Nu är tiden mogen för att återta kontrollen över den
företagsinterna IT-infrastrukturen. Det är inte längre realistiskt
att med automatik acceptera all utrustning som ansluts, ej heller
att ge vem som helst tillgång till hela den interna
IT-infrastrukturen.
I takt med att IT-infrastrukturen breder ut sig förlorar vi allt
mer kontrollen över den. Det finns dessvärre inget som hindrar att
utrustning som ansluts inte används i ett fientligt syfte. Allt
fler incidenter uppdagas där förövaren varit ansluten till den
interna IT-infrastrukturen för att stjäla information, utföra
sabotage etc. De traditionella skydd som upprättats för att hindra
detta är primärt fokuserade på att skydda mot osäkra nät som
exempelvis Internet.
Under de senaste åren har det vuxit fram olika tekniker som kan ge
IT-infrastrukturen ett bättre skydd. Allt är inte standardiserat
ännu, men tekniken är så långt gången att den kan realiseras utan
att man riskerar att måla in sig i ett hörn.
I sin allra enklaste form kan man ersätta den traditionella
DHCP-servern med en intelligentare DHCP-server. Den traditionella
servern tilldelar utan urskiljning IP-adress, subnetmask,
routinginformation etc till all ansluten utrustning medan den
intelligentare servern endast delar ut information till känd
utrustning eller till känd användare. Den kan också realisera en
enklare form av karantän, där varje utrustning som ansluts
kontrolleras innan den får anslutningsinformationen.
Tanken med karantänen är att såväl känd som okänd utrustning skall
kontrolleras innan den erhåller access till hela eller delar av den
interna IT-infrastrukturen. Det är allt för vanligt att exempelvis
infekterade datorer ansluts med allt vad det innebär. Förutom att
genomsöka utrustningen efter virus, skadlig kod etc, så kan
kontroller genomföras för att verifiera att den anslutna
utrustningen uppfyller de krav som ställs.
En intelligentare DHCP-server med tillhörande kringutrustning är
ett enkelt steg att ta och påverkar ringa den befintliga
IT-infrastrukturens byggstenar. Tyvärr ger den inte ett 100%-igt
skydd utan skall ses som ett första steg i rätt riktning. Den
nästintill fulländande lösningen kräver att alla nätkomponenter
tillförs intelligens, en intelligens som förenklat innebär att
varje switch-port är "stängd" till dess att nödvändiga kriterier
uppnåtts. Efter en lyckad vända i karantänen är det på grundval av
vem du är som du tilldelas åtkomst till delar av den nu
zonuppdelade IT-infrastrukturen.
Den fulländande lösningen är lyckligtvis inte en utopi, men för de
allra flesta är det en lång resa, men ju snabbare resan påbörjas
desto tidigare når man det efterlängtade, och i detta fall det
nödvändiga, målet. Därför skall du påbörja resan redan idag!
© 2005 Thomas Nilsson, Certezza AB
