Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den CTO d. 9. december 2005.
Cisco, Juniper og Microsoft har hver sit bud på, hvordan man holder usikre pc'er væk fra nettet
Selvom man har tillid til en bruger, har man ikke nødvendigvis tillid til hans pc. Det er kernen i et problem, som udbredelsen af bærbare pc'er har medført. Når sælgeren vender hjem fra rejse med sin bærbare under armen, kan den være befængt med virus. Et normalt autentifikationssystem tjekker kun, at sælgeren kender sit brugernavn og password. Det ser ikke på pc'ens helbredstilstand.
I oktober lancerede Cisco Systems anden fase af firmaets NAC-initiativ (Network Admission Control), mens Juniper Networks kom med de første produkter i firmaets Enterprise Infranet-familie. Det blev i sidste måned fulgt op af overtagelsen af Funk Software.
Endvidere er Microsoft på vej med NAP (Network Access Protection), der dog først kan tages i brug, når næste udgave af Windows Server med kodenavnet Longhorn kommer på markedet i 2007.
Løsningerne har det til fælles, at de bygger på centrale sikkerhedspolitikker. Organisationen afgør centralt, hvilke krav brugere og computere af bestemte typer skal opfylde. For eksempel kan man kræve, at en computer skal være udstyret med de seneste sikkerhedsopdateringer til styresystemet. Endvidere skal den måske have et antivirusprogram med virusdefinitioner, der er opdateret inden for det sidste døgn.
Forskellene på leverandørernes tilgang til problemet ligger mest i, hvordan reglerne skal håndhæves.
Ciscos NAC består af software på pc'erne og på særlige servere. Pc-softwaren, Cisco Trust Agent, indsamler information om pc'ens sikkerhedsniveau ved at kommunikere med andre applikationer. For eksempel kan den tale med antivirusprogrammer og afgøre, hvornår de senest er blevet opdateret.
Denne information sender programmet via 802.1x-protokollen til en såkaldt Access Control Server. Den kommunikerer med andre servere, der indeholder information om den ønskede sikkerhedspolitik. Ud fra sikkerhedspolitikken afgør serveren, om pc'en må få adgang til nettet. Hvis den ikke bliver godkendt, får den ikke lov til at bruge porten - den kommer altså slet ikke på nettet.
Det nye i fase to af NAC er, at det understøttes af en række Cisco Catalyst-switche og trådløse adgangspunkter. Endvidere kan systemet tjekke en enhed, selvom der ikke er installeret en Cisco Trust Agent på den. Det sker via sårbarhedsscanninger, som en anden server foretager. Den kan så rapportere resultatet af scanningen til NAC-systemet.
Ciscos system kræver, at det berørte udstyr understøtter 802.1x. Det gør Junipers Enterprise Infranet ikke. Her er der to typer af udstyr: Infranet Controllers og Infranet Enforcers. Når en pc vil på nettet, kontakter den en controller. Den downloader et stykke software til pc'en. Det tjekker pc'ens helbredstilstand og rapporterer tilbage.
Controlleren giver så besked til en Infranet Enforcer, der kan være en firewall eller VPN-enhed. Beskeden fortæller, hvad pc'en skal have lov til på nettet. Kontrollen kan være finmasket, så pc'en for eksempel kun må bruge visse applikationer eller besøge bestemte adresser.
Juniper lader altså firmaets firewalls beskytte ressourcerne bag den. For at beskytte pc'erne mod hinanden kan controlleren også downloade en personlig firewall til pc'erne, når de bliver tjekket.
I november overtog Juniper imidlertid firmaet Funk Software. De har en løsning til at lade switche kontrollere adgangen ved hjælp af 802.1x-standarden. Dermed kan Junipers løsning komme til at ligne Ciscos mere.
Både Ciscos NAC og Junipers Enterprise Infranet ventes at kunne samarbejde med Microsofts NAP.
På standardiseringsfronten arbejder gruppen Trusted Computing Group med konceptet Trusted Network Connect (TNC). Det er en åben arkitektur og en samling standarder, der tilsammen skal gøre det muligt at håndhæve sikkerhedspolitikker for pc'er og andre apparater, der befinder sig hos slutbrugerne.
Den bygger på ideen om en "Trusted Computing Platform", hvor der i computeren er indbygget særlig hardware til at tage hånd om sikkerheden.
Første version af arkitekturen blev udsendt i maj. Medforfatter på dokumentet er Steve Hanna fra Funk Software, mens hverken Cisco, Juniper eller Microsoft deltog i udarbejdelsen.
