Wielki przewodnik po produktach NAC cz. 2: Skomplikowana układanka

Juniper: rozwiązanie kompletne

Opisanie Juniper UAC nastręcza pewnych trudności, ponieważ strategia NAC tej firmy ma swoje "odnogi" praktycznie w każdym produkcie bezpieczeństwa, jaki firma opracowała - od zapór ogniowych, przez przełączniki, po SSL VPN.

Juniper UAC składa się z: Infranet Controller (urządzenia działającego jako proxy i serwer RADIUS), kontrolera stanu bezpieczeństwa punktu końcowego i menedżera polityki kontroli dostępu.

Infranet Controller obsługuje trzy różne modele uwierzytelniania: uwierzytelnianie na urządzeniu brzegowym, oparte na 802.1X lub MAC, portal przechwytujący dla uwierzytelniania gości lub pracowników oraz uwierzytelnianie wykorzystujące klienta UAC. Zaletą UAC jest możliwość mieszania i dopasowywania wszystkich trzech metod, aczkolwiek kosztem bardzo złożonego konfigurowania.

Uwierzytelnianie może być łączone z kontrolą bezpieczeństwa punktu końcowego, z użyciem klienta UAC lub klienta Microsoft NAP. UAC zbudowana jest na bazie istniejących rozwiązań bezpieczeństwa punktu końcowego SSL VPN firmy, tak więc obie zainstalowane aplikacje oraz klient przeglądarkowy są obsługiwane w ramach kontroli bezpieczeństwa punktu końcowego.

Kiedy użytkownik przejdzie pomyślnie proces uwierzytelniania i kontroli bezpieczeństwa, może być zastosowana kontrola dostępu. Juniper zapewnia przekazanie informacji związanej z kontrolą dostępu do przełączników brzegowych, ale UAC może jednocześnie przekazywać je do urządzeń inline - zapór ogniowych i wielu własnych platform routingu.

Kontrola bezpieczeństwa punktów końcowych nie kończy się w momencie uwierzytelnienia. Obsługiwane są zarówno ciągła kontrola bezpieczeństwa punktu końcowego, jak i zewnętrzne połączenia z systemami IDS/IPS.

UAC można używać w sieciach heterogenicznych z zarządzanymi i niezarządzanymi przełącznikami. Jest to solidny, chociaż złożony produkt, który jednak najlepiej działa wtedy, gdy do sieci dołączone są urządzenia egzekwujące Juniper.

McAfee: koncentracja na ochronie punktu końcowego

Strategia McAfee NAC opiera się na dwóch oddzielnych, ale ściśle zintegrowanych produktach. Pierwszy - ePolicy Orchestrator - to system zarządzania klientem bezpieczeństwa punktu końcowego, który może przekazywać rezultaty kontroli bezpieczeństwa punktu końcowego do drugiej części rozwiązania: N-450 NAC Appliance i Network Security Manager. Kiedy urządzenie, na którym pracuje klient McAfee, podłącza się do sieci, N-450 działa jako egzekutor polityki kontroli dostępu do sieci oraz polityki bezpieczeństwa punktu końcowego przypisanych do tego klienta.

NAC Appliance i Network Security Manager mogą wymuszać politykę NAC za pośrednictwem pełnego egzekwowania inline, egzekwowania opartego na DHCP lub obrzeżu sieci, opartego na VLAN (przedmiot testów).

W egzekwowaniu brzegowym, NAC Appliance pośredniczy między urządzeniem użytkownika końcowego a resztą sieci. Jeżeli na urządzeniu końcowym pracuje klient McAfee i jeśli jest ono zgodne z wymaganiami polityki bezpieczeństwa urządzenia końcowego, NAC Appliance zostaje pominięte. Można wybrać pominięcie NAC Appliance inline dla niektórych użytkowników i zastosować bardziej wymyślną kontrolę dostępu dla użytkowników końcowych, takich jak goście.

Wykorzystując VLAN jako podstawowy mechanizm wymuszania, McAfee NAC wyraźnie preferuje bezpieczeństwo punktów końcowych i zgodności z wymogami, kosztem precyzyjnej kontroli dostępu do sieci. Ponieważ rozwiązanie zależy w dużym stopniu od ePolicy Orchestrator, dotychczasowi użytkownicy zabezpieczeń punktów końcowych McAfee będą skłonni dodać McAfee NAC do swoich sieci jako naturalne i łatwe