Test: NAC, vícerozměrná skládačka, kterou musíte nejdříve pochopit (3)

16. 10. 2011

Sdílet

U produktů NAC musíte sledovat tři rozměry: kde je řízení přístupu vynucováno, jak je řízení přístupu sdělováno a rozlišení řízení přístupu.

Čtěte také:

Test: NAC, vícerozměrná skládačka, kterou musíte nejdříve pochopit (1)

Test: NAC, vícerozměrná skládačka, kterou musíte nejdříve pochopit (2)

 

Poslední součást řízení přístupu NAC může být pro vás nejdůležitější, nebo také zcela bezvýznamná. Vše závisí na důvodu, proč nasazujete NAC a jaké jsou vaše zásady řízení přístupu. U projektů NAC zaměřených na zabezpečení klientů se může zjistit, že je vyžadováno jen nejjednodušší řešení. Pokud je projekt NAC více zaměřen na diferenciaci uživatelů, můžete vyžadovat mnohem větší podrobnost řízení přístupu.

Testované produkty NAC patřily do všech částí spektra -- od téměř žádného řízení, jako u produktu Trustwave NAC, až po detailní řízení přístupu pomocí firewallu, jako u produktu Juniper UAC.

Z důvodů škálovatelnosti se většina dodavatelů NAC pokouší přenést úlohu řízení přístupu na stávající infrastrukturu. Pokud je síť rozdělena na různé oblasti zabezpečení s využitím virtuálních sítí LAN a poté jsou použity firewally k zajištění řízení přístupu mezi sítěmi VLAN, preferovali by dodavatelé NAC prostý přesun uživatelů z jedné VLAN do druhé a využití existujícího plánu zabezpečení.

S hraničním vynucováním jste omezeni na ten typ řízení přístupu, který je k dispozici v příslušných zařízeních. Dva dodavatelé řešení NAC (Consentry a Nevis) ztroskotali při pokusu vestavět důmyslné řízení přístupu do hraničních přepínačů, takže ponechali správcům sítí jen dvě možnosti: umístit uživatele do různých sítí VLAN, nebo využít základní bezstavové seznamy řízení přístupu (ACL) v přepínači.

Většina produktů NAC toho ve skutečnosti v oblasti řízení přístupu moc neumí. Používají nesrozumitelné informace jako VLAN ID nebo číslo seznamu ACL (access control list), které zasílají příslušným přepínačům. To je dobré rozlišení, ale je tomu nutno rozumět.

Polovina testovaných produktů NAC ve skutečnosti nechápe pravidla řízení přístupu, která se pokouší vynutit. Rozumí jen tomu, že příslušníci skupiny „Personál“ mají číslo seznamu ACL 117 a skupina „Vedoucí pracovníci“ má číslo seznamu ACL 555.

Konfigurace seznamů ACL, garance jejich smysluplnosti, zajištění jejich konzistence, distribuce do hraničních zařízení a jejich aktualizace při změnách jsou chápány jako problém kohosi jiného, ale ne dodavatele řešení NAC. Když jsme se blíže seznámili s produkty Avenda eTIPS, Bradford Network Sentry, ForeScout CounterACT a Microsoft NAP, zjistili jsme, že tento druh přístupu bez potřeby patřičné péče byl výchozím způsobem provozu a navíc se nejvíce hodí k nasazení v podnicích.

Cisco NAC Appliance, McAfee NAC a Symantec NAC také vyhovují této formě pro podniky, i když všechny tři mají navíc možnost provozu v režimu in-line, který poskytuje větší kontrolu nad řízením přístupu.

Alcatel-Lucent Safe NAC, Enterasys NAC a HP NAC postupují v řízení přístupu ještě o krok dále a umožňují správu a kontrolu informací pro řízení přístupu v rámci svých produktů NAC. Všimli jste si u těchto tří něčeho společného? Jsou to dodavatelé přepínačů.

Ve stejný okamžik nepoužíváte jen produkt NAC, ale také jejich nástroje správy pro přepínače. Proto mají více funkcí v oblasti řízení přístupu a proto jejich řízení přístupu NAC není jen hromadou nesrozumitelných dat, ale informacemi, které něco skutečně znamenají.

To samé platilo při testování produktu Juniper UAC. Společnost Juniper totiž prodává firewally a doporučuje používat oboje -- omezené funkce hraničních zařízení a také silnější řízení přístupu dostupné prostřednictvím jejich firewallů, aby tak vznikla komplexnější sada řízení přístupu.

Pokud pohlížíte na technologii NAC z hlediska silného zabezpečení, nabízí sloučení řízení přístupu s nasazením NAC za účelem získat detailní řízení nejlépe Juniper UAC, který je těsně následován produkty Alcatel-Lucent Safe NAC, Enterasys NAC a HP NAC.

 

Rozhodování o NAC

Výběr správného produktu pro řízení přístupu ve vašem projektu NAC se skutečně zjednodušuje na tři otázky, kterým jsme se výše věnovali: jak podrobné řízení přístupu potřebujete, kde chcete řízení přístupu vynucovat a jak budete zajišťovat komunikaci mezi zařízením pro prosazování pravidel a zásadami NAC.

Jsou-li vaše zásady NAC velmi jednoduché a zaměřené na zabezpečení klientů, bude vám stačit v podstatě jakékoliv řešení řízení přístupu. Seznamy ACL pro hraniční zařízení jsou dobrým začátkem, nebo pokud máte výjimečně jednoduchou síť a dostatečně shovívavé uživatele, může stačit přepínání VLAN.

bitcoin_skoleni

Všechny testované produkty budou mít pro řešení s využitím sítí VLAN dostatek funkcí, s výjimkou produktu Trustwave NAC, který primárně poskytuje řízení přístupu v situaci, kdy zařízení není ověřeno nebo nevyhovuje podmínkám, ale nedostačuje, když je zařízení v pořádku.

Budete-li chtít řešení NAC podobnější firewallu, které více rozlišuje mezi koncovými uživateli nebo má důmyslnější sadu řízení přístupu, budete buďto muset použít firewallové zařízení in-line, jako ta, která pracují s produkty Alcatel-Lucent Safe NAC, Enterasys NAC, Juniper UAC nebo McAfee N-450 NAC Appliance, nebo použít seznamy ACL ve svých hraničních přepínačích.