Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 5. december 2003.
Cisco vil gøre aktive netværkskomponenter til en form for netværkspoliti.
Panser-netværk
Et nyt sikkerhedsinitiativ fra Cisco betyder, at aktive netværkskomponenter kan holde øje med, om brugerne har opdateret deres sikkerhedssoftware korrekt.
Løsningen består af en opdatering til Ciscos software på de aktive sikkerhedskomponenter som routere og dertil en speciel sikkerhedsagent på de pc'er, som tilsluttes netværket.
Denne agent vil i første omgang kunne kommunikere med software fra Symantec, Trend Micro og Network Associates.
Hvis sikkerhedssoftwaren ikke er opdateret efter en virksomheds sikkerhedspolitik, vil sikkerhedsagenten give besked til de aktive sikkerhedskomponenter, der for eksempel kan nægte brugeren adgang eller forbinde brugeren til en opdateringsserver.
Tidens tendens
Cisco kalder konceptet CNAC (Cisco Network Admission Control).
Det er ikke en ny ide at lade netværket selv kontrollere sikkerhedsfunktioner. Flere andre leverandører som Check Point, Nortel Networks og Enterasys har allerede tilsvarende systemer på markedet.
Det skyldes den sidste generation af serverorme, der automatisk søgte efter nye maskiner at smitte og i kraft af denne automatik kunne smitte store mængder af maskiner på kort tid. En eksempel på en sådan orm er Blaster, der nåede at inficere 128 millioner systemer på tre minutter.
Kun for Cisco
Men CNAC er ikke for alle. Virksomheden skal have Cisco-udstyr fra top til tå og anvende Cisco Access Control Server, da det er den, som kommunikerer med Ciscos routere, når en bestemt brugers IP-adresse skal blokeres via en layer 3 adgangskontrolliste (access control list).
Det kræver en ny version af IOS-styresystemet på routerne. Det forventes at være på plads tidligt i 2004. Efter det kommer der CNAC-software til Ciscos switche og trådløse 802.11-basestationer. Her anvendes IEEE 802.1x, som sammen med Ciscos LEAP (Lightweight Extensible Authentication Protocol) vil sikre CNAC-funktioner for trådløse enheder. Alt dette forventes på plads senere i 2004.
Løse ender
Ciscos initiativ har dog en del løse ender. Fabrikanter som Computer Associates og Norman er for eksempel ikke med i konceptet. Og det er kun Trend Micro, der planlægger at inkludere CNAC som standard i deres software.
Hos Network Associates er CNAC et ekstra modul. Og Symantec har allerede et samarbejde med Avental og Checkpoint om et lignende koncept, der er en direkte konkurrent til Ciscos tiltag.
Dertil kommer, at der ingen afklaring er om en styringsmodel, som gør, at CNAC-funktioner kan indgå i en centraliseret styring via for eksempel CA Unicenter, HP OpenView eller Tivoli.
Endelig repræsenterer CNAC en løsning, hvor alle komponenter skal være fra Cisco eller en af partnerne, før løsningen er effektiv.
Det har fået analysinstituttet Gartner Group til at advare mod konceptet.
- CNAC er baseret på nogle standarder, men det er stadigvæk en properitær løsning. Det er kun Cisco og deres tre partnere, som kan levere denne løsning. Og er der bare en eneste ikke-Cisco switch i netværket, kommer der et sikkerhedshul, siger analytiker Lawrence Orans fra analysevirksomheden Gartner Group