Существует несколько распространенных методов приведения NAC в исполнение. Метод с использованием агента предполагает функционирование на каждой системе программного пакета, выполняющего проверку этой системы и в случае несоблюдения требований безопасности ограничивающего ее доступ к сетевым ресурсам. Метод с использованием протокола динамической конфигурации DHCP предусматривает назначение системам, не удовлетворяющим требованиям политики безопасности, сетевой конфигурации, ограничивающей их способность взаимодействия с другими системами. Метод на основе простого протокола управления сетью SNMP использует сетевые коммутаторы с возможностью организации SNMP-управляемой виртуальной сети VLAN; при этом оконечные устройства, не соответствующие требованиям безопасности, переводятся в VLAN с ограниченным доступом. Наконец, метод на основе протокола 802.1x, предполагает использование коммутаторов с поддержкой стандарта 802.1x; клиент, активирующий порт коммутатора, всякий раз прикрепляется к VLAN с ограниченным доступом, до тех пор пока не будет опознан и проверен сервером NAC.
Методы контроля соблюдения политики безопасности
Все продукты, рассматриваемые в рамках данного сравнительного анализа, а именно EndForce Enterprise 2.6 от Sophos, Dynamic NAC for Windows 5.1 от InfoExpress, Policy Enforcer 2.0 от McAfee и Safe Access 5.0 от StillSecure, предусматривают защиту от угроз, исходящих от оконечных устройств, подключаемых к локальной сети. Все продукты являются программными пакетами, устанавливаемыми на собственных аппаратных средствах пользователя. Альтернативный вариант — аппаратные устройства NAC, тема, заслуживающая отдельного сравнительного анализа. Еще один класс продуктов, которые нередко ставят в один ряд с сетевыми шлюзами, предполагает выполнение проверки до соединения (pre-connect) и обеспечивает фильтрацию и проверку «благонадежности» трафика, инициируемого извне относительно локальной сети. Существуют и другие патентованные технологии — Cisco NAC и Microsoft Network Access Protection (NAP). Подробнее о Microsoft NAP рассказано во врезке «Присмотритесь к Microsoft NAP».
Система управления сетевым доступом — Network Access Control (NAC) — составляет один из слоев «пирога» обеспечения безопасности и целостности сети, приложений и данных. Назначение NAC состоит в обнаружении и проверке «благонадежности» каждого устройства в сети. При обнаружении устройства система проверяет его на соответствие правилам, установленным администратором, оценивая вероятность «добропорядочного поведения» этого устройства. Правила обычно требуют наличия на оконечных устройствах минимального программного обеспечения (например, антивирусного пакета).
Четыре продукта предлагают разные подходы
Защита сети при помощи программной NAC-технологии
Поиск: Весь сервер Новости Computerworld Мир ПК Открытые системы Windows IT Pro LAN Сети Директор ИС Следите за нами: Авторизоваться с помощью:
Защита сети при помощи программной NAC-технологии - 07, 2007 | Windows IT Pro | Издательство «Открытые системы»
Комментариев нет:
Отправить комментарий