En rejsende medarbejder vender hjem med tasken fuld af ordrer.
Desværre er hans bærbare pc fuld af virus. Og da han slutter den til netværket, bliver virksomhedens øvrige pc’er hurtigt inficeret.
Hverken firmaets firewall eller den centrale virusscanning forhindrer det.
Hvordan sikrer man sig mod truslen fra medarbejdernes bærbare pc’er?
Den udfordring møder stadig flere virksomheder, efterhånden som it-udstyret bliver mere mobilt.
Medarbejderens pc er ikke længere kun en kasse, der står godt beskyttet bag firmaets tykke mure.
Den er lige så ofte en bærbar pc eller smartphone, der følger med den ansatte ud til møder.
Den kobles på trådløse netværk hos kunder, på cafeer og i lufthavne – alt sammen steder, hvor den kan blive smittet med skadelig software.
Kan blive problem for virksomheden
Det er et problem for den medarbejder, hvis pc bliver ramt. Men det kan også blive et problem for virksomheden.
For når medarbejderen vender tilbage til sit skrivebord og slutter sin pc til netværket, kan den inficere de øvrige computere på nettet.
Hverken en central firewall eller antivirusløsning forhindrer det.
Udfordringen ligger i at opdage en farlig pc, før den når at gøre skade på nettet.
Her er problemet, at it-verdenens systemer til adgangskontrol er bygget til at...fortsættes
... håndtere brugere snarere end maskiner.
Brugeren af den bærbare pc har et gyldigt brugernavn og password, så det almindelige system til adgangskontrol vil give ham og hans pc adgang.
Gennem flere år har teknologileverandørerne udviklet løsninger på problemet, typisk under navne som Network Access Control eller Network Admission Control (NAC). De første løsninger var leverandørafhængige.
Det betød, at man oftest måtte købe både software og hardware fra en enkelt leverandør for at få løst problemet.
Men for nogle år siden dannede standardiseringsgruppen Trusted Computing Group en arbejdsgruppe, der har udviklet Trusted Network Connect.
Trusted Network Connect er et sæt standarder, der håndterer de opgaver, som indgår i adgangskontrol på maskinniveau.
Bestemte trin går igen
Opgaverne består typisk af disse trin:
En pc forsøger at få adgang til netværket.
Et system til adgangskontrol modtager henvendelsen og undersøger, om pc’en må blive lukket indenfor.
Et andet system åbner eller lukker for pc’en ud fra, hvad systemet til adgangskontrol beslutter.
Helbredskontrol
Men hvordan kan et system til adgangskontrol vide, om en pc er smittet med virus? Der skal foretages en form for helbredskontrol af pc’en.
Det kan ske på to måder:
Enten kører der et program på pc’en, der tjekker dens helbred, eller også undersøges den udefra via scanninger.
Det mest nøjagtige svar får man fra et program, der kører på pc’en og er designet til at oplyse dens helbredstilstand. Men den metode har et indbygget sikkerhedsproblem:
Hvordan kan man vide, om man kan stole på, hvad programmet oplyser?
At det er et reelt problem, demonstrerede to sikkerhedsforskere fra det tyske firma ERNW på en konference for et år siden.
De analyserede Ciscos NAC-system og skrev et program, der kunne narre systemet. Når NAC-systemet spurgte pc’en om dens helbredstilstand, fik det et svar, der så helt reelt ud.
Men i virkeligheden kom svaret fra et program, forskerne havde skrevet. Dermed er det muligt for skadelige programmer at snige sig ind, hvis de på samme vis kan narre et NAC-system.
For nogle år siden skrev it-medierne om de store forventninger til NAC-teknologien. Men i dag er der mere stille om den.
Adgangskontrol ved stikket
To teknologier kan være med til at gøre NAC mere effektivt: 802.1X og Trusted Platform Module. IEEE 802.1X er en standard, der gør det muligt at godkende en bruger, før vedkommende får adgang til netværket.
Når brugeren slutter sin pc til et stik i væggen eller prøver at koble på et trådløst netværk beder 802.1X-teknologien brugeren autentificere sig.
Først når et godkendelsessystem har sagt god for brugeren, får pc’en adgang til at bruge netværksforbindelsen.
802.1X kan udvides med andre typer autentifikation end brugernavn og password.
Dermed kan den bruges i NAC, idet information om pc’ens helbredstilstand kan overføres som led i 802.1X-kommunikationen.
Trusted Platform Module er en chipteknologi, der er indbygget i stort set alle pc’er til erhvervsbrug.
Da der er tale om beskyttet hardware, som er placeret uden for pc’ens processor og RAM, kan den indeholde oplysninger om pc’ens helbredstilstand, som er til at stole på.
Et skadeligt program kan nemlig ikke ændre på indholdet af TPM.