Wprowadzenie specyfikacji IF-MAP sprawia, że NAC zaczyna poszerzać "pole rażenia". Obecnie mówi się już nie tylko o weryfikacji parametrów podłączanych urządzeń, czyli tzw. pre-admission czy pre-check, ale też o stałym monitorowaniu urządzeń, które zostały wpuszczone do sieci: post-admission lub post-check. Zauważalny jest również postęp w poszerzaniu zarówno katalogu, jak i metodologii wykonywania sprawdzeń, w szczególności podczas tej drugiej fazy. Takie rozszerzenia objęły m.in. wprowadzenie specyfikacji stałego przesyłania stanu agenta za pośrednictwem sesji TLS czy wykorzystywanie tożsamości federacyjnej (na podstawie SAML) do wymieniania danych o stanie klienta między domenami.

Postanowiliśmy sprawdzić, czego możemy oczekiwać po dzisiejszych rozwiązaniach z serii NAC. Dużo pisze się na temat rozwiązań oferowanych przez Junipera, Cisco, Microsoft czy Symanteca. Tym razem przyjrzeliśmy się rozwiązaniu proponowanemu przez Enterasys (Enterasys NAC, dawniej znanym jako Sentinel), ponieważ jest to jeden z aktywnie działających członków TCG-TNC.

Pierwsze wrażenie, które można odnieść po zapoznaniu się z materiałami producenta to kompleksowość podejścia do tematu. Należy jednak zdawać sobie sprawę, że Enterasys - mimo bycia członkiem TNC - zostawia sobie furtkę do promocji własnych pomysłów, co jest zrozumiałe z biznesowego punktu widzenia. Takie podejście ma zarówno zalety, jak i wady. Zaletą jest miejsce dla kreatywności i brak ślepego podążania za "tłumem", ale z drugiej strony nie możemy mieć gwarancji pełnej kompatybilności.

NACo mi to?

Obecnie w wielu polskich firmach dopiero zaczyna myśleć się o NAC. Dlaczego tak późno? Przyjęło się uważać, że wdrożenie NAC musi wiązać się z rewolucją. Tymczasem, jak podkreślają analitycy, wcale nie musi tak być. Z pewnością nie należy od razu uruchamiać wszystkich funkcji. Można zacząć od prostej polityki tylko na samej stacji roboczej - wiele produktów typu "endpoint security" ma już taką funkcjonalność wbudowaną.

Nie jest to rzecz jasna jedyna słuszna droga do celu. Według Enterasys, wdrożenie NAC powinno odbywać się fazowo. Począwszy od inwentaryzacji, poprzez wstępną weryfikację wszystkich systemów i użytkowników oraz ocenę ich poziomu bezpieczeństwa, i wreszcie kończąc na egzekwowaniu polityki bezpieczeństwa. Ciekawą funkcją Enterasys NAC, już na wstępnym etapie, jest umiejętność identyfikacji systemów i użytkowników w sieci. Wykorzystywane są tutaj techniki, takie jak: Kerberos, RADIUS czy DHCP snooping. Dzięki temu jesteśmy w stanie dosyć sprawnie przypisać zbudowane wcześniej zasady polityki. Przyglądając się Enterasysowi, można odnieść wrażenie, że producent ten ucieka od łączenia uprawnień z VLAN-ami, które jest dość powszechną praktyką w odniesieniu do NAC. Oderwane od VLAN-ów podejście zbliża sposób konfiguracji Enterasys NAC do nowoczesnej zapory, choć operującej już w warstwie drugiej.

Za kolejną barierę uważa się konieczność wymiany sprzętu sieciowego, zwłaszcza przełączników. A jak wygląda to w przypadku Enterasys? Jak się okazuje, producent podszedł dosyć elastycznie do tego zagadnienia. Przewiduje tu dwa scenariusze. W tym idealnym, wszystkie urządzenia wspierają 802.1x (standard, który - co ciekawe - został stworzony wspólnym wysiłkiem Microsoftu i … Enterasys), RFC 3580 (dynamiczne VLAN-y) i uwierzytelnianie urządzeń bez suplikanta 802.1x na podstawie adresów MAC. Na szczęście nie muszą pochodzić od tego samego producenta. W takiej sytuacji zostaje tylko postawienie centrum zarządzania NAC (NAC Gateway) gdzieś z boku i sprzęgniecie z urządzeniami. Niestety, rzeczywistość jest trochę mniej różowa. Gros organizacji ma starsze urządzenia sieciowe, które nie obsługują wspomnianych standardów. W skrajnej sytuacji możemy znaleźć nawet kilka hubów. W takim przypadku musimy skorzystać z rozwiązania typu in-line (NAC Appliance), które łączy funkcję przełącznika, proxy RADIUS i punktu weryfikacji. Badane są tutaj przede wszystkim parametry sesji. Do jednego portu takiego NAC Appliance możemy podłączyć standardowo 126 urządzeń, a po wykupieniu odpowiedniej licencji - nawet do 1000.