Accesskontroll till IT-infrastrukturen

2005-09-28

Nu är tiden mogen för att återta kontrollen över den företagsinterna IT-infrastrukturen. Det är inte längre realistiskt att med automatik acceptera all utrustning som ansluts, ej heller att ge vem som helst tillgång till hela den interna IT-infrastrukturen.

I takt med att IT-infrastrukturen breder ut sig förlorar vi allt mer kontrollen över den. Det finns dessvärre inget som hindrar att utrustning som ansluts inte används i ett fientligt syfte. Allt fler incidenter uppdagas där förövaren varit ansluten till den interna IT-infrastrukturen för att stjäla information, utföra sabotage etc. De traditionella skydd som upprättats för att hindra detta är primärt fokuserade på att skydda mot osäkra nät som exempelvis Internet.

Under de senaste åren har det vuxit fram olika tekniker som kan ge IT-infrastrukturen ett bättre skydd. Allt är inte standardiserat ännu, men tekniken är så långt gången att den kan realiseras utan att man riskerar att måla in sig i ett hörn.

I sin allra enklaste form kan man ersätta den traditionella DHCP-servern med en intelligentare DHCP-server. Den traditionella servern tilldelar utan urskiljning IP-adress, subnetmask, routinginformation etc till all ansluten utrustning medan den intelligentare servern endast delar ut information till känd utrustning eller till känd användare. Den kan också realisera en enklare form av karantän, där varje utrustning som ansluts kontrolleras innan den får anslutningsinformationen.

Tanken med karantänen är att såväl känd som okänd utrustning skall kontrolleras innan den erhåller access till hela eller delar av den interna IT-infrastrukturen. Det är allt för vanligt att exempelvis infekterade datorer ansluts med allt vad det innebär. Förutom att genomsöka utrustningen efter virus, skadlig kod etc, så kan kontroller genomföras för att verifiera att den anslutna utrustningen uppfyller de krav som ställs.

En intelligentare DHCP-server med tillhörande kringutrustning är ett enkelt steg att ta och påverkar ringa den befintliga IT-infrastrukturens byggstenar. Tyvärr ger den inte ett 100%-igt skydd utan skall ses som ett första steg i rätt riktning. Den nästintill fulländande lösningen kräver att alla nätkomponenter tillförs intelligens, en intelligens som förenklat innebär att varje switch-port är “stängd” till dess att nödvändiga kriterier uppnåtts. Efter en lyckad vända i karantänen är det på grundval av vem du är som du tilldelas åtkomst till delar av den nu zonuppdelade IT-infrastrukturen.

Den fulländande lösningen är lyckligtvis inte en utopi, men för de allra flesta är det en lång resa, men ju snabbare resan påbörjas desto tidigare når man det efterlängtade, och i detta fall det nödvändiga, målet. Därför skall du påbörja resan redan idag!

© 2005 Thomas Nilsson, Certezza AB