Biztonság

Az Adaptive EDGE lehetővé teszi a személyazonosság alapú menedzsmentet. A mobilitással részben összefügg a biztonság kérdése; egy vállalatnál előfordulhat, hogy egy munkaállomást többen használnak, netán rendszertelenül váltva egymást, és az is, hogy egy munkatárs több helyről akarja elérni valamely hálózati szolgáltatást. Meg kell oldani, ha egy vendégnek átmenetileg – ha csak korlátozott jogosultságokkal is – hozzá kell férnie a hálózathoz, és meg kell akadályozni, hogy a vele esetleg egy hotspotra csatlakozó hacker bejusson. Nyilvánvaló, hogy minderre nem megfelelő megoldás a statikus (például fizikai helyhez, switchporthoz kötött), vagy korlátozottan rugalmas (például MAC-címhez kötött) biztonsági szabályozás, a legjobb, ha személyre szabják a jogosítványokat, és gondoskodnak arról, hogy bárhol legyen is, mindig ugyanazok a szabályok vonatkozzanak rá.

Ebből már kitűnik, hogy a személyazonosság alapú menedzsment – s ez nemcsak a HP megoldására, hanem általában az efféle eljárásokra vonatkozik – nem pusztán biztonsági követelményeknek tesz eleget, hanem egy sor más előnye is van. Az autentikáció során azonosítják a felhasználót, a csatlakozás helyét (switchport, WLAN hozzáférési pont), a csoportbesorolását, majd a csoportjához kapcsolt erőforrásokat, jogokat és tiltásokat. Ebbe beletartozik, hogy melyik virtuális LAN-ba tartozik, milyen sávszélességet vehet igénybe, milyen szolgáltatásminőségeket (QoS) biztosít számára a hálózat, milyen időbeli és helyi korlátokkal férhet hozzá a szolgáltatásokhoz. Ezek a szokásos módon, autentikációs szerverek segítségével zajlanak, amelyek lényegében olyan adatbázisok, amelyek ezeket az információkat szolgáltatják ki a megfelelő körülmények fennállása esetén.

A HP Adaptive EDGE megoldása annyiban különbözik a konkurensekétől, hogy a lekérdezést a peremeszköz hajtja végre, és míg a felhasználó hozzá kapcsolódik, ő is gondoskodik a szabályok érvényesítéséről. A gyártó tavaly két céleszközt is bemutatott, amelyek a 802.1x/RADIUS, az LDAP és a Kerberos protokollok, illetve az NT domainek támogatásával vezeték nélküli hálózatok biztonságát is megteremtik. Egy tipikus szituáció, hogy az Access Controller 720wl érzékeli, ha egy eszköz egy hozzáférési ponton keresztül csatlakozott hozzá, ezért elküldi MAC-címét az Access Control Server 740wl számára. Ha az eszköz ismert, biztosítja számára a megfelelő jogokat akkor is, ha közben a felhasználó helyet – és hotspotot – változat (roaming). Ha nem ismerős a MAC-cím, egy autentikációs szerver segítségével sor kerül a felhasználó azonosítására, majd a fenti eljárás lép életbe, amelyen persze szigorítani is lehet. A 720wl és a 740wl egy dobozba integrálva is kapható 760wl típusjelzéssel, a 720wl pedig idén egy switchbe szerelhető modul alakjában is megjelent, ez a ProCurve Switch xl Access Controller Module nevet viseli.

Access Controller 720wl

Access Control Server 740wl

ProCurve Switch xl Access Controller Module

A hozzáférés szabályozása persze csak az egyik aspektus a biztonság kérdésében. Hogy az egész témakör mennyire fontos, jól jellemzi egy ugyancsak a Gartnertől származó adat: a biztonsági rések és a miattuk megszakadó üzletmenet 2002-ben még nem szerepelt a vállalatvezetők által legfontosabbnak tartott szempontok tízes listáján, 2003-ban már a második helyen jelentkezett, 2004-ben pedig minden mást lekörözött, köztük olyanokat, mint az innováció, az üzleti kockázatok elemzése vagy a bevételek növelése. A második helyre csúszott így a működési költségek évek óta vezető szempontja, amely mögé harmadik helyre 2004-ben felzárkózott a személyes és üzleti adatok védelme.

Ami az informatikai biztonságot illeti, szükség van tehát a hozzáférés szabályozására, az adatok, de éppígy az infrastruktúra védelmére és a rendelkezésre állás és az üzemszerű működés biztosítására. Ha mindezt figyelembe vesszük, kiderül, hogy az illetéktelen behatolóknál és az adattolvajoknál is aggasztóbbak a vírusok (pontosabban a különféle rosszindulatú programok, malware-ek) által okozott károk.

Ezen a fronton a HP viszonylag friss megoldása sorakozik fel, hiszen a Virus Throttling (’víruselfojtás’) nevű eljárás csak ez év februárjában mutatkozott be a ProCurve 5300xl sorozatú switchekben. A féreg típusú kódok (az egyszerűség kedvéért itt nem teszünk különbséget az egyes „műfajok” között) jellegzetessége, hogy magukat szaporítják az Interneten keresztül – adott esetben rendkívüli sebességgel. A vírus okozta terhelés miatt csökken a munka hatékonysága, sőt egész hálózatok eshetnek ki, s bár a vírusellenes szoftverek fejlesztői ma már általában igen gyorsan kiadják a megfelelő ellenszert, ennek elkészültéig vagy – esetleg épp a vírus által hátráltatott – telepítéséig pont elég idő van nagy számú állomás megfertőzésére és/vagy hálózati eszköz két vállra fektetésére.

A sikernek az az előfeltétele, hogy a vírus minél rövidebb idő alatt minél több állomást megvizsgáljon, akad-e rajta biztonsági rés. Ez a kapkodás azonban egyúttal a vírus gyengéje is, hiszen tevékenysége világosan különbözik a normális nethasználattól; míg a legtöbb gép gyakran egy másodpercnél is ritkábban létesít kapcsolatot valamely távoli kiszolgálóval, addig például az SQLHammer több mint 800 kapcsolattal próbálkozott másodpercenként.

A Virus Throttling épp ezt használja ki: a switch figyeli az egyes állomások által felépíteni kívánt kapcsolatokat, s ez minél inkább eltér az átlagostól, annál határozottabban véli abnormális, sőt káros, vírus okozta forgalomnak. Az eljárás persze nem piszkál bele a kliensek rendszerébe, tehát nem tekinthető vírusirtónak. Amit tesz, az pusztán annyi, hogy minél szaporább a kapcsolatfelvétel ritmusa, annál hosszabb időre tiltja el az állomást a forgalmazástól. Itt inkább csupán másodpercekről van szó, melyeket a felhasználó talán észre sem vesz (ill. nem a hálózati kapcsolatán, hanem a processzorterhelésén tűnhet fel neki valami), ám ez pont elég ahhoz, hogy egyrészt fennmaradjon a hálózat működőképessége, másrészt pedig kellően lelassuljon ahhoz a vírus terjedése, hogy a gyógyír kiadásáig globálisan ne okozzon aránytalanul nagy károkat. Nem a klienseket védi tehát a módszer, sokkal inkább magát az infrastruktúrát.

A funkció számos beállítási lehetőséget kínál, így persze lehetőség van kivételek definiálására is, hiszen például a szervereknél természetes, hogy egyszerre sok kapcsolatot tartanak fenn, de mód van manuális közbeavatkozásra is. Minthogy a Virus Throttling a switchek alapszoftverének egyik szolgáltatása, a régebbi eszközök tulajdonosai, akárcsak a többi frissítést, ezt is ingyen megkaphatják.

A cikk még nem ért véget, kérlek, lapozz!