NAC kontra NAP

Wszystko zaczęło się w sierpniu 2003 r., kiedy to pojawił się robak Blaster. Epidemia ta, osiągająca wymiary katastrofy, udowodniła wszystkim, że wyłącznie bramowa ochrona granic jest nieskuteczną strategią obronną.

Wszystko zaczęło się w sierpniu 2003 r., kiedy to pojawił się robak Blaster. Epidemia ta, osiągająca wymiary katastrofy, udowodniła wszystkim, że wyłącznie bramowa ochrona granic jest nieskuteczną strategią obronną.

Od tego czasu dostawcy przygotowali schematy umacniające wnętrze sieci, poczynając od szerokiego rozpowszechniania osobistych zapór ogniowych. W najbardziej interesującej bitwie, mającej rozstrzygnąć, jak powinna przebiegać obrona punktów końcowych sieci, naprzeciwko siebie stanęły NAC (Network Admission Control) firmy Cisco i microsoftowy NAP (Network Access Protection).

Zarówno NAC, jak i NAP należą do kategorii Network Access Management, czy inaczej kwarantanny węzłów końcowych sieci. Ma ona zapewniać właściwe skonfigurowanie komputerowych węzłów sieci - wyposażonych w zaporę ogniową, oprogramowanie antywirusowe, aktualne łatki itp. - przed uzyskaniem dostępu do sieci przez te węzły. W przeciwnym razie są one poddawane kwarantannie.

Na razie Cisco górą...

W tej konkurencji przewodzi dzisiaj Cisco, ze swoją platformą NAC. NAC potrzebuje do działania wyposażenia sieciowego Cisco. Wszystkie zgodne z NAC rozwiązania dla punktów końcowych i aplikacje serwerowe - takie jak , zapory ogniowe itp. muszą komunikować się z bezpłatnie dostępnym, często zagnieżdżonym oprogramowaniem klienckim Cisco Trust Agent w celu określenia zgodności z wymaganiami polityki bezpieczeństwa. NAC wymaga także zgodnego z NAC wyposażenia punktów dostępowych Cisco oraz firmowego Cisco Secure Access Control Server.

NAP Microsoftu jest na razie we wczesnej fazie rozwoju. Serwer NAP ma być komponentem jądra przyszłej serwerowej wersji Windows, ale koszt i sposób licencjonowania nie zostały jeszcze sprecyzowane. NAP wymaga serwera NAP, klienta NAP (XP Service Pack 2, Vista lub Server 2003), serwera kwarantanny (Microsoft Internet Authentication Services) i jednego (lub więcej) serwera polityki bezpieczeństwa. Chociaż NAP nie jest jeszcze dostępny poza testami beta, wielu dostawców już zadeklarowało zapewnienie jego obsługi.

Niskie koszty NAP

Ryzyko związane z wybraniem jednej z tych platform nie jest wielkie. NAC jest potencjalnie bardziej bezpiecznym rozwiązaniem, ponieważ punkty końcowe mogą być zabezpieczane w warstwach sieciowych od 1 do 3, ale za to wymaga urządzeń sieciowych Cisco (firma może ostatecznie dopuścić urządzenia sieciowe innych dostawców włączających się do serii NAC). Teoretycznie Cisco może też łatwo rozszerzyć NAC poza produkty Microsoftu, ale dzisiaj obsługiwane są jedynie klienty Windows.

NAP może być wprowadzony przy minimalnych kosztach. Windows XP Service Pack 2, z pewnym uaktualnieniem, może być klientem NAP. Podobnie do aktualnej oferty Network Quarantine Access Control rozwiązanie NAP może być oferowane jako bezpłatny komponent serwerowy. Może też pojawić się w ramach regularnego uaktualniania serwerów Windows - również bez dodatkowych kosztów. Nie wymaga przy tym specjalnego oprzyrządowania, ale jednocześnie ten brak zależności oznacza trochę większe prawdopodobieństwo przenikania złośliwych kodów transportowanych w sieci pod nadzorem NAP niż w sieciach kontrolowanych przez rozwiązania Cisco.

Dziś wybór, konsekwencje jutro

Oba schematy są jeszcze w fazie rozwojowej. Wielu dostawców wspiera obie platformy, ale większość administratorów sieci będzie zmuszona do wybierania jednej z nich w celu ułatwienia spraw związanych z centralnym zarządzaniem. Co prawda Cisco i Microsoft obiecały współdziałanie obu rozwiązań i nawet wzajemne licencjonowanie API, ale szczegóły nie są dostępne.

Pojawiła się też trzecia opcja: inicjatywa TNC (Trusted Network Connect) Trusted Computing Group. Architektura TNC funkcjonuje teoretycznie w ten sam sposób jak dwa konkurujące rozwiązania, ale bez wymagań korzystania z wyposażenia firmowego. Microsoft i Cisco zapowiedziały poparcie dla tej inicjatywy, ale rodzi się pytanie: dlaczego te dwa giganty rynkowe miałyby trwonić energię na inicjatywę, która narusza ich interesy?

Nawet jeżeli niewiele firm myśli dzisiaj o rozwiązaniach zarządzania dostępem do sieci, dzisiejsze inwestycje mogą ograniczyć wybór do jednego z tych schematów w przyszłości.


TOP 200