakennetta tuleekin helposti vastaan nac-ratkaisua käyttöönotettaessa. Testiverkon kytkimenä alun perin ollut Zyxel Dimension GS-2024 työryhmäkytkin osoittautui 802.1x-taidoiltaan puutteelliseksi, ja se vaihdettiin Allied Telesis AT-8000S -kytkimeen. Palvelinrakennetta ei kuitenkaan lähdetty testin puitteissa uusimaan, koska nac-tuotteiden toiminnallisuus oli todettavissa näinkin.
Hinta-laatu-graafista huomattakoon, että Extremen ratkaisun hinta ei ole täysin vertailukelpoinen muiden kanssa: Se sisältää vain ohjelmiston hinnan ilman laitteiston hankinta- ja ylläpitokuluja. Myös Symantecin ratkaisuun on laskettava lisäksi erillinen hallintapalvelinlaitteisto.
Pisteitä jakamassa
Pisteytysperusteista käyttöönotto ja hallinta arvostettiin neljänneksen arvoiseksi. Trendin toiminnoiltaan rajoittunein tuote on helpoin ottaa käyttöön, Symantecin toiminnoiltaan runsas hallintapalvelimen ohjelma on viimeistelty ja selainkäyttöisiä kilpakumppaneitaan selkeämpi. Extreme Networks saa roimasti miinusta hallintaohjelman puutteista.
Ohjelmistotuki ja tarkistukset ovat nac-ratkaisun keskeisintä toimialuetta. Työasemien käyttöjärjestelmätuki sekä ohjelmapaikkausten ja -versioiden hallinnan laajuus ja yksityiskohdat olivat monipuolisimpia Juniperilla. Sen sijaan Symantec on varannut parhaat herkut Sep-ohjelmaansa, eikä saa kiitettävää Nacistaan. Trendillä tämä alue on peräti suppea, Extremellä toteutetut tarkistukset on tehty todella hyvin, mutta kohteita saisi olla enemmän.
Koska aivan pienet yritykset tuskin ottavat ensimmäisten joukossa nac-ratkaisua käyttöön, kasvunvaraa arvostettiin korkealle. Juniper voidaan sovittaa hyvinkin suureen ja monimutkaiseen verkkoon, Symantecilla monipuoliset toimintomoodit helpottavat soveltamista.
Ciscolla kasvattamista rajoittaa vaatimus Ciscon kytkimistä out-of-band-moodissa, testilaitteen pieni käyttäjämäärä on korjattavissa rinnakkaismalleilla. Extremellä yksittäisen laitteen kapasiteetti, Trendillä toiminnalliset rajoitukset rajaavat skaalautuvuutta.
Yleistä toiminnallisuutta arvioitaessa tärkeimmäksi piirteeksi nousi ratkaisujen tapa käsitellä tarkastuksissa reputtanutta työasemaa. Symantec nousi muita päätään pitemmäksi automaattisten tervehdyttämistoimiensa ansiosta.
Työasemaohjelman ominaisuudet ovat Trend Micron ja Extreme Networksin käyttäjälle lähes näkymättömiä, kun taas Juniper antaa pääkäyttäjän erikseen piilottaa tavattoman monipuolisesta ohjelmastaan pursuavia säätöjä peruskäyttäjältä.
Nap valvoo Windows-verkossa
Microsoft on toteuttanut nap (network access protection) -tekniikkansa työasemaosuuden jo Windows Vista -käyttöjärjestelmässä. Koodi on kuitenkin maannut puolitoista vuotta hyödyttömänä työasemien kiintolevytilaa syömässä, koska sen vaatimat palvelinkomponentit tulivat markkinoille vasta Windows Server 2008:n mukana.
Microsoftin nap on kunnianhimoinen hanke. Se kattaa lähestulkoon kaikki tavat, joilla työasema voi kirjautua Windows-verkkoon. Karanteeniin pakotukseen on monia eri tapoja, jotka soveltuvat käytettäväksi dhcp:llä ja 802.1x:llä sekä vpn-, ipsec- ja terminal services -työasemille. Ratkaisu kattaa myös työasemien automaattisen tervehdyttämisen esimerkiksi wsus-palvelun kautta.
Microsoft on etukäteen pyrkinyt varmistamaan nap-toteutuksensa yhteensopivuuden sekä Ciscon nacin että tcg-ryhmän tnc-arkkitehtuurin kanssa. Eri valmistajien tuotteisiin tarvittaneen kuitenkin vielä jokunen päivityskierros, ennen kuin ristiintoimivuus toteutuu kaikilta osin käytännössä. Joka tapauksessa tulee olemaan mielenkiintoista nähdä, onnistuuko Microsoftin ratkaisu vauhdittamaan nac-ratkaisujen käyttöönottoa yrityksissä.
Juniper IC 4000 + SSG-5-SH-palomuuri
Juniperin nac-ratkaisun arkkitehtuuri on tinkimättömän selkeä ja suuriinkin verkkoihin skaalautuva. Osaava pääkäyttäjätiimi saa nostettua verkkonsa tietoturvan tasoa aidosti. Tuote vaatii kuitenkin soveltajiltaan taidon lisäksi näkemystä ja vahvan tahtotilan.
Cisco Nac Appliance 3310
+ Joustavuus; soveltuvuus eri verkkotopologioihin
– Cisco-sidonnaisuus out-of-band-moodissa; suunnittelun vaativuus
Arvosana: 7,9
Ciscon nac-laitteisto koostuu kahdesta kehikkoasennettavasta palvelimesta. Managerilla hallitaan kokonaisuutta, Server on varsinainen nac-laite.
Ciscon ratkaisu on soveltamistapojensa suhteen varsin monipuolinen. Vlaneja ja reititystä soveltamalla nac-palvelin voidaan aina sijoittaa joko verkon laidalle tai runkoverkkoon. Nac-palvelin voi toimia joko siirtoyhteys- tai verkkokerroksella, ja kummassakin tapauksessa se voidaan sijoittaa joko linjalle tai out-of-band-moodiin.
Linjalla ollessaan nac-palvelin ei ota kantaa muuhun verkkoinfraan, koska se näkee kaiken lävitseen kulkevan liikenteen. Out-of-band-moodissa ollessaan se kuitenkin vaatii verkkoon Ciscon laitteet; esimerkiksi käskiessään kytkimiä vaihtamaan portin dynaamisesti vlanista toiseen se käyttää Cisco-spesifejä snmp-komentoja.
Työaseman tarkastusten määrittelyt tehdään nelitasoisella hierarkialla. Alinna määritellään yksittäiset tarkastukset, sen jälkeen niitä käyttävät säännöt, joista kootaan vaatimuksia, joita voidaan vielä soveltaa eri tavoin eri rooleissa. Rakenne on varsin joustava, ja valmiita tarkastuksia ja sääntöjä on tarjolla runsaasti.
Cisco Nac Appliance 3310
Hinta: Hallinta- ja palvelinlaitteet ohjelmistoineen 250 työasemalle 14 680 €
Valmistaja: Cisco Systems, www.cisco.com
Lisätietoja: Cisco Systems, puh. 020 470 61, www.cisco.com/fi
Lyhyesti: Monipuolinen ja suuriinkin verkkoihin skaalautuva nac-toteutus, jota voi soveltaa monin eri tavoin.
Extreme Networks Sentriant AG
+ Esimerkillisesti toteutettuja yksityiskohtia
– Hallintaohjelman keskeneräisyys, toimintojen rajoittuneisuus
Arvosana: 6,8
Extremen Sentriant on Linux-koneessa toimiva ohjelmisto, jota hallitaan selaimella. Asennus voi toimia kolmessa eri moodissa, mutta vain yhdessä kerrallaan: joko dhcp-pakottimena, siirtoyhteyskerroksen siltana tai 802.1x/vlan-pakottimena. Testilaite toimi näistä ensin mainittuna, joka on maahantuojan mukaan Suomessa yleisimmin käytetty.
Sääntöjen ja käytäntöjen määrittely on suoraviivaista verrattuna Ciscon ja Juniperin monitasoiseen hierarkiaan.
Monet tarkastukset oli tehty ja automatisoitu todella hyvin, mutta tuettujen ohjelmapäivitysten tai haavoittuvuuksien listat olivat vertailun muita tuotteita suppeampia.
Valmiita listoja ei voinut mitenkään itse editoida.
Extremen ratkaisussa on monia hyviä oivalluksia ja toimintoja, mutta kokonaisuutta haittasi keskeneräisyyden tuntu. Hallintaohjelman konsoli listaa valitun ajanjakson aikana esiintyneet nac-tapahtumat – pääkäyttäjä hyötyisi enemmän valittujen työasemien nykytilasta kuin sekavasta historiatiedosta.
Pääkäyttäjä voi myöntää valitulle käyttäjälle työaseman puutteista huolimatta pääsyn verkkoon 24 tunniksi – muuta ajanjaksoa ei ollut tarjolla, eikä peruutusmahdollisuutta ollut.
Extreme Networks Sentriant AG
Hinta: Ohjelmistot ilman palvelinlaitteistoa 250 työasemalle 8 845€
Valmistaja: Extreme Networks, www.extremenetworks.com
Lisätietoja: Extreme Networks, puh. (09) 5406 4101, www.extremenetworks.com
Lyhyesti: Lupaava mutta monilta osin keskentekoinen nac-ratkaisu, jonka kehitystä kannattaa seurata.
Juniper IC 4000 + SSG-5-SH
+ Toimiva arkkitehtuuri; skaalautuva ratkaisu
– Voi edellyttää muutoksia verkkoon; vaatii osaamista
Arvosana: 8,5
Juniperin uac (unified access control) nojaa vahvasti 802.1x- ja vlan-ajatteluun. Keskeiset rakennusosat ovat infranet controller -laitteeseen (ic) sisältyvä Steel-belted radius ja työasemiin asennettava Odyssey-suplikantti.
Ic:n voi asentaa yritysverkossa mihin kohtaan hyvänsä komentamaan kytkimiä ja vahtimaan työasemia. Laite tukee 13 kytkinvalmistajan radius-laajennuksia. Odyssey taas on vertailun etevimpiä työasemaohjelmia, ja siihen on integroitu muun muassa ipsec-toiminnot.
Juniper ei kuitenkaan luota pelkkiin vlaneihin tietoturvan luonnissa, vaan ottaa mukaan verkkokerroksen pääsykontrollit Ssg-palomuurimalliston avulla.
Ic voi paitsi sijoittaa työaseman tiettyyn vlaniin myös muokata palomuurien sääntöjä dynaamisesti ad:hen integroidun käyttäjän tunnistuksen sekä työaseman terveystarkastuksen tulosten perusteella. Käyttäjien ja koneiden ryhmittelyä voi ohjata eri vaiheissa monipuolisella realm- ja roolipohjaisella hierarkialla.
Ohjelmapäivitysten hallintaohjelmista Juniper on integroinut tuotteeseen Shavlikin. Panda ei vielä kuulunut valmiiksi tuettujen virustorjuntaohjelmien joukkoon.
Juniper IC 4000 + SSG-5-SH
Hinta: Hallintalaite ja palomuuri ohjelmistoineen 250 työasemalle 16 574€
Valmistaja: Juniper Networks, www.juniper.net
Lisätietoja: Juniper Networks Finland / Santa Monica Networks, puh. (09) 2510 7320 / (09) 8562 0980, www.juniper.net / www.smn.fi
Lyhyesti: Kunnianhimoinen, standardointityössäkin suunnannäyttäjänä toimiva nac-ratkaisu, jonka ominaisuudet eivät lopu kesken isossakaan ympäristössä.
Symantec Network Access Control 11.0 Full edition
+ Monipuolisuus; integrointi Symantecin tietoturvaohjelmistoihin
– Ei-Windows-agenttien puute; pakotinlaitteistojen hinta
Arvosana: 8,5
Symantecin Nac-paletti on testin monipuolisin. Yhtiö tarjoaa sekä pelkästään ohjelmallisia ratkaisuja että verkkoon kytkettäviä nac-laitteistoja. Käytäntöjen määrittely ja järjestelmän hallinta tapahtuu erillisellä, omaan palvelimeensa asennettavalla Symantec Endpoint Protection Manager -sovelluksella.
Kevyimmän tason pakottimena voi toimia työasema itse rajoittamalla liikennöintiä palomuurisäännöillään.
Seuraavaksi kevein taso on verkkokerroksella toimiva dhcp-suojaus. Pakotin voidaan asentaa ohjelmana Microsoftin dhcp-palvelua tarjoavaan palvelimeen tai erillisenä pakotinlaitteena verkkoon, jos dhcp-palvelu on toteutettu muulla tavoin.
Jos työasema ei täytä vaatimuksia, dhcp-pakotin voi verkkomaskilla ja gateway-määrityksellä estää sen liikennöinnin muihin koneisiin kuin itseensä, mutta sallia staattisilla reiteillä yhteydet päivityspalvelimiin.
Yhdyskäytäväpakotin voidaan asettaa vaikkapa internet-reitittimen ja yritysverkon väliin linjalle vartioimaan vpn-etäkäyttäjiä. Viimeisenä vaihtoehtona lähiverkkopakotin toteuttaa 802.1x- ja vlan-menettelyillä tiukimman tason suojauksen työasemille.
Symantec Network Access Control 11.0 Full edition
Hinta: Hallintaohjelmistot ilman palvelinkonetta ja yksi pakotinlaite 250 työasemalle 19 653€
Valmistaja: Symantec, www.symantec.com
Lisätietoja: Symantec Finland, puh. 010 2177 000, www.symantec.fi
Lyhyesti: Monipuolinen nac-järjestelmä, jonka kaikkien ominaisuuksien hyödyntämiseen tarvitaan useita kalliita pakotinlaitteita.
Trend Micro Network
Viruswall Enforcer 2500
+ Kevyt käyttöönotto; integrointi muihin Trend Micron tuotteisiin
– Rajoittunut toiminnallisuus; tuki vain Windows-työasemille
Arvosana: 7,3
Trend Micron laite toimii puhtaasti siirtoyhteyskerroksen siltana. Testissä käyneen viisiporttisen mallin lisäksi on saatavissa myös huokeampi kaksiporttinen versio. Laite sopii hyvin esimerkiksi internet-reitittimen ja sisäverkon väliin suojaamaan etäkäyttäjäyhteyksiä tai reunakytkimen ja runkoverkon väliin suojaamaan työasemia.
Isossa verkossa laitteita voidaan tarvita useita, ja niiden keskitettyyn hallintaan on saatavissa erillinen Control manager -ohjelma. Verkon topologia ja laitteiden kapasiteetti voi asettaa rajoituksia soveltamiselle.
Nimensä mukaisesti laite toimii nac-pakottimena eristäen politiikan vastaiset työasemat verkosta. Laite toimii itsenäisesti, eikä sillä voi ohjata muiden verkkolaitteiden toimintaa.
Trend Micron tausta ja vahvuudet ovat virustorjunnassa. Niinpä saastunut työasema voidaan tarkastaa ja puhdistaa verkon läpi. Laite tutkii myös lävitseen menevää liikennettä, josta se osaa estää verkkomatojen kaltaisen pahantahtoisen liikenteen. Muuta liikennettä kuten sähköpostia tai verkossa siirrettäviä tiedostoja se ei kuitenkaan analysoi eikä estä.
Trend Micro Network Viruswall Enforcer 2500
Hinta: Laitteisto ohjelmistoineen 250 työasemalle 18 294€
Valmistaja: Trend Micro, emea.trendmicro.com
Lisätietoja: Trend Micro Finland, puh. (09) 4730 8300, emea.trendmicro.com
Lyhyesti: Helppo, mutta toiminnoiltaan ja soveltuvuudeltaan rajoittunut virusturvan tehostaja puhtaisiin Windows-ympäristöihin.
