Cisco: rozbudowane egzekwowanie inline

W skład rozwiązania Cisco NAC Appliance wchodzą dwa komponenty: NAC Manager (ustanawianie zasad polityki) i NAC Server (egzekwowanie reguł polityki).

NAC Appliance może być wdrożone jako czyste rozwiązanie inline (wpięte bezpośrednio do sieci) lub jako NAC egzekwujące dostęp na obrzeżu sieci. NAC Server może działać jednie w jednym z tych dwóch trybów. W trybie inline filtruje ruch użytkownika, stosuje polityki kontroli dostępu i kontroluje stan bezpieczeństwa punktu końcowego. Tryb ten jest polecany przez dostawcę dla sieci bezprzewodowych i środowisk VPN.

W trybie "egzekwowania brzegowego", używa SNMP do zarządzania VLAN na przełącznikach Cisco. Przed sprawdzeniem stanu bezpieczeństwa urządzenia i wykonania uwierzytelnienia, NAC Server może przejść w tryb inline i wystawić portal przechwytujący do uwierzytelnienia i załadowania na klienta Windows czy Mac OS X modułu kontroli stanu bezpieczeństwa punktu końcowego (Clean Access Agent).

Po uwierzytelnieniu i skontrolowaniu stanu bezpieczeństwa, NAC Server wysyła komendę SNMP do przełącznika brzegowego w celu wymuszania kontroli dostępu i przemieszczenia użytkownika do odpowiedniej sieci VLAN (naprawczej, dla gości, produkcyjnej).

NAC Server zapewnia także opcję uwierzytelniania i kontroli stanu bezpieczeństwa, wykorzystującą informacje uwierzytelniające przechwytywane z ruchu sieciowego i używającą stałego agenta bezpieczeństwa punktu końcowego.

NAC Appliance skupia się przede wszystkim na uwierzytelnianiu i kontroli stanu bezpieczeństwa punktu końcowego (narzędzia do definiowania kontroli dostępu do sieci, zwłaszcza do wymuszania kontroli na obrzeżu, są bardzo ograniczone). Niektóre mechanizmy NAC - m.in. bezpośrednie wsparcie uwierzytelniania opartego na MAC dla urządzeń VoIP i drukarek - nie są wbudowane w NAC Appliance. Dostawca zakłada wykorzystywanie tych mechanizmów wbudowanych w jego przełączniki.

Enterasys: rozwiązanie warte uwagi

Rozwiązanie Enterasys jest kombinacją sprzętu i oprogramowania, zapewniającą usługi NAC zarówno w sieciach Enterasys, jak i innych. Enterasys NAC Manager jest używany do sterowania NAC Appliance, które występuje w dwóch typach: NAC Controller - urządzenie do egzekwowania inline, oraz NAC Gateway - serwer RADIUS z zestawem mechanizmów specyficznych dla NAC.

Enterasys NAC testowano w trybie "egzekwowania brzegowego", używając pojedynczego NAC Managera i pojedynczej NAC Gateway do sterowania przełącznikami Cisco, HP i Juniper. Firma dostarczyła także swój switch, który włączono do sieci. W testach skupiono się na typie wdrożenia NAC opartym na 802.1X. Rozwiązanie okazało się łatwe we wdrożeniu i sprawnie działało w heterogenicznej sieci testowej.

Aby wymusić na nieuwierzytelnionych użytkownikach wejścia na portal przechwytujący, rozwiązanie wykorzystuje etykietowanie pakietów DiffServ i routing oparty na polityce, co jest sprytnym sposobem uniknięcia problemów związanych ze zmianą VLAN użytkownika w locie.

Enterasys NAC pracuje najlepiej z własnym przełącznikiem, który ma wbudowany dość wymyślny mechanizm ACL, ale dla wszystkich innych przełączników w sieci testowej można było łatwo wykorzystywać zarówno ACL, jak i VLAN.

Rozwiązanie ma także prosty mechanizm kontroli stanu bezpieczeństwa punktu końcowego. Obsługiwany jest skaner sieciowy Saint Corporation oraz skaner urządzeń stosujących agenta Enterasys.

Enterasys NAC bardzo dobrze sprawdza się w sieciach niewyposażonych w sprzęt Enterasys. Ponieważ w jednym produkcie jest zarówno technologia inline, jak i wymuszanie brzegowe, "doskonale nadaje się do wdrożeń NAC opartych na 802.1X.