Třeba tím, že do zabezpečovacího systému vloží místo funkčního zařízení zařízení falešné. Dovolím si s jistou nadsázkou tvrdit, že kdyby vlastník „významného“ předmětu nebo dokumentu používal ve své datové síti systém CASSIE, „hrdina“ by neuspěl.
Během své profesionální praxe jsem měl tu čest několikrát implementovat pro řadu významných společností systémy pro řízení přístupu do datové sítě. Tj. řešení, pro které se používá označení NAC – Network Access Control a je založeno na využití protokolu 802.1× při autorizaci koncových zařízení. Model nasazení těchto řešení bývá obvykle velmi podobný. Datová síť se rozdělí na logické nebo i fyzické segmenty, které označíme za důvěryhodné, středně důvěryhodné a nedůvěryhodné.
A v souladu s klasifikací části datové sítě nastavíme vhodná pravidla pro přístup koncových zařízení do datové sítě. Na první pohled logický postup, který by nemělo být těžké aplikovat. Jenže pak často narazíme na omezení, které souvisí s možnostmi koncových zařízení. Najednou jsme nuceni zabezpečení přístupu škálovat ne podle důležitosti dat, které se v daných segmentech nachází, ale prostě podle toho, co zvládají koncová zařízení, která se do daného segmentu připojují.
Nepřekvapivě jsme při realizaci projektů identifikovali největší rezervy ve funkčnosti protokolu 802.1× u non-PC zařízení jako jsou kamerové systémy, tiskárny, nejrůznější výrobní i nevýrobní zařízení, senzory a čidla a bohužel také prvky zabezpečovacích systémů. Obecně se jedná o velké množství velmi specifických zařízení bez plnohodnotného operačního systému.
Reakce správců datových sítí je obvykle naprosto logická a svým způsobem i správná. Aktivace protokolu 802.1× na těchto typech zařízení je pracná, případná správa certifikátů náročná ne-li ve vyšším počtu téměř nemožná. Proto se správci spíše zaměřují na definice nedůvěryhodných segmenty, kam jsou zařízení umístěna a následně se smíříme se s nejnižší možnou úrovní zabezpečení – MAC autentizací. Řešení těchto nedostatků nabízí systém CASSIE (Certificate Auto-enrollment Security Systém), od společnost Simac Technik ČR, a.s.
Co systém CASSIE nabízí? Velmi zjednodušeně automatizaci správy certifikátů v koncových zařízeních. Systém umožní propojení s vydavateli certifikátů v dané organizaci, získání certifikátu a jeho automatický enrollment do koncového zařízení. Administrátor má vždy volbu jak postupovat → celý proces provádět po jednotlivých krocích nebo celý proces plně automatizovat.
Další unikátní funkcí je automatizace obnovy certifikátu. Pokud někdo z Vás studoval obsah ZoKB a navazujících vyhlášek a doporučení, jistě ho zaujalo doporučení NUKIB měnit certifikáty každé tři měsíce. V případě manuálního enrollmentu certifikátů do koncových zařízení je délka platnosti jedním z parametrů, které mohou pracovní vytížení administrátorů značně navýšit. Nicméně úvahy typu „delší platnost certifikátu = méně práce“ jsou na první i druhý pohled zcela jasně v rozporu s požadavky na co možná nejvyšší úroveň bezpečnosti přístupu do datové sítě.
V terminologii CASSIE tuto úlohu řeší funkce „nastavení údržby“. Jde o proceduru, kterou si administrátor dle vlastního uvážení a dle provozních standardů v organizaci nastaví tak, aby bylo možné ve stanovených intervalech platnost certifikátu kontrolovat, žádat o nový certifikát a nový certifikát na zařízení implementovat. Celý proces může být zcela automatizovaný nebo ho lze provádět po částech.
Další nepopiratelnou výhodou systému CASSIE je i skutečnost, že nakládání s certifikáty probíhá bez přímé účasti uživatele. Je tedy méně pravděpodobné, že se certifikát při přenosu na koncové zařízení dostane do nesprávných rukou.
Petr Kolda, projektový vedoucí ve společnosti Simac Technik ČR, a.s.
PŘEDPLATNÉ
ČLÁNKY DO MAILU