Jeigu savo įmonėje taikote BYOD (angl. Bring your own device, liet. atsinešk savo įrenginį) praktiką arba prie Jūsų organizacijos tinklo dažnai prisijungia ne tik įmonės darbuotojai, į kibernetinio saugumo priemonių arsenalą verta įtraukti tinklo prieigos kontrolę – sprendimą, sumažinantį tikimybę, kad kenksmingas kodas iš vieno užkrėsto išmaniojo ar kompiuterio pasieks visus tinkle esančius įrenginius. Apie tai, kokia tinklo prieigos sprendimo nauda; kodėl šis sprendimas – būtinas aukščiausio saugumo lygio siekiančioms organizacijoms ir kokie svarbiausi pasirengimo žingsniai laukia nusprendus diegti šį sprendimą, kasmetinėje „Blue Bridge“ kibernetinio saugumo konferencijoje pasakojo „Blue Bridge“ vyresnysis sistemų inžinierius Audrius Biveinis.

Kas yra tinklo prieigos kontrolė?

Tinklo prieigos kontrolę galima apibrėžti kaip technologiją, kuri apriboja nesankcionuotą prisijungimą prie kompiuterinio (laidinio arba belaidžio) tinklo, nes kiekvienas  įrenginys, kuris bando prijungti prie  tinklo, turi identifikuotis.

„Blue Bridge“ vyresnysis inžinierius A. Biveinis pastebi, kad neretai sunkiausia perprasti tai, jog tinklo prieigos kontrolės sprendimas nėra tiesiog „viena dėžutė“ – tai protokolų rinkinys, kuris aprašytas kaip standartas.

„Tai reiškia, kad tinklo prieigos kontrolės sprendimas sudarytas iš kelių IT infrastruktūros elementų – tinklo prieigos kontrolės protokolus palaikančių tinklo komutatorių arba belaidžių prieigos taškų, kompiuterių ir autentifikavimo serverio. Gana sudėtingas tinklo prieigos kontrolės sprendimo pobūdis nulemia tai, kad rengiantis šio sprendimo diegimu, reikia atlikti kompiuterių tinklo analizės darbus. Be to, svarbu žinoti, kad infrastruktūros komponentai, palaikantys tinklo kontrolės protokolus – tinklo komutatoriai, belaidės prieigos taškai – turi būti  „aukštesnės klasės“, o ne namų vartotojų naudojama tinklo įranga“, – atkreipia dėmesį A. Biveinis.

Kodėl šis sprendimas svarbus plačiam organizacijų ratui?

Šiuo metu Lietuvoje tinklo prieigos kontrolė privaloma svarbią informaciją tvarkančioms organizacijoms. Šis sprendimas minimas tokiuose teisės aktuose kaip Kibernetinio saugumo įstatymas ir tai liudija, kad į šį sprendimą, kaip į objektyviai naudingą ir efektyvumų, verta atkreipti dėmesį visoms organizacijoms, siekiančioms aukštesnio kibernetinio saugumo lygio, pastebi A. Biveinis.

„Tinklo prieigos kontrolė reikalaujama valstybės institucijų belaidžiuose tinkluose, kurių informacinės sistemos patenka į  ypatingos svarbos, I, II, III, IV kategorijas. Kalbant apie privatų sektorių, šis sprendimas pirmiausia privalomas bendrovėms, priimančioms atsiskaitymus mokėjimo kortelėmis ir tvarkančioms mokėjimo kortelių saugomus duomenis. Be to, sprendimas oficialiai rekomenduojamas ir platesniam organizacijų ratui. Pavyzdžiui, Nacionalinis kibernetinio saugumo centras (NKSC), vadovaudamasis SANS instituto ir Kibernetinio saugumo tarybos gerąja praktika, rekomenduoja užtikrinti tinklo įrenginių, kuriems leidžiama naudotis institucijos tinklo paslaugomis, identifikavimą (angl. Inventory of Authorized and Unauthorized Devices) ir belaidės prieigos kontrolę (angl. Wireless Access Control)“, – pasakoja pašnekovas.

Svarbiausi pasirengimo žingsniai

„Kaip jau minėjau, tinklo prieigos kontrolės sprendimas – gana sudėtingas, todėl norint užtikrinti sklandų jo diegimą, verta sudaryti veiksmų planą. Beje, iškart reikėtų įsidėmėti, kad ruošiantis šio sprendimo diegimui, reikės atlikti nemažai „namų darbų“, pavyzdžiui, atlikti tinklo segmentaciją ir išsirinkti autentifikavimo serverį“, – akcentuoja vyresnysis sistemų inžinierius.

Pasiruošimą tinklo prieigos kontrolės diegimui galima suskirstyti į 5 svarbiausius žingsnius. „Pats pirmasis žingsnis – tai turimos fizinės ir loginės savo tinklo schemų parengimas. Šiame etape schemos turi padėti atsakyti į tokius klausimus, kaip: kiek tinklo įrangos yra tinkle, kurioje reikės konfigūruoti tinklo prieigos kontrolę; ar tinklo prieigos kontrolės konfigūracijos bus diegiamos tinklo komutatoriuose ir belaidžio tinklo prieigos taškuose arba belaidžio tinklo valdikliuose“, – vardija „Blue Bridge“ atstovas.

Antrasis pasirengimo žingsnis – tinklo įrangos ir galinės įrangos auditai, kurių metu nustatoma, kuri turima tinklo ir galinė įranga palaiko prieigos tinklo kontrolei reikalingus protokolus. Šie auditai atliekami tikrinant tinklo įrenginių technines specifikacijas.

„Įgyvendinus šį žingsnį pamatoma, ar, pavyzdžiui, kompiuteriai palaiko prieigos tinklo kontrolei reikalingus protokolus. Šiame žingsnyje taip pat galima preliminariai nuspręsti, kaip ir kokia tinklo įranga bus atnaujinama ir pagalvoti apie tam reikalingą biudžetą“, – pasakoja pašnekovas.

Ypatingas dėmesys – autentifikavimo serveriui

Dažnu atveju atlikus tinklo įrangos auditą pamatoma, kad reikia įsigyti autentifikavimo serverį, palaikantį tinklo prieigos kontrolės protokolus. „Šio įrenginio pasirinkimas – viena sudėtingiausių užduočių visame pasirengimo procese. Iš esmės rinkoje galima rasti tikrai nemenką autentifikavimo serverių pasirinkimą, todėl būtina atkreipti dėmesį į tai, kokie iš jų funkcionalumų – būtini, o kurie – tik papildomi“, – pabrėžia pašnekovas

Kaip svarbiausią funkcionalumą ekspertas įvardija EAP-TLS, PEAP-MS-CHAPv2 ir MAC autentifikavimo metodų palaikymą. „Tai vienintelis būtinas punktas. Organizacijos galiniai įrenginiai (kompiuteriai, spausdintuvai, SCADA įranga ir t. t.) dažniausiai palaiko skirtingus autentifikavimo metodus (pavyzdžiui, EAP-TLS arba PEAP-MS-CHAPv2, arba MAC), todėl juos privalo palaikyti ir autentifikavimo serveris“, – akcentuoja „Blue Bridge“ vyriausiasis inžinierius.

Papildomi funkcionalumai, kurių pasirinkimas priklauso nuo turimos infrastruktūros, apima tokias funkcijas kaip TACACS+ autentifikavimą, Sertifikatų tarnybą, profiliavimą, klasterizavimą (HA), Svečių portalą, saugumo politikų tikrinimą ir integraciją su trečiųjų šalių produktais. „Pavyzdžiui, Autentifikavimo serverio sertifikatų tarnyba naudojama, kai turima sertifikatų tarnyba negali išduoti sertifikatų tokiems įrenginiams kaip mobilieji įrenginiai, „Linux“ kompiuteriai, planšetiniai kompiuteriai ir t. t. Klasterizavimo funkcija aktuali, jei organizacija nori užtikrinti aukštą patikimumą, nes autentifikavimo serveriai  apjungiami į klasterius per L2 arba per L3 tinklo lygmenis“, – pateikia kelis papildomų funkcijų naudojimo pavyzdžius Audrius Biveinis.

Dar vienas „namų darbas“ – tinklo segmentavimas

Organizacijoms, kurios nenaudoja tinklo segmentavimo, pasirengimas tinklo prieigos kontrolės diegimui – puiki proga atsisveikinti su nesegmentuotu tinklu, atkreipia dėmesį A. Biveinis.

„Ruošiantis tinklo prieigos kontrolei būtina atlikti tinklo segmentaciją – t. y. tinklo suskaidymą į IP potinklius, kuriems prisiskiriami atitinkami VLAN numeriai“, – pasakoja A. Biveinis, paaiškindamas, kad atlikus tinklo segmentavimą, kiekvienas tinklo segmentas naudojamas tam tikrai sugrupuotai galinei tinklo įrangai. Pavyzdžiui, sukuriami dedikuoti tinklo segmentai darbuotojų kompiuteriams, spausdintuvams, vaizdo kameroms ir kitai galinei tinklo įrangai.

„Iš esmės būtų ne per drąsu sakyti, kad vien atlikę tinklo segmentavimą iškart užtikrinate didesnį tinklo saugumą ir parengiate tvirtą pagrindą ne tik tinklo prieigos kontrolės, bet ir kitiems kibernetinio saugumo sprendimas“, – pažymi pašnekovas.

Braižant prieigos taisyklių matricą

Paskutinis pasirengimo žingsnis – tai prieigos taisyklių matricos užpildymas, kuris, kaip pastebi „Blue Bridge“ atstovas, taip pat dažnai sukelia daug keblumų.

„Svarbiausios šio žingsnio tikslas – atsakyti į klausimą, kas su kuo gali bendrauti kompiuterių tinkle, pavyzdžiui, nuspręsti, ar darbuotojo kompiuteris turi pasiekti vaizdo kameras esančias kompiuterių tinkle. Patogiausia į šį ir kitus panašius klausimus atsakyti sudarius prieigos taisyklių matricą, kuri aprašo, kaip tinklo segmentai gali komunikuoti tarpusavyje. Deja, sudaryti tokią matricą nėra paprasta. Vienas didžiausių iššūkių – tai, kad dažnai nežinoma, kaip tinkle bendrauja aplikacijos, kokie protokolai naudojami, kokie TCP, UDP prievadu numeriai turi būti praleidžiami tinklo segmentu tarpusavio komunikacijai ir t. t.“, – pasakoja Audrius Biveinis.

Būtent dėl šio iššūkio ekspertas rekomenduoja pradiniame tinklo prieigos kontrolės diegimo etape naudoti pereinamąjį laikotarpį. „Tai reiškia, kad tarp tinklo segmentų praleidžiami visi duomenų srautai ir stebima, kokios aplikacijos, protokolai, TCP ar UDP prievadai yra naudojami. Po to šie duomenų srautai išanalizuojami, nustatoma, kokios aplikacijos tikrai reikalingos, o kurios yra perteklinės; kokie protokolai, TCP ar UDP prievadai gali būti naudojami ir t.  t. Surinkus šią informaciją, užpildoma prieigos taisyklių matrica, kurį diegimo metų perkeliama į ugniasienes“, – paaiškina pašnekovas.

Svarbus, bet ne „visagalis“ sprendimas

Nors tinklo prieigos kontrolės sprendimo diegimas gali pareikalauti ir laiko, ir investicijų, vis dėlto, A. Biveinio vertinimu, ši priemonė verta papildomų pastangų.

„Saugumo sprendimų sąraše ši priemonė – viena iš svarbiausių, garantuojančių tinklo saugumą. Ji apsaugo ne tik nuo neidentifikuotų įrenginių prisijungimo, bet ir paskatina segmentuoti tinklą, aprašyti tinklo prieigos taisykles ir atlikti kitas svarbias procedūras bei procesus, užtikrinančius pilnavertį tinklo saugumą“, – pasakoja „Blue Bridge“ atstovas, atkreipdamas dėmesį, kad vis dėlto šis sprendimas nėra užtikrinantis aplikacijų saugą.

„Nuo grėsmių, galinčių pasiekti per aplikacijas ar el. paštą, tinklo prieigos kontrolė apsaugoti negali, tačiau šis sprendimas išsprendžią tikrai nemenką dalį daugeliui labai opių tinklo saugumo problemų“, – pastebi A. Biveinis.

Stiprinkite IT saugumą su tinklo prieigos sprendimais. Parašykite mums!