My jsme otestovali 12 řešení NAC od různých výrobců. Tady jsou naše poznatky.
Úplně nejdříve se musíte rozhodnout, zda vůbec chcete řízení přístupu vynucovat. Existují dva důvody, proč to možná chtít nebudete.
První -- skutečné vynucení nemusí být cílem. Pokud například chcete znát úroveň dodržení zásad zabezpečení klientů, může vám NAC pomoci stav zjistit a ohlásit, i když nebudete nikoho chtít odpojit od sítě za nedodržení.
Možná si myslíte, že máte shodu již zajištěnu, protože bezpečnostní klientské produkty běží na desktopech a noteboocích a vše potřebné zajišťují (teoreticky) při komunikaci s centrální konzolou správy.
Protože však NAC kontroluje shodu s dodržováním u každého, kdo se chce připojit do sítě, najdete ve skutečnosti při použití řešení NAC i systémy, o jejichž existenci podnikové konzoly vůbec netuší.
Druhým důvodem pro nevynucování NAC je to, že váš plán může zahrnovat úvodní fázi pouhého zjišťování, před samotným přechodem k vynucování. Všechny produkty, které jsme testovali, vám umožní provoz v režimu pouhého zjišťování.
V testovaných produktech není vynucování k dispozici prostřednictvím nějakého velkého červeného přepínače. Namísto toho je obvykle k dispozici volba nezasílat pokyny tohoto typu do sítě a možná ji budete muset trochu hledat.
V závislosti na typu použité implementace NAC může být i podoba nevynucování pro síťový provoz rušivá. Pokud například plánujete používat pro ověřování a prosazení pravidel protokol 802.1X, musíte pro něj vše dobře nastavit, jinak se možná lidé nebudou schopni do sítě dostat.
Pokud máte z dopadu na provoz v síti velké obavy, možná vás zaujmou produkty Bradford Network Sentry, ForeScout CounterACT a Trustwave NAC, které mají všechny v režimu „jen sledovat“ na síť velmi malý vliv.
Scénáře vynucování
Řekněme, že se rozhodnete řízení přístupu vynucovat. Existují čtyři způsoby, jak to lze provést: hraniční režim, dále metoda hluboko v přenosové cestě (deep in-line), vynucování protokolem a konečně hybridní podoba.
Hraniční vynucování je typem prosazení pravidel v přenosové cestě a využívá zařízení na hranici sítě. V případě přepínaného přístupu je onou hranicí port switche. Hraniční prosazování lze také použít u bezdrátových kontrolérů a VPN koncentrátorů, které vynucují přístup v místě připojení do sítě.
Mnoho dodavatelů řešení NAC toto prosazování pravidel nazývá jako „out of band“, protože jejich hardware nevynucuje řízení přístupu -- to provádí hraniční hardware. Je to ale stále z velké části prosazování typu „in band“.
Většina testovaných produktů podporuje hraniční vynucení jako alternativu, výjimkami jsou Trustwave a McAfee.
Pokud přesunete prosazování pravidel hlouběji do sítě, jedná se o tzv. vynucení „deep in-line“. Někdy je prováděno na druhé úrovni (vrstva Ethernetu) zařízením, které vypadá jako transparentní síťový most, jindy na třetí vrstvě (IP) zařízením, které je spíše podobné směrovači nebo firewallu.
Společnosti Alcatel-Lucent, Avenda, Cisco, Enterasys, Juniper, McAfee a Symantec nabízejí za účelem vynucení řízení přístupu zařízení in-line, která jsou umístěna mezi uživatele a některou z částí sítě. Každý z těchto produktů nabízí vynucení „deep in-line“ jako volitelnou alternativu, nikoli jako podmínku.
Hybridní vynucování kombinuje hraniční a deep in-line režim. Hlavní myšlenkou je, že zařízení NAC začíná s uživatelskými přenosy in-line a potom v určitém místě změní trasu pomocí rekonfigurace sítě na využití hraničního prosazování pravidel. Nejlepším příkladem toho je McAfee N-450 NAC Appliance.
Protože se jedná o hybridní model, nepracují všechny produkty NAC stejným způsobem jako McAfee N-450 NAC Appliance. Některé produkty NAC si tento režim rezervují pro uživatele, kteří provádějí ověřování přes webové prohlížeče, což je dotěrnější způsob řízení přístupu, ale je to běžný model pro uživatele-hosty.
Mnoho produktů také nabízí více typů hybridního provozu v závislosti na tom, zda mají zařízení na vrstvě 2 nebo 3. Pokud si vybíráte mezi hybridním nebo „deep in-line“ provozem, zajistěte si nákup dostatečného počtu zařízení. Některé produkty jako Cisco NAC Appliance nebo Symantec NAC Enforcer 6100 dokáží pracovat v jednom z režimů, ale ne v obou současně, takže chcete-li používat při nasazení NAC obě metody, může být nutné koupit další hardware.
Na protokolu založené vynucování je alternativou u produktů Alcatel-Lucent SafeNAC, ForeScout CounterACT, Microsoft NAP a Trustwave NAC. V tomto modelu závisí skutečné vynucování na zařízeních pracujících podle pravidel protokolu, protože ve skutečnosti neprobíhá žádné skutečné vynucování.
Dobrým příkladem je vynucování založené na protokolu DHCP, které je alternativou u produktů Alcatel-Lucent SafeNAC a Microsoft NAP. U takového vynucování je koncovému zařízení přidělena IP adresa, která nějakým způsobem omezuje možnosti připojení, například manipulací s maskou podsítě nebo pomocí výchozí brány.
K prosazování pravidel řízení přístupu NAC dochází tím, jak zařízení dodržuje nastavení a poslouchá pokyny přes DHCP. Pokud začne koncové zařízení podvádět, například nevyužívat DHCP na prvním místě, potom není systém NAC schopen vynutit řízení přístupu.
Na protokolu založené prosazování pravidel je nejvhodnější v prostředích, kde není potřebné blokovat záškodnické uživatele. Pokud máte například v budově dobré fyzické zabezpečení, může být hlavním úkolem systému NAC dodržování zabezpečení klientů, a nikoliv ověřování.
Společnosti ForeScout a Trustwave důrazně doporučují používání na protokolu založeného vynucování jakou součást implementace. Obě využívají důmyslnější mechanismy než pouhé využití DHCP. Trustwave NAC například „kontaminuje“ paměti cache ARP za účelem přesměrování přenosů do appliance Trustwave NAC, která poté funguje in-line během úvodního ověřování a bezpečnostních kontrol klientů.
Několik produktů NAC také podporuje tzv. řízení přístupu založené na hostiteli. Tuto funkci jsme netestovali, protože to vypadá jako jiná kategorie produktů, ale je alternativně k dispozici v produktech Alcatel-Lucent SafeNAC, Juniper UAC, Microsoft NAP a McAfee ePolicy Orchestrator NAC. V hostitelsky založeném NAC je vynucování přesunuto do klientských zařízení.
Hledáte-li produkty s největší flexibilitou, jsou nejlepšími v seznamu Alcatel-Lucent Safe NAC, Avenda NAC, Cisco NAC Appliance, Enterasys NAC, Juniper NAC a Symantec NAC, protože umožňují zvolit řešení in-line nebo hraniční.
Když jen sledujete uživatele na přepínačích, nevypadá tato flexibilita nijak významně, ale naše zkušenosti s reálnými sítěmi a jejich mnoha skrytými přepínači (jako třeba ten na vašem stole, který není ani řízený ani oficiální) a doplněnými o bezdrátové sítě či VPN pro pobočkové kanceláře a vzdálené uživatele, nás naučily, že tato flexibilita je velmi důležitá.
Příště se podíváme na možnowsti komunikace nástrojů NAC a na využití protokolu protokol 802.1X jednotlivými nástroji.