Wielki przewodnik po produktach NAC cz. 2: Skomplikowana układanka
-
- Józef Muszyński,
-
- (idg),
-
- Joel Snyder,
- 11.11.2010
Podsumowanie
Testy nie dały jednoznacznej oceny jakości poszczególnych rozwiązań. Seria produktów NAC rozwija się i dojrzewa, a wiele elementów kontroli dostępu do sieci przechodzi do infrastruktury sieciowej: przełączników, routerów i systemów operacyjnych użytkownika. Kontrola dostępu do sieci zmierza w kierunku technologii udostępnianej w sieci, w sposób podobny do takich technologii, jak dynamiczne protokoły routingu czy egzekwowanie QoS.
Jednak kompletna kontrola zawsze będzie potrzebować innych elementów - profilowanie urządzeń końcowych, systemy zarządzania polityką oraz portale przechwytujące, to istotne składowe rozwiązań kontroli dostępu do sieci, które raczej nie powinny być wbudowywane w przełączniki czy systemy operacyjne.
Chociaż w testach zrezygnowano z punktacji, to jednak wyróżniono niektóre produkty. Rozwiązaniom NAC przyglądano się pod kątem bezpieczeństwa i za korzystne uznano obsługę 802.1X. Przy takim kryterium, na krótkiej liście wyróżnionych można umieścić rozwiązania Enterasys NAC i Juniper UAC. Dopisać też można HP ProCurve Identity Managera, ale w praktyce jest to narzędzie spełniające się tylko w środowisku HP.
Microsoft NAP, wykorzystujący klienta wbudowanego w Windows, jest bezspornym liderem, jako że żadne rozwiązanie nie pozwala na utworzenie tego, co bezpłatnie można uzyskać od Microsoftu.
Niektóre NAC sprawiają wrażenie jakby ich dostawcy ciągle nie do końca jeszcze zdecydowali, jak mają one działać (Alcatel-Lucent/InfoExpress, Cisco NAC Appliance) - co nie oznacza, że nie pracują właściwie, ale należy być przygotowanym na zmiany w sieci.
Niektóre produkty wymagają usunięcia kilku niedoróbek - m.in. McAfee N-450 NAC Appliance.
Przy ocenie NAC skupiono się na sześciu specyficznych obszarach:
1. Zarządzanie - obejmujące wgląd w stan NAC, wysoką skalowalność i dostępność, jak również problem separacji ról w zarządzaniu NAC.
2. Uwierzytelnianie - jak produkt uwierzytelnia urządzenia i użytkowników występujących w różnych rolach: pracownicy, współpracownicy, użytkownicy-goście, urządzenia, które są podłączone, ale nie rejestrowane (istotne dla uaktualnień offline, łatania i zdalnego zarządzania) oraz urządzenia, które nie mają przeglądarek ani użytkownika, takie jak telefony VoIP czy drukarki.
3. Wymuszanie kontroli dostępu - jak produkt kontroluje dostęp w różnych topologiach sieci, w tym kontrola brzegowa wykorzystująca VLAN-y lub ACL, kontrola zagnieżdżona w samej sieci i kontrola dostępu w środowiskach, takich jak zdalny dostęp VPN lub bezprzewodowy.
4. Bezpieczeństwo punktu końcowego - jak produkt zapewnia kontrolę bezpieczeństwa punktu końcowego: używane mechanizmy, elastyczność kontroli, kiedy przeprowadzana jest kontrola (w momencie uwierzytelniania, przed lub po?), wykrywanie niewłaściwych działań systemu.
5. Wsparcie klienta - które aplikacje są obsługiwane i jak? Czy jest dostępny "rozpuszczalny agent"?
6. Wsparcie topologii - jakie typy topologii sieci są obsługiwane i jakie ograniczenia mają miejsce?
Zdecydowano się nie testować wydajności, ponieważ produkty były bardzo różne i zabrakło spójnego benchmarku dla NAC.
