Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den CTO d. 6. oktober 2006.
Kontrol En bærbar pc får ikke lov til at komme på nettet, før den opfylder nogle minimumskrav til sikkerheden. Et nyt sikkerhedssystem hos Kommunernes Landsforening kontrollerer både computere og brugere.
Det trådløse netværk i Kommunernes Landsforenings hovedkvarter på Amager står åbent. Enhver kan forbinde sig til det. Men forbindelsen giver hverken adgang til internettet eller KL's egne servere. Først når brugeren og pc'en er godkendt centralt, bliver forbindelsen brugbar.
Det er konsekvensen af, at KL bliver en af Danmarks første brugere af unified access control (UAC) fra
Juniper Networks. Teknologien kombinerer autentifikation af brugerne med kontrol af de computere, som brugerne anvender.
Systemet går i drift i denne måned. Det udnytter to firewalls, som KL tog i brug i starten af året. De er nu blevet udvidet med en såkaldt Infranet Controller.
Når en pc forsøger at koble sig på nettet, får den straks tildelt en IP-adresse. Men den får ikke lov til at gøre andet, før brugeren har startet en browser. Uanset hvilken adresse han indtaster, kommer han ind til en login-side, hvor han skal indtaste brugernavn og adgangskode.
- Vi holder mange møder, hvor folk kommer ind udefra. De har brug for adgang til internettet og en printer. Med det nye system kan vi give dem det, uden at de får adgang til vores interne systemer, siger it-chef Thomas Fænø fra KL.
Infranet Controlleren tjekker brugernavn og adgangskode. Det kan ske op imod KL's active directory, eller mod en intern database for brugere, der ikke er oprettet i active directory.
Herefter giver Infranet Controlleren besked til firewall'en om, hvad pc'en med den pågældende IP-adresse kan få adgang til. På den måde kan man styre, at en pc kun må kommunikere med routeren til internettet og en bestemt printer, men ikke med interne servere.
- Vi anslår, at 95 procent af administrationen af systemet kan udføres i active directory. Resten består i at sætte regler op for, hvad bestemte brugergrupper har lov til. Det gør man via en browser, fortæller Nicolai Sølling fra Juniper Networks.
Interne brugere bliver udstyret med et stykke klient-software, der kører på deres bærbare pc. Det giver mulighed for at tjekke, at pc'en er udstyret med et opdateret antivirusprogram og de seneste opdateringer fra Microsoft.
- Vi kan også sikre, at der kun kører bestemte programmer på dem. For eksempel havde vi et problem med en medarbejder, der kørte en betaversion af Skype. Den tog hele nettets båndbredde. Nu kan vi forhindre, at brugerne kører Skype, siger Thomas Fænø.
Helt så grundig en kontrol er ikke mulig med gæsters medbragte bærbare. Men dels kan man begrænse adgangen til, hvad de kan kommunikere med, dels kan man udnytte firewallens indbyggede intrusion prevention system (IPS).
IPS'et kan genkende en lang række forsøg på angreb på velkendte sårbarheder. Hvis det ser et angrebsforsøg, bliver det standset. Dermed er det blevet mindre vigtigt for KL at holde alle servere opdaterede med de seneste operativsystemrettelser: Selvom en server er sårbar, vil IPS'et forhindre sårbarheden i at blive udnyttet.
KL's netværk er opdelt i segmenter ved hjælp af VLAN (virtuelt lokalnet), så serverne sidder på deres eget segment. Al kommunikation mellem segmenter går gennem firewallen.
- Da vi skulle vælge en løsning, så vi også på network access control fra Cisco. Men det vil kræve, at vi udskiftede 35 krydsfeltsswitche, fortæller Thomas Fænø.
Det skyldes, at Ciscos system anvender protokollen 802.1x til at åbne og lukke for porte i switchene. Men det kræver, at switchen understøtter 802.1x-protokollen, og det gør KL's switche ikke.
- Vi undersøgte, om switchene kunne opgraderes, men det havde de ikke nok ram til, så vi ville blive nødt til at købe nye, siger han.
KL går i gang med at implementere systemet for det trådløse netværk i denne måned. Inden nytår kommer de få stationære pc'er i hovedkvarteret også med. Til marts skal KL's egne bærbare pc'er indrulleres i systemet.
De fleste brugere i KL anvender tynde klienter, der kommunikerer med Citrix-servere. Det er ikke muligt at lægge klientprogrammet til UAC på en tynd klient.
- Der er vi nødt til at gå på kompromis. Men til gengæld kan vi styre, at en tynd klient kun har mulighed for at kommunikere med en Citrix-server på en bestemt port, siger Thomas Fænø.
Han fremhæver, at det er det samme sikkerhedssystem, hvad enten brugeren logger ind fra en bærbar pc på det trådløse net, en stationær pc eller en terminal.
Thomas Fænø regner ikke med, at systemet vil medføre øgede svartider på nettet. Firewallen er således dimensioneret til at håndtere en båndbredde op til 2 Gbit/s.
Billedtekst: styring - Systemet giver os mulighed for præcist at styre, hvad de enkelte brugere og computere må få adgang til, siger it-chef Thomas Fænø fra Kommunernes Landsforening. Foto: Torben Klint
OriginalModTime: 14-11-2006 14:02:20