Корпоративные клиенты с нетерпением ждут появления в коммутаторах Cisco поддержки технологии сетевой безопасности NAC.
Компания Cisco Systems объявила о разработке технологии защиты Network Admission Control (NAC) для маршрутизаторов и изложила план добавления функций NAC к коммутаторам локальных сетей. Это, а также намерение Cisco предложить технологию NAC на утверждение в комитеты по стандартизации, может привести к появлению самозащищающихся сетей с автоматическими настройками опций безопасности на каждом настольном компьютере. Таким образом, как утверждают в Cisco, удастся предотвращать распространение вредоносного трафика с зараженных ПК.
Самая критическая фаза развития NAC — обеспечение поддержки этой технологии коммутаторами ЛВС. Планы стандартизировать данную технологию в 2005 году дают некоторым обозревателям повод утверждать, что предложение Cisco не отвечает сегодняшним нуждам корпоративных пользователей: им основанные на стандартах средства защиты LAN и WAN потребуются значительно раньше.
Анонсированная в прошлом ноябре технология контроля за доступом NAC должна превратить каждую единицу оборудования Cisco в точку обеспечения безопасности. Клиентские машины при этом смогут автоматически настраиваться в соответствии с критериями установленных политик доступа к порту маршрутизатора или коммутатора. Чтобы заставить антивирусное ПО работать совместно с устанавливаемым на ПК программным агентом Cisco (Trust Agent), сетевой производитель договорился о партнерстве с разработчиками антивирусных программ Trend Micro, Symantec и Network Associates.
В ноябре 2003 года утверждалось, что Cisco обеспечит поддержку NAC на маршрутизаторах к середине нынешнего года, но сроки внедрения этой технологии на оборудовании других типов оставались неопределенными. Теперь Cisco заявляет, что вся линейка коммутаторов Catalyst и продукты серии VPN 3000 будут поддерживать NAC к I кварталу следующего года.
Использование технологии NAC тестируется компанией United Parcel Service (UPS) в качестве потенциальной меры защиты. Эд Готфилд, директор по сетевой архитектуре UPS, полагает, что создание NAC является «шагом в правильном направлении», но хотел бы видеть более широкий отраслевой подход производителя к безопасности LAN/WAN. Кстати, UPS использует инсталлированную базу маршрутизаторов и коммутаторов Cisco наряду с сетевым оборудованием других производителей.
Частью второго этапа в распространении NAC станет обращение в IETF с целью признания NAC в качестве индустриального стандарта. Вдобавок Cisco планирует открыть программные интерфейсы (API) для Trust Agent любой фирме, которая заинтересована в написании ПО, работающего с NAC на клиентской или серверной стороне. Это позволит независимым вендорам программных и аппаратных решений создавать продукты, прозрачно работающие в инфраструктуре NAC.
Другое свойство NAC, которое должно быть реализовано в следующем году, представляет собой механизм аудита клиентов для аутентификации принтеров, IP-телефонов, камер и других устройств, подключаемых к сети. Сейчас возможности контроля за сетевым доступом Cisco распространяются только на клиентов, работающих под управлением Windows 2000, NT и XP. К IV кварталу этого года планируется реализовать поддержку машин с ОС Linux и Solaris.
К сожалению, на втором этапе развития NAC отсутствуют какие-либо планы вендора, связанные с поддержкой беспроводной связи. Рассел Райс обещает, что поддержка оборудованием Aironet NAC на уровне 2 будет обеспечена на более позднем этапе — в следующем году. А сейчас пользователи могут конфигурировать защиту по технологии NAC на уровне 3 путем установки соответствующих маршрутизаторов за точками доступа Aironet для реализации политик антивирусной защиты и безопасности.
Механизм NAC основан на проверке агентами Trust Agent (предоставляемыми вендором бесплатно) состояния антивирусных программ в клиентских машинах в тот момент, когда ПК или портативный компьютер пытается осуществить доступ к корпоративной сети. Процесс аутентификации устройств начинается с запроса по протоколу EAP поверх транспортного протокола UDP. На маршрутизаторах изначально размещены списки контроля за доступом (ACL) для блокирования всех типов трафика, кроме EAP поверх UDP. Маршрутизатор пересылает запрос на соединение на внутренний сервер Access Control Server от Cisco, который проверяет параметры настроек конечного пользователя и передает ему данные для настройки сетевых политик. Лишь после их активации клиент может подключиться к сети через данный маршрутизатор. В зависимости от конфигурации устройств доступ клиентам может быть разрешен, блокирован или поставлен на карантин (в последнем случае они получат ограниченные возможности доступа к ресурсам сети).
Данная схема аутентификации клиентов на базе EAP/UDP будет выдвинута как предложение в комитет по стандартизации IETF. Cisco планирует модернизировать эту схему аутентификации с помощью EAP для использования поверх сети 802.1x, как только добавит поддержку NAC в коммутаторы уровня 2.
Многие эксперты считают, что планы Cisco относительно продвижения NAC станут хорошим подспорьем для достижения безопасности в инфраструктуре на базе оборудования этой компании. Но предложенные сейчас возможности не уникальны, а сроки внедрения новых функций могут оказаться слишком большими для ряда клиентов, подвергающихся опасности вторжения едва ли не ежедневно.
Что касается намерения включить в инфраструктуру NAC коммутаторы ЛВС, то по мнению аналитика из Yankee Group Зевса Керравала, это не сильно отличается от предложений компании Enterasys. «Единственное, к чему идет Cisco, так это к увеличению своей и без того львиной доли рынка коммутаторов для предприятий», — заключает он.