Microsoft: bezpłatny NAC dla użytkowników Windows

Network Access Protection (NAP) to termin używany przez Microsoft na określenie zestawu mechanizmów egzekwowania ściśle związanych ze zgodnością bezpieczeństwa punktu końcowego. NAP łączy kontrolę bezpieczeństwa punktu końcowego z opcjonalnym uwierzytelnianiem. Do kontroli stanu bezpieczeństwa używa Windows Security Center, zapewniając bazowy zestaw kontroli: antywirus, antyspyware, zapora ogniowa, automatyczne łatki. Jednakże kontrola stanu bezpieczeństwa klienta NAC może być przeniesiona do dowolnego modułu kontroli innego dostawcy, kompatybilnego z NAP.

NAP pracuje najlepiej w jednorodnym środowisku systemów operacyjnych Microsoftu, gdzie wszystkie urządzenia są włączone do domeny Windows. W takiej sytuacji, zarządzanie klientem NAP może być realizowane poprzez standardowe narzędzia konfiguracyjne domeny. W NAP nie ma jednak realnego wsparcia dla takich narzędzi, jak portale przechwytywania, zarządzanie użytkownikami-gośćmi i uwierzytelnianie oparte na MAC. Jeżeli takie mechanizmy są potrzebne, trzeba je dobudować do tego, co proponuje Microsoft.

Network Policy Server (NSP) jest serwerem RADIUS, który zapewnia zdolność działania w środowisku 802.1X z egzekwowaniem na obrzeżu sieci. Chociaż NSP ma ogólne możliwości dostarczania informacji VLAN i ACL do przełączników w scenariuszu 802.1X, udogodnienia do zarządzania tymi ustawieniami w NPS są dość proste, odpowiednie jedynie do przydzielania VLAN.

Jednak kontrola dostępu może być wymuszana poprzez inne mechanizmy, a to z uwagi na ścisłe powiązanie pomiędzy klientem NAP a Windows. Dostępne jest wymuszanie oparte na DHCP (zakładając używanie serwera DHCP Microsoftu). Własny serwer VPN Microsoftu (Routing and Remote Access Server) także jest dowiązany do NAP, tak więc użytkownicy łączący się przez RRAS mogą mieć zróżnicowany dostęp na podstawie stanu bezpieczeństwa ich punktów końcowych w czasie połączenia.

Microsoft NAP z pewnością nie jest najbardziej funkcjonalną strategią NAC, ale ma olbrzymią przewagę nad każdą inną strategią: jest wbudowana w Windows.

Symantec: łatwa instalacja, poprawna kontrola punktu końcowego

Symantec NAC skupia się przede wszystkim na kontrolowaniu, czy urządzenia w sieci właściwie stosują się do polityki bezpieczeństwa punktów końcowych, ustawionej w konsoli Symantec Endpoint Protection. Natomiast w zakresie uwierzytelniania i kontroli dostępu, produkt nie wykracza poza bazowe przełączanie VLAN.

Symantec NAC ma własny, standardowy zestaw ochrony punktów końcowych dla desktopów i jedno lub klika urządzeń specjalistycznych, które działają w charakterze egzekutorów polityki NAC. Przy pierwszym konfigurowaniu urządzenia ustala się, czy jest ono egzekutorem 802.1X, DHCP czy bramą egzekwującą inline, filtrującą pakiety przechodzącego przez nią ruchu.

Mocną stroną produktu jest bezpieczeństwo punktu końcowego, ale są też inne mechanizmy, takie jak prosty portal dla gości (jeżeli wykorzystuje się bramę egzekwującą) ze skanowaniem bezpieczeństwa punktu końcowego na żądanie, który także obsługuje uwierzytelnianie oparte na MAC (dla telefonów VoIP i drukarek).

Symantec NAC uwzględnia obsługę przydziału VLAN dla przewodowych i bezprzewodowych przełączników Cisco, przełączników Alcatel-Lucent, Foundry, HP, Nortel i Extreme, a także dla bezprzewodowych sterowników Airnet.

Rozwiązanie jest łatwe zarówno w instalowaniu, jak i późniejszym zarządzaniu. Użytkownicy z zainstalowanym Symantec Endpoint Protection, przy inwestowaniu w NAC kierujący się zgodnością bezpieczeństwa punktów końcowych, mogą wybrać Symantec NAC jako niedrogi sposób na wdrożenie NAC w swojej sieci.