Wielki przewodnik po produktach NAC cz. 2: Skomplikowana układanka
- Józef Muszyński,
- (idg),
- Joel Snyder,
- 11.11.2010
Użycie dostępnych na rynku rozwiązań NAC (Network Access Control) nie zapewnia drogi na skróty do uzyskania pełnej kontroli dostępu.
Choć rozwiązania do kontroli dostępu do sieci nie realizują jeszcze w pełni początkowo zakładanych celów, to jednak producenci przywiązują do nich dużą wagę, czego dowodem jest liczba uczestników testów zorganizowanych przez IDG, wśród których pojawili się najważniejsi gracze w branży IT: Microsoft, HP, Juniper, McAfee, Symantec czy Alcatel-Lucent.
Dostarczone systemy sprawdzano w zakresie kluczowych elementów NAC: uwierzytelniania, egzekwowania kontroli dostępu i kontrolowania stanu bezpieczeństwa punktów końcowych sieci. Dokładne porównanie testowanych produktów okazało się niemożliwe, ponieważ różniły się one znacząco w sposobie realizacji funkcji NAC.
Większość sprawuje się dobrze w środowisku, w którym pracują urządzenia sieciowe lub oprogramowanie ochronne dostawcy. Na przykład HP ProCurve Identity Driven Manager w praktyce działa dobrze w środowisku HP. Jeżeli w sieci pracuje już zestaw Symantec Endpoint Protection, to narzędzie do kontroli dostępu tej samej firmy jest doskonałym jego uzupełnieniem. To samo można powiedzieć o rozwiązaniu McAfee.
Narzędziem niezwiązanym ze specyficznym sprzętem jest Microsoft NAP. Rozwiązań Juniper i Enterasys można używać również z wyposażeniem innych firm. Produkty Cisco i Alcatel-Lucent też mogą pracować w sieciach z przełącznikami innych dostawców.
Alcatel-Lucent/InfoExpress: potrzebna lepsza integracja
Alcatel-Lucent dostarczył własne przełączniki OmniSwitch, sterowniki bezprzewodowe OmniAccess, narzędzia do zarządzania OmniVista oraz system bezpieczeństwa punktów końcowych CyberGatekeeper firmy InfoExpress.
Produkty obu firm to jednak również niezależne rozwiązania NAC, i dlatego opcje egzekwowania oraz tworzenia zasad polityki są kłopotliwe i zagmatwane.
CyberGatekeeper, zainstalowany na klientach Windows lub Mac, wydaje werdykt dwuwartościowy: "kontrola pozytywna" - "kontrola negatywna", który może być użyty jako element decyzyjny w kontroli dostępu.
Do definiowania polityki NAC wykorzystano oprogramowanie zarządzające Alcatel-Lucent Access Guardian. Reguły polityki są przesyłane do przełączników Alcatel-Lucent, egzekwujących kontrolę dostępu. Access Guardian obsługuje ACL, ale mechanizm ich definiowania jest dość niezborny.
Komponenty oferowane przez Alcatel-Lucent i InfoExpress spełniają większość wymogów stawianych wdrożeniom NAC, ale stanowią raczej zestaw typu "zrób to sam" niż zintegrowany produkt NAC.