| |
| AAA / 802.1x / UAC |
 |
|
|
|
| |
| Alkalmazás gyorsítás |
|
|
| |
| Biztonsági eszközök |
|
|
|
|
|
|
|
|
| |
| Menedzsment |
|
|
| |
| Router - útválasztó |
|
|
|
|
|
|
| |
Integrált
FW / Router / UTM |
|
|
|
|
|
| |
|
|
A Juniper Networks Unified Access Control portfoliója
Manapság a vállalatok olyan hozzáférés kezelési megoldásokat
keresnek, amelyek egyszerre képesek kezelni a felhasználó
azonosítását, a felhasználó által használt eszköz biztonsági
állapotát, a hálózathoz kapcsolódás helyét és módját;
és ezen adatok alapján egységesen, házirend alapon tudják
kezelni a hozzáférési igényeket. Külön problémát jelent,
hogy a kapcsolódáshoz használt eszközök és hálózatok
sok esetben nem a vállalat saját felügyelete alatt állnak,
illetve a felhasználók sem tekinthetőek megbízhatónak.
A megoldásnak alapvetően a következő funkciókat kell
nyújtania, illetve tulajdonságokkal kell rendelkeznie:
- csatlakozás előtti és a csatlakozás időtartama alatti biztonsági ellenőrzés
- részletes hálózati erőforrás kezelés
- karanténba helyezés, illetve a biztonsági probléma orvoslása a házirendnek
nem megfelelő eszközök esetén
- nem a vállalat által menedzselt eszközök problémájának kezelése
- vendég felhasználók egyszerű kezelése
- a meglévő hálózati infrastruktúra elemeinek minél hatékonyabb kihasználása, befektetésvédelem
- az iparági szabványok követelményeit teljes mértékben elégítse ki, hogy a felhasználó ne legyen a szállítóhoz kötve a megoldás bevezetését követően.
- lehetővé tegye a fokozatos bevezetést, a lehető legkisebb költséggel bevezethető
legyen, minimális eszközcserét és konfigurálást igényeljen.
A Juniper válasza a problémára
A Juniper Networks Unfied Access Control megoldása többrétegű
az igényeknek való minél jobb megfelelőség érdekében.
Képes Layer 2 üzemmódban port szintű ellenőrzést végezni
a 802.1x szabvány segítségével, vagy Layer 3-as szintű
ellenőrzést végezni ahol a 802.1x azonosítás valamilyen
okból nem lehetséges vagy nem kívánatos. A két üzemmód
szabadon és rugalmasan kombinálható egyazon hálózaton
belül.
Az UAC további előnyei:
- Switch infrastruktúra - az UAC együttműködik bármely gyártó 802.1x képes switch és wireless access point eszközeivel.
- Kompatibilitási kérdések - a Juniper UAC megoldása nem egyszerűen 100%-ban 802.1x kompatibilis (és ezáltal gyártófüggetlen), de kiemelten támogatja a "Trusted Computing Group" csoport "Trusted Network Connect" kezdeményezését, amely együttmüködést garantál más egyéb biztonsági eszközökkel (például: patch management).
- A legtöbb felhasználási módra előkonfigurált sablonok és megoldási metódusok állnak rendelkezésre az eszközben, mint például vendég hozzáférések biztonságos kezelése.
- Szoros integráció más egyéb Juniper megoldásokkal,
mint például a behatolásdetektáló és megelőző IDP
platform. Az integrált működésnek köszönhetően radikálisan
csökkenthető az üzemeltető személyzetre nehezedő teher.
*
- A felhasználó azonosságát az UAC összerendeli az általa betöltött szerepekkel, és ez alapján szabályozható a felhasználó hálózati és alkalmazás hozzáférése. Így a hatóságok által megkövetelt jogszerű működés (ún. "policy compliance") is egyszerűen teljesíthető.
- Széles körű kliens platform támogatás - majdnem minden Windows, Apple Mac OS X, Linux és Solaris verzió támogatása.
A megoldás elemei
Az UAC infrastruktúra alapkiépítésben három elemet
tartalmaz:
- Az Infranet Controller (IC) célhardvert, amely a központi házirendet tartalmazza,
és illesztőfelületként működik / működhet a vállalatnál
meglévő AAA megoldásokhoz. Az IC tartalmaz egy Steel
Belted Radius szervert is beépítve, amely lehetővé
teszi a 802.1x tranzakciókat a kliensek csatlakozásakor.
- Az UAC Agent programot, amely előkonfigurált állapotban automatikusan letölthető - akár valós időben, amikor a kliens csatlakozni próbál a hálózathoz. (Természetesen telepíthető központi menedzsment megoldásokkal is.) Az UAC infrastruktúra képes úgynevezett agentless (kliens program nélküli) üzemmódra is, amely különösen hasznos például vendég felhasználók elérésének biztosítása esetén. Az UAC Agent információkat gyűjt a kliens biztonsági állapotáról, illetve bekéri hitelesítési információkat (felhasználónév és jelszó, tanúsítvány, stb.) - majd a beépített Odyssey Access Client (OAC) 802.1x funkcionalitás segítségével mint 802.1x supplicant továbbítja azokat. A Host Checker komponens számos adatot képes automatizáltan begyűjteni, például a személyi tűzfal pontos konfigurációjat, telepített Service Pack csomagok és azok verziója, stb.
- Az UAC hozzáférés kontrolláló eszközök (az úgynevezett "UAC Enforcement Points"), amelyek bármely gyártótól származó 802.1x képes drótós vagy drót nélküli eszközök lehetnek, valamint Juniper Networks tűzfalak.
Az Infranet Controller
Az Infranet Controller technológiai alapja a Juniper SSL VPN eszközökből már jól ismert "policy control engine" illetve a Steel Belted Radius Server. Jelenleg kétféle modell kapható, az IC 4000 és az IC 6000. Az IC 4000 néhány ezer fel-használó kiszolgálására alkalmas, és redundáns kiépítésben is telepíthető, azonban maximum két tagú klasztereket engedélyez. Az IC 6000 eszköz már belső hardver redundanciát is tartalmaz, me-net közben cserélhetőek a merevelemezek és a tápegységek (hot swap); valamint több tízezer egy-idejű felhasználó kezelésére alkalmas, mivel többtagú terheléselosztott, hibatűrő klaszter építhető belőle.
Az UAC Agent
Az UAC Agent program gyakorlatilag megegyezik az Odyssey Access Client programmal. Tartalmaz néhány fontos kiegészítő funkciót a Windows operációs rendszerhez, mint például a "Single Sign On" bejelentkezés lehetősége a Windows Active Directory rendszerébe.
Az ügynök-program számos aspektusát képes vizsgálni a kliensgép állapotának a beépített Host Checker komponens segítségével, mint például:
- Antivírus, antispyware, személyi tűzfal (personal firewall) és egyéb harmadik féltől (3rd party) származó termékek állapotának lekérdezése, integritásának figyelése.
- Tetszőleges állomány meglétének és integritásának figyelése MD5 checksum
segítségével.
- Futó alkalmazások lekérdezése, az alkalmazás integritásának ellenőrzése.
- Registry adatbázis kulcs és felvett érték szintű figyelése.
- Nyitott portok, futó szerveralkalmazások a kliensen.
A hozzáférést korlátozó eszköz (Enforcement Point)
A hozzáférést a Juniper megoldásában úgynevezett Enforcement Pointok segítségével
korlázozhatjuk. Enforcement Point lehet bármely gyártótól
származó 802.1x képes eszköz (például switch vagy wireless
access point), és bármely ScreenOS 5.4 verziójú (vagy
afölötti) operációs rendszert futtató Juniper
tűzfal. Ennek előnye, hogy amennyiben a meglévő
infrastruktúra tartalmaz nem 802.1x képes elemeket is,
úgy nem kényszerül a felhasználó költséges hardver cserékre.
A Juniper tűzfalak Layer 2 transzparens üzemmódban is
telepíthetőek, hogy a meglévő routing és más egyéb hálózati
beállításokon se kell-jen módosítani; illetve úgynevezett
audit módra is van lehetőség, amikor az eszközök nem
végeznek beavatkozást, csak dokumentálják a hálózati
hozzáféréseket és azok biztonsági szintjét. Azokon a
tűzfalakon, amelyeken tartalomszűrési funkcionalitás
is elérhető (mint például az összes SSG eszköz), a rosszindulatú
kódok szűrése integrálható az UAC megoldásba felhasználónkénti
és kapcsolatonkénti korlátozást lehetővé téve.
| Tulajdonság |
Tulajdonság leírása |
További részletek |
| Összeköti a felhasználó és az általa használt eszköz azonosságát a hálózati kapcsolódási ponttal valós időben, dinamikus biztonsági házirend betartatással |
A különböző adatok kiértékelé-se a kapcsolódás megkezdésétől kezdve a kapcsolat végéig folyamatosan zajlik, a házirend érvényesítése emiatt teljesen valós idejű és maximálisan biztonságos |
Bár a megoldás teljesen gyártófüggetlen, a dinamikus VLAN újrakonfigurálási funkció nem minden 802.1x eszközben áll rendelkezésre. |
| Egységes "policy engine" |
Nincs szükség több eszköz telepítésére és menedzselésére, akárhány telephelyet kell is ellátni UAC funkcionalitással. |
A megoldás folyamatosan alkalmazkodik a változó
felhasználói igényekhez, nagyon va-lószínűtlen,
hogy a hálózati infrastruktúra változása további
beruházásokat igényelne az UAC megoldás oldalán. |
| Robosztus, rendkívül kiforrott UAC Agent |
Dinamikusan (valós időben, az authentikációs folyamat során) letölthető programcsomag, amely előre konfigurálható. Természetesen előre is telepíthető központi menedzsment megoldások segítségével.
A legnépszerűbb kliens platformok támogatása mellett (mint például a Windows Vista) számos ritkábban használtat is támogat (mint például a Solaris. Linux vagy a Apple Mac).
TNC kompatibilitás a más gyártók megoldásaival történő integrálás érdekében.
|
Kiegészítő funkciók, mint például Single Sign On. |
| Agent-less üzemmód |
Azokon a gépeken ahol nem lehetséges, vagy nemkívánatos az ügynökprogram telepítése, szintén védelmet nyújt az UAC infrastruktúra. |
Akár hálózati nyomtatók kapcsolatának védelme is lehetséges a MAC fallback funkció segítségével. |
| "Coordinated Threat Control" |
Az UAC megoldás integrálható a Juniper IDP behatolásdetektáló platformmal. Az integráció teljes mélységű forgalomelemzést tesz lehetővé. |
Az integrált működésnek köszönhetően az adminisztrátor
nemcsak a támadó IP címével lesz tisztában, de számos
további részlettel, mint például felhasználónév,
process neve, stb. Igény szerint a felhasználó is
értesíthető és segítséget kap a probléma orvoslására
(például féregvírus vagy kémprogram eltávolítása.) |
| Nem menedzselhető eszközök dinamikus kezelése |
A nem menedzselhető eszközök számára (mint például vonalkód olvasók, pénztárgépek, hálózati nyomatatók) MAC Address authentikációs lehetőség áll rendelkezésre a RADIUS szerverből. A MAC címekből fe-hér- és feketelisták is képezhetőek. Az adatok lekéréséhez meglévő címtárak is használhatóak, például LDAP. |
|
| Kiterjesztett automatikus probléma orvoslás / megoldás lehetősége |
A felhasználók számára portál alakítható ki, ahol számos problémát önmaguk el tudnak hárítani, nincs szükség az üzemeltető személyzet bevonására. |
Tipikus hiba például a
notebook felhasználó esete, akinek a gépén nincs
meg a legfris-sebb vírusminta fájl. Ha a vállalati
házirend maximum 72 órás vírusminta-fájlokat enged
meg, akkor a felhasználót bejelentkezési kísérletekor
egy olyan oldal fogadja, ami linket tartalmaz a
legfrissebb mintafájlra. Így pillanatok alatt újra
tud csatlakozni, de már a biztonsági házirendnek
megfelelően. |
| Integrált, előre definiált patch szint ellenőrzés |
A patch és hotfix telepítettségének ellenőrzése alapján biztonsági szintek határozhatóak meg. A rendszer több gyártó megoldását támogatja, például a Shavlik NetChk Protect rendszerét. |
A legkritikusabb erőforrások eléréséhez például megkövetelhető, hogy minden ismert kritikus hiba ellen védve legyen az adott gép, míg átlagos erőforrásokat esetleg még elérhet alacsonyabb biztonsági szint mellett is. |
| Dinamikus szerep figyelés |
Számos biztonsági tényező megléte már az előtt ellenőrizhető, hogy egyáltalán a bejelentkező oldalra jutna a felhasználó. |
Külön ellenőrzések köthetőek az azonosítás előttre és utánra, illetve a kapcsolódás teljes időtartamára. |
| Meglévő AAA megoldások széles köre támogatott |
802.1x, RADIUS, LDAP, MS AD, RSA ACE, NIS, tanúsítványok (PKI), helyi felhasználó-adatbázis, Netegrity SiteMinder (CA), RSA Cleartrust, Oracle Oblix valamint Proxy Radius |
Gyakorlatilag bármely AAA rendszerrel integrálható. |
|
