Wielki przewodnik po produktach NAC cz. 2: Skomplikowana układanka

Użycie dostępnych na rynku rozwiązań NAC (Network Access Control) nie zapewnia drogi na skróty do uzyskania pełnej kontroli dostępu.

Choć rozwiązania do kontroli dostępu do sieci nie realizują jeszcze w pełni początkowo zakładanych celów, to jednak producenci przywiązują do nich dużą wagę, czego dowodem jest liczba uczestników testów zorganizowanych przez IDG, wśród których pojawili się najważniejsi gracze w branży IT: Microsoft, HP, Juniper, McAfee, Symantec czy Alcatel-Lucent.

Dostarczone systemy sprawdzano w zakresie kluczowych elementów NAC: uwierzytelniania, egzekwowania kontroli dostępu i kontrolowania stanu bezpieczeństwa punktów końcowych sieci. Dokładne porównanie testowanych produktów okazało się niemożliwe, ponieważ różniły się one znacząco w sposobie realizacji funkcji NAC.

Większość sprawuje się dobrze w środowisku, w którym pracują urządzenia sieciowe lub oprogramowanie ochronne dostawcy. Na przykład HP ProCurve Identity Driven Manager w praktyce działa dobrze w środowisku HP. Jeżeli w sieci pracuje już zestaw Symantec Endpoint Protection, to narzędzie do kontroli dostępu tej samej firmy jest doskonałym jego uzupełnieniem. To samo można powiedzieć o rozwiązaniu McAfee.

Narzędziem niezwiązanym ze specyficznym sprzętem jest Microsoft NAP. Rozwiązań Juniper i Enterasys można używać również z wyposażeniem innych firm. Produkty Cisco i Alcatel-Lucent też mogą pracować w sieciach z przełącznikami innych dostawców.

Alcatel-Lucent/InfoExpress: potrzebna lepsza integracja

Alcatel-Lucent dostarczył własne przełączniki OmniSwitch, sterowniki bezprzewodowe OmniAccess, narzędzia do zarządzania OmniVista oraz system bezpieczeństwa punktów końcowych CyberGatekeeper firmy InfoExpress.

Wielki przewodnik po produktach NAC cz. 2: Skomplikowana układanka
W rezultacie dostępne były współpracujące elementy, które można łączyć w różne rodzaje egzekwowania NAC, o rożnych topologiach sieci. Cechą charakterystyczną tej strategii jest koncentracja na kontroli bezpieczeństwa punktu końcowego, jedynie losowo łączonej z opcjonalnym uwierzytelnianiem.

Produkty obu firm to jednak również niezależne rozwiązania NAC, i dlatego opcje egzekwowania oraz tworzenia zasad polityki są kłopotliwe i zagmatwane.

CyberGatekeeper, zainstalowany na klientach Windows lub Mac, wydaje werdykt dwuwartościowy: "kontrola pozytywna" - "kontrola negatywna", który może być użyty jako element decyzyjny w kontroli dostępu.

Do definiowania polityki NAC wykorzystano oprogramowanie zarządzające Alcatel-Lucent Access Guardian. Reguły polityki są przesyłane do przełączników Alcatel-Lucent, egzekwujących kontrolę dostępu. Access Guardian obsługuje ACL, ale mechanizm ich definiowania jest dość niezborny.

Komponenty oferowane przez Alcatel-Lucent i InfoExpress spełniają większość wymogów stawianych wdrożeniom NAC, ale stanowią raczej zestaw typu "zrób to sam" niż zintegrowany produkt NAC.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200