Netværk får dørmand

Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

I fremtiden bliver det sværere for en pc at komme på virksomhedens netværk, hvis den ikke er udstyret med de seneste sikkerhedsrettelser. Dermed kan vi løse et af de sikkerhedsproblemer, som en firewall ikke kan hjælpe med.

Er styresystemet på denne pc opdateret med de seneste sikkerhedsrettelser? Har den et antivirusprogram, og er virusdefinitionerne opdateret for nylig?

Den type spørgsmål vil en elektronisk dørmand i fremtiden stille til pc'er. Og hvis de ikke kan svare tilfredsstillende, kommer de ikke ind i varmen. I stedet kan pc'en få tilbudt de nødvendige opdateringer. Først når de er på plads, får den adgang til virksomhedens netværk.

Ideen blev lanceret af Cisco Systems i november sidste år. Det skete i samarbejde med antivirusfirmaer som Symantec og Trend Micro. En lignende tanke kom fra Microsoft i juli i år. Og i denne måned blev Cisco og Microsoft enige om at samarbejde, så Ciscos Network Admission Control (NAC) kan kommunikere med Microsofts Network Access Protection (NAP).

Videre end perimeterbeskyttelse
Initiativet er interessant, fordi det bryder med den traditionelle tanke om "perimeterbeskyttelse". Den går ud på, at et netværk er sikkert, hvis man blot beskytter ind- og udgangene. Der skal altså kun en firewall til, for at man er sikker.
Men den tankegang er ved at have spillet fallit. Firewallen beskytter ganske vist mod angreb ude fra internettet. Men den kan ikke gøre noget ved den bærbare pc, som sælgeren bringer med tilbage til kontoret, efter at han har været på kundebesøg. Hos kunden var den bærbare koblet til kundens netværk, og den er nu inficeret med en orm. Denne orm kan sprede sig uhindret på virksomhedens netværk, fordi pc'en sidder bag firewallen. Denne form for trussel kan teknologier som NAC og NAP beskytte imod.

Vær opdateret eller bliv ude
Endvidere tilbyder initiativet en løsning på et af de største sikkerhedsproblemer: Computere, der ikke holdes opdateret. Hovedparten af alle de angreb, der lykkes, er rettet mod velkendte sårbarheder, som der findes rettelser til. Folk installerer nemlig ikke rettelsesprogrammerne i tide. Hvis man på denne måde kan tvinge pc'erne til at blive opdateret, er vi nået langt.

Så perspektiverne i teknologien er rigtig gode. Nu mangler vi blot at se, om virksomhederne tager den til sig, efterhånden som den bliver tilgængelig.

Oprindelig bragt på Computerworld Online den 29. oktober 2004

 

LINKS

Network Admission Control fra Cisco Systems
Network Access Protection fra Microsoft

Keywords: