Administratorom, którzy chcą wdrożyć technologię NAC, można doradzić, aby wzięli pod uwagę dwa czynniki. Przede wszystkim powinni ocenić, czy będzie się to wiązać z koniecznością zakupu nowych urządzeń. Tańszym rozwiązaniem będzie zawsze zakup systemu NAC opartego na oprogramowaniu. Szybsze rozwiązania NAC są jednak często oparte na dedykowanych do tego celu urządzeniach. Należy też sprawdzić, czy po wprowadzeniu do sieci systemu NAC jej architektura zmieni się na tyle, że będzie mniej wydajna i zniechęci klientów do korzystania z jej usług.

Network Access Control Network Access Control AC-M1000/3000 firmy Edimax oferuje centralną kontrolę oraz zaawansowane bezpieczeństwo danych w środowisku sieci wewnętrznej. Network Access Control jest dostępny w dwóch wersjach: AC-M1000 - obsługuje do 50 niezależnych użytkowników i AC-M3000 - obsługuje do 120 użytkowników. Obydwa urządzenia mogą obsłużyć do 2000 kont gości oraz posiadają po 2 porty WAN i 8 portów LAN. Obsługuje bezpieczeństwo oparte o reguły (Role-based, Policy-based). Obsługuje wielokrotne metody uwierzytelnienia i kontrole przepustowości na poziomie użytkownika. Wspiera centralne zarządzanie punktami dostępowymi ( EW-7206APg Edimax). Posiada 2 porty WAN dla lepszego routingu. Obsługuje technologie bezpiecznych połączeń sieciowych VPN. EDIMAX TECHNOLOGY POLAND Sp. z o.o. ul. Postępu 14 02-676 Warszawa tel. 22 607 94 80, faks 22 607 94 81 e-mail: [email protected] http://www.edimax.pl

Mówiąc o NAC warto zwrócić uwagę na firmę Extreme Networks, która opracowała bardzo interesujące rozwiązanie. Jest to produkt (oprogramowanie), które chroni sieć LAN nie tyle przed samymi włamaniami, ile przed użytkownikami, którzy próbują obejść zabezpieczenia oparte na technologiach NAC.

Rozwiązanie (które zostało wprowadzone do systemu operacyjnego Extreme XOS) nie pozwala klientom rekonfigurować w dowolny sposób komputery, co jest jedną z metod oszukiwania systemu LAN.

System NAC działa w ten sposób, że pozwala użytkownikowi uzyskać dostęp do sieci dopiero wtedy, gdy uwierzytelni się on w warstwie Layer 2 (protokół 802.1X). Gdy uwierzytelnienie kończy się niepowodzeniem, użytkownik jest kierowany do specjalnej, wirtualnej sieci LAN (gdzie podlega kwarantannie).

Niektórzy próbują oszukać system NAC, przypisując komputerowi odpowiedni adres IP (taki, który znajduje się w puli adresów obsługującej daną sieć). Mechanizm opracowany przez Extreme przeciwdziała temu, identyfikując w sieci adresy IP, które nie zostały im w standardowy sposób przypisane przez zainstalowany w sieci serwer DHCP. Gdy tylko system operacyjny Extreme XOS odkryje taki adres, dany klient jest odłączany od sieci.

Firmy dążą też do tego, aby ich firmowe rozwiązania NAC mogły współpracować z rozwiązaniami oferowanymi przez innych dostawców sprzętu sieciowego. Można tu np. wskazać na firmę Enterasys, która zmodyfikowała swoje oprogramowanie Sentinel NAC Solution, po to aby mogło kontrolować dostęp do sieci również w takich sytuacjach, gdy firma zainstalowała w swoim systemie informatycznym przełączniki dostarczone przez innych producentów.

Oprogramowanie Sentinel NAC Solution współpracowało do tej pory tylko z przełącznikami Enterasys. Nowa wersja tego produktu (Sentinel NAC Solution 1.1) zawiera mechanizm, który w przypadku niespełnienia przez klienta określonych wymagań potrafi również blokować porty tych zarządzalnych przełączników, które nie zostały wyprodukowane przez Enterasys.

Load Balancer Router 2 WAN + 4 LAN Load Balancer Router BR-6624 (z równoważeniem obciążenia) jest idealnym rozwiązaniem dla małych i średnich przedsiębiorstw. Dzięki niemu można podłączyć do Internetu do 253 użytkowników, wykorzystując pasmo dwóch linii DSL. Poprzez trzy metody zarządzania ruchem administrator ma możliwość wybrać najlepszą dla danej sieci LAN, by maksymalnie wykorzystać dostępne pasmo. Obsługuje wyjściowe równoważenie obciążenia (Outdbound Load Balancer) poprzez kontrolę bajtów, pakietów i sesji. Posiada wbudowane równoważenie obciążenia (Load Balancing) oraz automatyczne przełączanie na łącze awaryjne. Obsługuje QoS i zarządza ruchem zgodnie z priorytetami. Obsługuje serwery wirtualne Multi-DMZ/DDNS. Obsługuje VPN pass through (PPTP/IPSec) oraz PPTP client. EDIMAX TECHNOLOGY POLAND Sp. z o.o. ul. Postępu 14 02-676 Warszawa tel. 22 607 94 80, faks 22 607 94 81 e-mail: [email protected] http://www.edimax.pl

Co ważne, rozwiązanie NAC firmy Enterasys wspiera dwa tryby pracy: przed uzyskaniem prawa dostępu i po uzyskaniu takiego prawa. W pierwszym przypadku system NAC sprawdza klienta wtedy, gdy zgłasza on na początku pracy żądanie uzyskania prawa dostępu do sieci. W drugim system NAC działa cały czas aktywnie i sprawdza zawsze, czy klient próbujący korzystać z określonych zasobów sieci ma do tego prawo. Jeśli klient, już po uzyskaniu prawa dostępu do sieci, chce korzystać z zasobów, do których nie ma prawa, jest natychmiast odcinany od sieci.

Okazuje się, że system NAC można też implementować bez konieczności wprowadzania zmian do oprogramowania rezydującego w pamięci klientów.

Rozwiązanie takie opracowała firma Check Point. Warunkiem wdrożenia takiego rozwiązania (wykorzystującego najnowszą wersję oprogramowania VPN-1 NGX) jest komputer klienta oparty na intelowskiej technologii vPro, wyposażony w intelowską kartę sieciową NIC wspierającą tę technologię. To właśnie karta NIC odcina klienta od sieci LAN, wtedy gdy nie spełnia on określonych wymagań bezpieczeństwa.

Nowe strategie

W minionym roku dwóch liczących się dostawców rozwiązań sieciowych - Cisco i 3Com - ogłosiło istotne zmiany w swojej strategii.

I tak np. Cisco chce w przyszłości oddzielić sprzedaż sprzętu od oprogramowania.

Firma doszła do wniosku, że użytkownicy będą wtedy mogli elastycznie wybierać tylko te opcje, które ich interesują. Administrator kupi np. najpierw warstwę sprzętową rozwiązania (m.in. przełącznik), a dopiero później będzie mógł sukcesywnie dokupywać potrzebne mu funkcjonalności. Może to być np. moduł oprogramowania obsługujący różne opcje bezpieczeństwa, czy moduł wspierający aplikacje VoIP.