Network Access Control gaat ervan uit dat alleen endpoints die kunnen aantonen dat ze helemaal gezond zijn het netwerk op mogen. Een notebook met bijvoorbeeld verouderde virushandtekeningen of ontbrekende Windows-patches wordt de toegang geweigerd, of krijgt alleen webtoegang. Maar wat nu als een endpoint liegt over zijn gezondheid?

Volgens Steve Hanna, een engineer van Juniper Networks en binnen de Trusted Computing Group mede-voorzitter van de Trusted Network Connect Work Group, heeft de NAC-technologie last van het ‘lying endpoint problem’. “Als een endpoint wordt geïnfecteerd met een virus of andere malware, kan de infectie ervoor zorgen dat de machine gaat liegen over zijn gezondheidssituatie”, zo schijft Hanna in een bijdrage op Enterprise Systems. Een volgende stap is dat geïnfecteerde machines toegang krijgen tot het netwerk en daar andere machines besmetten.

Hiermee schetst Hanna geen nieuw probleem. De Trusted Computing Group positioneerde eerder al de Trusted Platform Module (TPM) als mogelijke oplossing om leugenachtige endpoints te ontamskeren. Hanna waarschuwt echter dat het probleem van leugenachtige endpoint wel ernstiger wordt nu rootkits aan populariteit winnen. Rootkits verhullen de aanwezigheid van infecties waardoor geïnfecteerde machines ongehinderd hun gang kunnen gaan.

Gelukkig zijn er oplossingen voor het probleem. Een mogelijk mechanisme is het endpoint booten met een cd-rom met daarop een betrouwbaar besturingssyteem en rootkit-detectiesoftware. Maar dit is nogal een omslachtige methode. Een infectie van de firmware zal bovendien niet worden opgemerkt. Een alternatief is een scan uitvoeren na de netwerktoegang, maar dan kan het op moment van detectie al te laat zijn.

De derde oplossing maakt gebruik van de Trusted Platform Module en is volgens Hanna geschikt in omgevingen waar een hoge mate van beveiliging is vereist. Als een endpoint contact maakt met het netwerk, worden metingen van de TPM verzonden naar de Trusted Network Connect-server en vergeleken met de lijst ‘acceptabele configuraties’. In geval van een ‘non-match wordt tot quarantaine overgegaan. TPM is echter wel specifiek voor oplossingen die gebruikmaken van TCG’s Trusted Network Connect, en daar vallen de producten van NAC-speler Cisco niet onder.

Bron: Techworld