Erfaringer med sikkerhetsbrudd de siste årene har understreket behovet for å kontrollere både maskin og bruker ved innlogging til lokalnett.
PC-en bør sjekkes med tanke på antivirus, tetting av sårbarheter, oppgradert programvare og så videre, helst før den tildeles en IP-adresse og kan begynne å pøse pakker ut på nettet.
Brukeren må autentiseres, og få tilgang til verken mer eller mindre enn tjenestene hun har krav på i henhold til rolle og regelverk.
Kontrollen bør kunne regulere tilgang til tjenester avhengig av tilstanden til maskinen som brukes for å nå den: Sitter man på en internettkafe, kan det være formålstjenlig med andre begrensninger enn dersom man benytter en egen klarert bærbar PC.
Cisco og Microsoft tilbyr løsninger for henholdsvis «NAC» (Network Admission Control) og «NAP» (Network Admission Protection). I september i år ble de enige om å samordne sine «arkitekturer» med tanke på å sikre samspill mellom dem innen annet halvår 2007.
Les også:
- [24.01.2008] Check Point gjør seg klar til flere oppkjøp
- [21.08.2007] Cisco og Microsoft i tettere samarbeid
- [21.11.2006] Løsning på «helvete» for sikkerhetskunder
- [07.09.2006] Samordnet sikkerhet fra Cisco og Microsoft
- [18.10.2004] Cisco og Microsoft inngår sikkerhetsallianse
Noen vil oppleve at det er en ulempe ved Ciscos løsning er at den krever Cisco-utstyr gjennom resten av lokalnettet.
Med sin «UAC» (Unified Access Control) har Juniper Networks valgt en annen tilnærming, slik at løsningen kan brukes uavhengig av hvilken leverandør man har valgt for det øvrige nettverksutstyr.
Denne uken ble Juniper UAC oppgradert til versjon 2.0. Oppgraderingen kombinerer Junipers egenutviklede teknologi med løsninger fra Funk Software som Juniper kjøpte for knapt et år siden.
To sett med åpne standarder gjør dette mulig: IEEE 802.1x, en portbasert standard for kontroll av nettilgang, og Trusted Network Connect (TNC) fra konsortiet Trusted Computing Group som omfatter en lang liste med ledende globale IT-aktører, blant dem AMD, HP, IBM, Intel, Microsoft og Sun, i tillegg til rene IT-sikkerhetsselskaper som Check Point, Symantec og Trend Micro.
Denne kombinasjonen gjør det mulig å kontrollere tilgang til nettverk på lag 2, før brukerens maskin får tildelt en IP-adresse, uavhengig av om kontakten er kablet eller trådløst, og så kjøre selve brukeren gjennom en autentisering som kan være mer eller mindre streng, avhengig av behovet. Man med andre ord kontrollere status til både PC og bruker.
Junipers UAC 2.0 omfatter egne bokser, kalt «Infranet Controller» som plasseres i lokalnettet og samvirker med 802.1x-svitsjer og -aksesspunkter fra Juniper og andre leverandører, for eksempel HP eller Aruba.
En undersøkelse fra Infonetics Research antar at 55 prosent av alle større bedrifter vil ha implementert 802.1x-teknologi i sine nett innen utgangen av 2007.
Mens Cisco har valgt Microsoft som programvarepartner innen denne typen aksesskontroll, har Juniper valgt å samarbeide med Symantec. Samarbeidet bygger på begges tilslutning til den åpne standarden TNC, den delen av UAC som har med vern mot datavirus, ormer og tjenestenektangrep å gjøre.
I Norge har Syscom spesialisert seg på løsninger for aksesskontroll basert på produkter fra Juniper og Symantec. En av Junipers internasjonale referanser på UAC er forøvrig Fredrikstad kommune.
