» continua
Molte aziende permettono l'accesso remoto alla rete aziendale attraverso una virtual private network (VPN). Dato che un collegamento VPN consente a un host “fidato” di collegarsi ad una rete aziendale tramite un mezzo insicuro, le problematiche di sicurezza vanno valutate con attenzione. Le macchine che si collegano alla rete aziendale tramite VPN potrebbero infatti avere un sistema operativo vecchio ed essere infestati da virus e spyware. Una soluzione a questo problema è la Network Access Protection.
È importante notare che il compito della Network Access Protection è soltanto di verificare che i computer collegati remotamente alla rete aderiscano alla policy aziendale di sicurezza. La Network Access Protection non controlla l'identità di un utente remoto o non cerca di tenere un intruso fuori dalla rete. L'autenticazione è realizzata dal server della virtual private network (con l'aiuto del server RADIUS), non da un server di Network Access Protection.
Come lavora la Network Access
Protection
Durante il deployment di un server Network Access Protection,
dovrete creare una paio di policy. La prima è la policy “sanitaria” della rete,
la quale definisce semplicemente cosa significa che un Pc è in salute. Per
esempio, se il vostro utente considera “sano” un determinato Pc con le ultime
patch di sicurezza e le più recenti definizioni dell'antivirus, allora la policy
sanitaria della rete stabilirebbe che tutti i computer devono avere le ultime
patch di sicurezza e definizioni dell'antivirus.
Quando un Pc si collega alla VPN e l'utente è autenticato, il server di policy della rete chiede che tale Pc sia dotato di una dichiarazione inerente la sua "salute". Per ora, soltanto le stazioni di lavoro che fanno funzionare Windows Vista possono fornire questo "certificato", di fatto un riepilogo di come la configurazione del computer si rapporta alla sicurezza. Quando il server di policy di rete riceve la dichiarazione di salute, la confronta con una o più validazioni di salute del sistema e usa i risultati per determinare se il computer è o meno conforme alla policy di sicurezza della rete. La Network Access Protection può anche essere configurata in modo che nel caso di un guasto, i computer remoti siano automaticamente trattati come fossero non conformi, in modo da non permettere che un calcolatore non-conforme acceda accidentalmente alla rete.
Spetta all'amministratore determinare cosa accade ai Pc non conformi. Se la Network Access Protection sta funzionando in modalità Monitoring Only, sarà garantito il collegamento, ma verrà effettuato il log di tutti i particolari inerenti la mancanza di conformità. Se la Network Access Protection non sta funzionando in modalità Monitoring Only , i computer non conformi sono tipicamente posti in modalità isolamento, la quale permette l'accesso dei Pc non conformi a un segmento isolato della rete e impedisce l'accesso al resto della rete aziendale.
Anche se la Network Access Protection non è ancora stata rilasciata, potrà cambierà completamente il modo con cui le virtual private network saranno implementate. La Network Access Protection è destinata a divenire una tecnologia indispensabile perché permetterà agli amministratori di rete di proteggere le loro reti contro i collegamenti remoti effettuati da computer non sicuri.
