Tietoturva

Työasemat terveystarkastukseen matkan jälkeen

Julkaistu:

Internet on vapauttanut yrityksen henkilöstön. Kun työntekijä käyttää kannettavaa tietokonettaan yrityksen verkon ulkopuolella, hän jää ilman sen palveluita, mutta monet työhön ja vapaa-aikaan liittyvät aktiviteetit hoituvat tästä huolimatta pääosin.
Oman verkon palveluihin kuuluu kuitenkin myös tietoturva, joka jää reissun päällä helposti retuperälle. Keskitetysti jaeltavat ohjelmistopäivitykset ja virustorjuntatiedot jäävät päivittymättä. Kun työntekijä taas kytkee työasemansa yrityksen verkkoon, se pääsee tyhjentämään palomuurin ja muiden suojavarustusten taakse koko matkalta kertyneen haittaohjelmalastinsa.

Uhan torjumiseksi on verkkoon pääsyn valvontaa kehitettävä. Lukuisat valmistajat tarjoavatkin tarkoitukseen jo ratkaisuita, joiden yleisnimitykseksi on vakiintunut NAC (Network Access Control).

Tsekkaa kone ja käyttäjä

Perusajatuksena on tarkastaa työaseman integriteetti jo ennen kuin se on varsinaisesti kirjautunut yrityksen verkkoon. Jos virustorjuntaohjelmiston päivitykset tai tietoturvaohjelmat eivät ole ajan tasalla, työaseman oikeuksia rajoitettaisiin esimerkiksi ohjaamalla se tuotantoverkon sijasta erilliseen virtuaaliverkkoon, josta on pääsy vain päivityspalveluihin.

Esimerkkinä toimii kirjautumiskäytäntö 802.1x, joka toi wlanien tietoturvaan tärkeän teknisen edistysaskeleen. Wpa-määrityksiin kuuluu käyttäjän todennus heti verkon laidalla, jolloin tunnistamaton käyttäjä ei pääse tukiasemaa pitemmälle.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Wlan-tukiasemien lisäksi 802.1x-tuki on ollut ethernet-kytkinten vakiotoiminto lähes kaikilla valmistajille jo viitisen vuotta. Lankaverkoissa tekniikkaa ei kuitenkaan juuri käytetä, vaikka matkamikroja kytketään myös kiinteisiin portteihin.

Yksioikoinen pääsyn estäminen nimittäin kuormittaisi vain help deskiä. Valmistajakohtaisin menettelyin käyttäjä voidaan ohjata yrityksen vierasverkkoon tai käyttäjäryhmän mukaiset palvelut tarjoaviin virtuaaliverkkoihin.

Kyseessä on kuitenkin yrityksen kannalta vaativa toiminnallinen muutos, kun koko kirjautumisprosessi ryhmäkäytäntöjä myöten ajatellaan ja testataan uusiksi, selvittää tietoliikenneasiantuntija Reijo Mäkipää Ciscolta. Kun prosessiin otetaan käyttäjän identiteetin lisäksi mukaan työaseman ominaisuudet, kompleksisuus kasvaa rajusti.

Hidas prosessi

Työaseman terveystarkastuksen yleistymistä hidastaa myös eri toimittajien ratkaisujen keskeneräisyys ja kirjavuus. Ensimmäisen NAC-arkkitehtuurinsa jo vuonna 2003 esitellyt Cisco tarjoaa nykyään myös käyttöönotoltaan kevyempää laitepohjaista vaihtoehtoa, kertoo Mäkipää.

Lukuisilta tietoturva- ja verkkoalan toimittajilta on tarjolla portti-, verkko- ja päätelaitepohjaisia tekniikoita sekä näiden yhdistelmiä niin laitteisto- kuin ohjelmistotuotteinakin. Esimerkiksi Juniperin UAC tukee teollisuusstandardien lisäksi laajasti eri valmistajien todennus-, hakemisto-, virustorjunta- ja päivitystenhallintatuotteita, kertoo myyntipäällikkö Jouko Nuolioja Santa Monica Networks Oy:stä.

Microsoftin Windows Vista- ja Longhorn -käyttöjärjestelmiin sisältyvän NAP-ratkaisun sekä Trusted Networking Groupin piirissä tapahtuvan standardoinnin odotetaan selkiyttävän tilannetta lähivuosina.

Kommentit

    Näytä lisää