Następny poziom zabezpieczeń to proste filtrowanie pakietów, a najwyższy - z pełną ochroną zapory ogniowej lub inspekcją pakietów. Dzięki funkcjonalności prostego filtrowania pakietów niektóre przełączniki mogą służyć do bardziej skomplikowanych rzeczy niż umieszczenie użytkownika w odpowiedniej sieci VLAN. W takim przypadku możemy ograniczać dostęp do określonych miejsc dla każdego użytkownika indywidualnie. Ta funkcjonalność jest często określana mianem listy dostępu opartej na portach, co oznacza możliwość przypisania dostępu do specyficznego portu lub użytkownika. Takie funkcje można odnaleźć w bardziej zaawansowanych przełącznikach LAN.

Przedstawione cztery poziomy zawierają część funkcjonalności NAC i nie są równoważne w ochronie. Istnieje wiele specjalizowanych produktów, charakteryzujących się unikalnymi funkcjami. Przełącznik sieci LAN, potrafiący dokonywać filtracji pakietów, nie stanowi kompletnego rozwiązania. Na rynku można znaleźć dedykowane produkty, które umieszczone za warstwą dostępową LAN, realizują zadania zapory ogniowej połączonej z NAC.

Czy można wdrożyć NAC za darmo?

Istnieje kilka prostych systemów NAC, rozpowszechnianych jako darmowe oprogramowanie. Na rynku dominują jednak systemy komercyjne z bardzo rozbudowanymi możliwościami. W dużej większości, te ostatnie oferują nie tylko więcej opcji niż ich darmowa konkurencja, ale także dostarczane są z większym poziomem wsparcia. Wśród bezpłatnych rozwiązań zdarzają się jednak wyjątki. Model darmowego oprogramowania powinien zostać ściśle dopasowany do polityki, którą system NAC będzie forsował.

Dlaczego więc warto podążać za bezpłatnym oprogramowaniem? Jeżeli istnieje aplikacja, która ma wszelkie niezbędne funkcje, a techniczne aspekty wdrożenia nie są zniechęcające, koszt całkowitego wdrożenia powinien być niski. Standardowe wsparcie bardzo często nie będzie dostępne, choć w niektórych przypadkach niezależne firmy oferują komercyjną pomoc do darmowego produktu.

Bez solidnych podstaw administrowania systemem Linux, prawidłowa instalacja i konfiguracja darmowej aplikacji NAC mogłaby być bardzo frustrująca. Na szczęście, to już przeszłość. Twórcy bezpłatnej aplikacji NAC opartej na systemie Linux - PacketFence - wykorzystali kolejny gorący temat w IT - wirtualizację. Dzięki ich wersji PacketFence Zen (PF ZEN) - skompilowanej i skonfigurowanej pod VMWare - zapoznanie się z możliwościami systemów NAC staje się wyjątkowo łatwe. PF ZEN stworzono do wejścia w świat NAC z minimalną znajomością systemu Linux.

Ponieważ oprogramowanie PF ZEN scala mechanizmy NAC oraz technologię wirtualnych maszyn, zdobywamy doświadczenie z pracy z obiema nowymi technologiami. Najważniejszą korzyścią jest oszczędność czasu przeznaczonego na instalację systemu operacyjnego, załadowanie niezbędnych pakietów i prostą konfigurację NAC. VMWare robi to wszystko za nas i nie tylko przy zerowym wysiłku, ale i zerowych kosztach. Prawidłowo skonfigurowane oprogramowanie ładuje oddzielny prekompilowany i skonfigurowany system operacyjny na istniejącym systemie operacyjnym komputera. Pozwala to na testowanie operacyjnego systemu i aplikacji bez konieczności wykorzystania dedykowanego sprzętu.

Wirtualizacja oczywiście nie odbywa się bez kosztów. Maszyna współdzieli zasoby z oprogramowaniem, więc uruchomienie wielu aplikacji na standardowym komputerze biurowym, prawdopodobnie spowoduje jego przeciążenie. W roli platformy testowej to nadal bardzo potężne narzędzie. Interfejs użytkownika jest prosty i funkcjonalny. Pomimo tego, że PacketFence nie wykorzystuje oprogramowania klienckiego do sprawdzania poprawności maszyn z założoną polityką, wspiera zewnętrzne skanery bezpieczeństwa, takie jak Nessus i Snort. Wspierana jest także administracyjna kwarantanna, dzięki której można blokować dostęp specyficznym urządzeniom do sieci. W kilku słowach - PacketFence nie ma tak rozbudowanych możliwości jak systemy komercyjne, ale dostarcza zupełnie przyzwoite funkcjonalności NAC:

• rejestrację komponentów sieciowych (komputerów, drukarek itp.) oraz opcjonalnie akceptację polityki wykorzystania sieci przed uzyskaniem kompletnego dostępu do sieci;
• wykrywanie naruszeń polityki wykorzystania sieci, oparte na pasywnym i aktywnym skanowaniu wszystkich przyłączonych węzłów;
• izolację węzłów;
• powiadamianie oparte na naruszeniach polityki wykorzystania sieci;
• renegocjację - komponenty sieciowe muszą otrzymać pozwolenie na powrót do sieci po naruszeniu polityki.

PacketFence został napisany w języku Perl i wykorzystuje darmowe komponenty, takie jak MySQL, Apache, Snort czy Nessus. Oprogramowanie nie wymaga instalacji agenta na komputerach przyłączających się do sieci. Wdrożenie systemu nie sprawia kłopotu, a każda interakcja z użytkownikiem jest przeprowadzana z wykorzystaniem przeglądarki stron internetowych.

Oprogramowanie oferuje techniki izolowania klientów wykorzystujące ARP, DHCP/DNS oraz VLAN. Wybór prawidłowej metody zależy od rozmiaru sieci i stosowanego sprzętu sieciowego.

Jak działa PacketFence, omówimy na przykładzie izolowania z VLAN. Jego interakcja z przełącznikiem opiera się na komunikatach protokołu SNMP. Trapy SNMP są komunikatami wysyłanymi przez agenta SNMP, w przypadku zaistnienia określonego zdarzenia. Gdy komputer próbuje przyłączyć się do portu przełącznika, produkt wysyła trap o zmianie stanu portu. Następnie wysyłany jest pakiet SNMP w kierunku przełącznika z zapytaniem o nauczony MAC adres komputera na tym porcie. Demon snmptrapd odbiera trapy wysyłane przez współpracujący z systemem NAC przełącznik, następnie zapisuje dane do pliku. Podany MAC adres jest weryfikowany w wewnętrznej bazie oprogramowania PacketFence. Kolejny demon o nazwie pfsetvlan odczytuje plik z trapami, po czym wysyła informację o konfiguracji portów przełącznika do specyficznego VLAN-u. Jeżeli PacketFence odbierze komunikat o odłączeniu komputera od portu przełącznika, port zostanie ponownie ustawiony na funkcję detekcji MAC. Rozwiązanie współpracuje z przełącznikami produkowanymi przez Cisco, HP, Intel, Linksys i Nortel. Obsługę urządzeń innych producentów umożliwia rozszerzenie jednej z klas oprogramowania.

Przyszłość warstwy drugiej

Sieci lokalne stają się coraz bardziej inteligentne. Można zauważyć większą aktywność zaawansowanych przełączników w warstwie dostępowej, szkielecie LAN czy na styku warstwy LAN/WAN. Siłą zaawansowanych przełączników i systemów NAC jest możliwość zarządzania regułami polityki bezpieczeństwa oraz wpływanie bezpośrednio na ruch sieciowy. Sieci potrzebują integracji z mechanizmami identyfikacji. Zaczynając od prostego przełącznika obsługującego standard 802.1x, zmierzamy ku inteligentnym urządzeniom, które potrafią wykorzystać informację o tożsamości. Przełącznik uczy się roli użytkownika w sieci, aby następnie powiązać go z aplikacjami i polityką bezpieczeństwa.

Ważne jest umiejscowienie omawianych mechanizmów w centrum sieci. Przedsiębiorstwa potrzebują centralnego miejsca zarządzania tożsamością i polityką bezpieczeństwa, w którym infrastruktura może forsować wykonanie założeń na ruchu sieciowym. Zarządzanie polityką bezpieczeństwa przez przełączniki w szkielecie oraz na brzegu sieci jest jedynym skalowanym modelem nowoczesnej sieci lokalnej.