NAC: a standardu wciąż brak

Mówiliśmy, że rozwiązania NAC przestają dotyczyć tylko i wyłącznie prostych metod weryfikacji urządzenia przed udzieleniem dostępu do sieci. Widać to wyraźnie w podejściu Enterasysa zarówno do fazy pre-, jak i post-connect. Na przykład w pre-connect możliwe jest przeskanowanie pod kątem podatności systemów, na których nie ma możliwości instalacji agenta. Standardowo takie sprawdzenie trwa ok. minuty, i na jego podstawie jesteśmy w stanie przypisać odpowiednią politykę bezpieczeństwa. Interesującą funkcją jest możliwość "poproszenia" administratora o podjęcie decyzji, jeżeli w sieci pojawi się zupełnie nieznane urządzenie, np. access point podłączony przez pracownika. Można to przeprowadzić w bardzo wygodny sposób, np. przez wymianę SMS-ów między Enterasysem a administratorem.

NAC: a standardu wciąż brak

Z kolei w fazie post-connect możliwa jest np. ścisła integracja z firmowym IPS-em (Dragon) lub IPS-em firmy trzeciej, a także monitorowanie całości komunikacji (m.in. flow analysis) już po dopuszczeniu stacji/urządzenia do sieci. Jeżeli zostanie wychwycone podejrzane zachowanie, system może ruch zablokować lub poinformować administratora. Co ciekawe, blokada może obejmować określony typ komunikacji, a niekoniecznie całość ruchu. Czasami przyjęta przez Enterasys "wykładnia rozszerzająca" TNC NAC w fazie post-connect odchodzi od bezpieczeństwa, wkraczając na pole dostępności. Mowa tutaj np. o możliwości przydzielania i regulowania pasma VoIP w zależności od okoliczności inicjowania połączenia.

Pozostaje też wspomniany problem kompatybilności z innymi rozwiązaniami. Jak mówiliśmy, NAC obejmuje coraz to nowsze obszary. Pod tym względem Enterasys prezentuje dość rzadkie obecnie podejście. Po pierwsze, jeśli mamy żyłkę programisty, możemy samodzielnie "podpiąć" pod NAC-a nowy system czy aplikację - rozwiązanie ma architekturę otwartą. A jeśli nie - to i tak do każdego wdrożenia przypisany jest inżynier producenta, który jest w stanie dopisać takie wsparcie. Jak zapewnia Enterasys, jeżeli coś potrafi wysyłać komunikaty (preferowanym medium komunikacji jest SNMP - także w wersji 3), to może być uznane za kompatybilne z Enterasys NAC.

Pytania do eksperta...Enterasys

Jak więc widać, w koncepcji NAC sporo się dzieje. Niedługo może dojść do sytuacji, w której wszystko, co w mniejszym lub większym stopniu związane jest z bezpieczeństwem, będzie elementem NAC. Są to z pewnością dobre wieści dla specjalistów ds. bezpieczeństwa, bo przynajmniej przez kilkanaście najbliższych miesięcy nie będą narzekać na nudę. Nie należy się bowiem spodziewać znaczącej stabilizacji tego segmentu, a to - są na to duże szanse - przełoży się na jeszcze bardziej efektywne rozwiązania.


TOP 200