Technologia rozwiązań kontroli dostępu do sieci wciąż nie spełnia oczekiwań użytkowników, a producenci zamiast proponować zintegrowane rozwiązania najczęściej oferują różne, nie związane ze sobą produkty.

Technologia określana jako NAC (Network Access Control - kontrola dostępu do sieci) miała stać się zaawansowaną, uniwersalną metodą kontroli każdego dołączanego do sieci komputerowej urządzenia, pozwalając na dopilnowanie spełnienia wymagań określonych wcześniej przez reguły bezpieczeństwa. Zarówno firmy oferujące kompleksowe rozwiązania sieciowe (m.in. Juniper, Cisco Systems), jak i mniejsze firmy z pojedyn-czymi rozwiązaniami, sprzedały już swoim klientom tysiące urządzeń, których funkcjonalność określały jako NAC, a wraz z nimi sprzedały nadzieję na łatwiejsze zarządzanie bezpieczeństwem sieci.

Nadzieje jednak dość szybko przerodziły się w niezadowolenie, zaś marketingowe obietnice producentów nie pokrywają się z rzeczywistymi możliwościami oferowanych rozwiązań. Za marketingiem i rosnącą dzięki niemu popularyzacją NAC na rynek popłynęła rzeka znacznie różniących się od siebie technologii i produktów, często nie współpracujących ze sobą. Ich jedyną wspólną cechą jest to, że realizują najbardziej podstawową funkcjonalność - umożliwiają zarządzanie regułami dostępu użytkowników sieci, pracowników zdalnych i gości, blokując jednocześnie dostęp osobom niepowołanym.

Jeśli idea NAC ma przetrwać jako powszechnie stosowana technologia wśród wielu innych dostępnych na rynku narzędzi do autentykacji i zachowania bezpieczeństwa, musi dojrzeć bardzo szybko i rozwinąć się znacznie bardziej ponad obecny model użytkowania - przyznaje Steve Hanna, inżynier w Juniper Networks i de facto rzecznik branży NAC.

Są ważniejsze rzeczy...

Piotr Kluczwajd, dyrektor ds. rozwoju w firmie Clico, która m.in. jest dystrybutorem rozwiązań Juniper Networks i Consentry, także twierdzi, że oferta systemów NAC nie jest odpowiednia dla polskich klientów. Kontrola dostępu do sieci w polskich dużych firmach w 80% jest realizowana poprzez protokół 802.1X. W kontekście bezpieczeństwa firmy opierają się na VPN-ach, czyli szyfrowaniu komunikacji, potem jest ochrona desktopów, a trzeci etap, czyli kontrola i weryfikacja poprawności konfiguracji stacji, która będzie dopuszczona do sieci, jest traktowana po macoszemu, bardziej jako system, który "miło by było mieć". Klienci, po ocenie priorytetu takiej potrzeby, szybko orientują się, że nie jest on najwyższy, szczególnie gdy poznają cenę systemu, o którym myśleli. To wciąż jest wizja i marketing firm, które pokazują ciekawe rzeczy, ale finalnie, gdy rozpoczyna się głębsza analiza projektu, sprzedają coś innego. Dystans między oczekiwaniami a tym co się rzeczywiście dzieje jest ogromny.

Juniper rozbudował niedawno platformę Unified Access Control - swój flagowy produkt NAC - o możliwości integracji z własnymi firewallami i systemami wykrywania włamań IDS (Intrusion Detection Systems). Ale przedstawiciele grupy roboczej Trusted Network Connect, działającej w ramach organizacji Trusted Computing Group promującej powstanie standardu NAC, otwarcie podkreślają, że konieczne jest umożliwienie współpracy urządzeń nie tylko jednego producenta, ale nakłonienie wszystkich liczących się firm do podjęcia wysiłku i uzgodnienia stosowanych technologii tak, aby różne firmowe rozwiązania i urządzenia mogły ze sobą współpracować.

Zdaniem przedstawicieli firm z tej branży problemem staje się także kwestia spadających oczekiwań użytkowników wobec systemów NAC. Jest to m.in. efektem wprowadzenia przez Cisco relatywnie tanich rozwiązań "NAC-podobnych", które pozwalają administratorom rozwiązać problem dostępu gości do zasobów sieciowych, ale nie realizują wszystkich założeń leżących u podstaw idei NAC i dlatego obniżają potencjał tej technologii w długofalowej perspektywie. Firma Cisco zapowiadała kiedyś stworzenie zestawu narzędzi umożliwiających jej partnerom tworzenie i oferowanie zaawansowanych, profilowanych systemów NAC, ale po pewnym czasie producent zaniechał tej idei i rozpoczął oferowanie przede wszystkim własnych urządzeń oraz oprogramowania. W 2007 r. światło dzienne ujrzała zapowiedziana przez Cisco strategia OneNAC, zachęcająca klientów do kupowania prostszych rozwiązań kontroli dostępu do sieci, która, zdaniem ekspertów, może zniechęcić użytkowników do bardziej przyszłościowego myślenia.

Cała siła w NAC 2.0?

Zdaniem Steve'a Hanny'ego, branża systemów NAC musi przenieść się na wyższy poziom, który określa on jako NAC 2.0. Przede wszystkim technologia powinna być zunifikowana, aby pozwolić na powstanie pojedynczej architektury bezpieczeństwa i umożliwić nie tylko generację informacji, że ktoś niepowołany wszedł do sieci, ale także pokazać, co w niej robi.

Poważnym graczem na rynku systemów NAC wkrótce może stać się Microsoft, który stworzył własną technologię Network Access Protection (NAP). Będzie ona wbudowana w najnowszą wersję serwerowego systemu Windows 2008 Server, którego premiera jest zapowiedziana na koniec lutego br. Zdaniem ekspertów pojawienie się tej technologii może wiele zmienić, jako że będzie ona po raz pierwszy wbudowana w szeroko rozpowszechniony system operacyjny.

Tymczasem lider tego rynku Cisco Systems zaczął skupiać się na rozwiązaniach obsługujących gości próbujących podłączyć się do firmowej sieci. Firma zaprezentowała pakiet Network Admission Control Guest Server, przeznaczony właśnie do obsługi osób odwiedzających firmę.

Przedstawiciele producenta twierdzą, że najczęściej wykorzystywaną przez użytkowników funkcjonalnością jest właśnie obsługa gości. Irene Sandler, szef marketingu dla rozwiązań NAC w Cisco Systems mówi, iż z testów systemu przed wdrożeniami wynika, że bardzo rzadko administratorzy próbują zaawansowanych polityk bezpieczeństwa, a z reguły ograniczają się do sprawdzenia jak działa funkcja udostępniana gościom Internetu.

Przy tak dużych rozbieżnościach oczekiwań i oferty producentów trudno się spodziewać, żebyśmy wkrótce doczekali się cudu. Systemy realizujące ideę NAC staną się popularne wtedy, gdy będą łatwe we wdrożeniu i obsłudze, ale przede wszystkim, gdy będą popularne i dostępne. To zaś może nastąpić tylko wtedy, gdy takie funkcje znajdą się w każdym przełączniku i gdy będzie je wspierał każdy system operacyjny. Wtedy, niejako "z urzędu", każda firma będzie dysponowała odpowiednim zestawem funkcji NAC, mogąc jednocześnie przestać martwić się, że pojawią się problemy związane z koniecznością skomplikowanej konfiguracji systemu. Natomiast jeśli system NAC wciąż będzie wdrażany jako indywidualny projekt, to nadal będzie to ekskluzywne rozwiązanie przeznaczone tylko dla najbogatszych i największych firm.