Digital dørmand tjekker bærbare hos KL

Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den CTO d. 6. oktober 2006.


Kontrol En bærbar pc får ikke lov til at komme på nettet, før den opfylder nogle minimumskrav til sikkerheden. Et nyt sikkerhedssystem hos Kommunernes Landsforening kontrollerer både computere og brugere.

Det trådløse netværk i Kommunernes Landsforenings hovedkvarter på Amager står åbent. Enhver kan forbinde sig til det. Men forbindelsen giver hverken adgang til internettet eller KL's egne servere. Først når brugeren og pc'en er godkendt centralt, bliver forbindelsen brugbar.
Det er konsekvensen af, at KL bliver en af Danmarks første brugere af unified access control (UAC) fra
Juniper Networks. Teknologien kombinerer autentifikation af brugerne med kontrol af de computere, som brugerne anvender.
Systemet går i drift i denne måned. Det udnytter to firewalls, som KL tog i brug i starten af året. De er nu blevet udvidet med en såkaldt Infranet Controller.

Når en pc forsøger at koble sig på nettet, får den straks tildelt en IP-adresse. Men den får ikke lov til at gøre andet, før brugeren har startet en browser. Uanset hvilken adresse han indtaster, kommer han ind til en login-side, hvor han skal indtaste brugernavn og adgangskode.
- Vi holder mange møder, hvor folk kommer ind udefra. De har brug for adgang til internettet og en printer. Med det nye system kan vi give dem det, uden at de får adgang til vores interne systemer, siger it-chef Thomas Fænø fra KL.
Infranet Controlleren tjekker brugernavn og adgangskode. Det kan ske op imod KL's active directory, eller mod en intern database for brugere, der ikke er oprettet i active directory.
Herefter giver Infranet Controlleren besked til firewall'en om, hvad pc'en med den pågældende IP-adresse kan få adgang til. På den måde kan man styre, at en pc kun må kommunikere med routeren til internettet og en bestemt printer, men ikke med interne servere.
- Vi anslår, at 95 procent af administrationen af systemet kan udføres i active directory. Resten består i at sætte regler op for, hvad bestemte brugergrupper har lov til. Det gør man via en browser, fortæller Nicolai Sølling fra Juniper Networks.

Interne brugere bliver udstyret med et stykke klient-software, der kører på deres bærbare pc. Det giver mulighed for at tjekke, at pc'en er udstyret med et opdateret antivirusprogram og de seneste opdateringer fra Microsoft.
- Vi kan også sikre, at der kun kører bestemte programmer på dem. For eksempel havde vi et problem med en medarbejder, der kørte en betaversion af Skype. Den tog hele nettets båndbredde. Nu kan vi forhindre, at brugerne kører Skype, siger Thomas Fænø.

Helt så grundig en kontrol er ikke mulig med gæsters medbragte bærbare. Men dels kan man begrænse adgangen til, hvad de kan kommunikere med, dels kan man udnytte firewallens indbyggede intrusion prevention system (IPS).
IPS'et kan genkende en lang række forsøg på angreb på velkendte sårbarheder. Hvis det ser et angrebsforsøg, bliver det standset. Dermed er det blevet mindre vigtigt for KL at holde alle servere opdaterede med de seneste operativsystemrettelser: Selvom en server er sårbar, vil IPS'et forhindre sårbarheden i at blive udnyttet.
KL's netværk er opdelt i segmenter ved hjælp af VLAN (virtuelt lokalnet), så serverne sidder på deres eget segment. Al kommunikation mellem segmenter går gennem firewallen.
- Da vi skulle vælge en løsning, så vi også på network access control fra Cisco. Men det vil kræve, at vi udskiftede 35 krydsfeltsswitche, fortæller Thomas Fænø.
Det skyldes, at Ciscos system anvender protokollen 802.1x til at åbne og lukke for porte i switchene. Men det kræver, at switchen understøtter 802.1x-protokollen, og det gør KL's switche ikke.
- Vi undersøgte, om switchene kunne opgraderes, men det havde de ikke nok ram til, så vi ville blive nødt til at købe nye, siger han.

KL går i gang med at implementere systemet for det trådløse netværk i denne måned. Inden nytår kommer de få stationære pc'er i hovedkvarteret også med. Til marts skal KL's egne bærbare pc'er indrulleres i systemet.
De fleste brugere i KL anvender tynde klienter, der kommunikerer med Citrix-servere. Det er ikke muligt at lægge klientprogrammet til UAC på en tynd klient.
- Der er vi nødt til at gå på kompromis. Men til gengæld kan vi styre, at en tynd klient kun har mulighed for at kommunikere med en Citrix-server på en bestemt port, siger Thomas Fænø.
Han fremhæver, at det er det samme sikkerhedssystem, hvad enten brugeren logger ind fra en bærbar pc på det trådløse net, en stationær pc eller en terminal.
Thomas Fænø regner ikke med, at systemet vil medføre øgede svartider på nettet. Firewallen er således dimensioneret til at håndtere en båndbredde op til 2 Gbit/s.

Billedtekst: styring - Systemet giver os mulighed for præcist at styre, hvad de enkelte brugere og computere må få adgang til, siger it-chef Thomas Fænø fra Kommunernes Landsforening. Foto: Torben Klint

OriginalModTime: 14-11-2006 14:02:20




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Alfapeople Nordic A/S
Rådgivning, implementering, udvikling og support af software og it-løsninger indenfor CRM og ERP.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere