Защитава ли LAN комутаторът вашата мрежа?

Защитава ли LAN комутаторът вашата мрежа? Нарича се NAC (Network Admission Control при Cisco), или NAC (контрол на мрежовия достъп), или дори NAP (Защита на мрежовия достъп при Microsoft). Към която и категория да я причислите, това е схема за изхвърляне на нежеланите потребители на ниво порт в LAN комутатора и една от най-често обсъжданите нови технологии. Почти всички Ethernet производители предлагат някакъв вид NAC технология, дори фокусирани в ниския клас като D-Link, SMC и Linksys. Усъвършенстваната интеграция като Cisco NAC или Nortel Secure Network Architecture дава възможност на LAN комутаторите да комуникират със стоящо зад тях защитно устройство, което филтрира опасните или нежелани потребители и блокира нежеланата мрежова активност — поне на теория. Почти всеки LAN доставчик предлага базова мрежова защита като 802.1X, списъци за контрол на достъпа и филтриране по MAC адреси. Така че каква защита може да предложи комутаторът на цялата мрежа е въпрос, обвързан с необходимия вид и степен на сигурност и какъв вид допълнително устройство се иска, за да се подобри тя, обясняват експерти. “Точно каква сигурност може да предложи NAC? Не знам, може би около 3 кг”, шегува се Джоел Снайдер, старши партньор в Opus One и член на Network World Lab Alliance. Извън шегата Джоел е тествал повечето предлагани на пазара NAC продукти и твърди, че има 4 пункта в “защитния спектър” или, с други думи, нива на защита, които могат да се организират с NAC. Първото се нарича “go/no-go”. Това е наистина базова автентификация с парола, която може да предложи комутаторът. “Това е все едно да се опитвате да получите достъп до безжична мрежа, но не знаете WEP ключа”, казва Снайдер. Повечето корпоративни комутатори поддържат протокола 802.1X, който, ако е внедрен заедно с опорен RADIUS сървър, може да осигури тази базова NAC защита. Второто ниво Снайдер нарича виртуално LAN “шунтиране,” при който потребителите се поставят в различни виртуални локални мрежи (VLAN), базирани на NAC структурата. Един кампус може да бъде разделен на няколко VLAN сегмента, всеки от които е проектиран за различен отдел или за служебни йерархични нива с определени привилегии за достъп. На базата на “акредитацията”, представена по време на автентифицираща 802.1X фаза, потребителите могат да бъдат преместени (или “шунтирани”) към техния истински мрежов сегмент. Това включва повече интелигентност от страна на опорните сървъри или приложения, които са способни да разпознаят акредитациите, да свържат самоличността на потребителя с неговите права за достъп и да изпратят команди до LAN комутаторите да настроят по съответния начин VLAN параметрите на порта. “Тази техника не предоставя голяма доза раздробяване на различни групи - казва Снайдер. – Повечето комутатори, предлагани на пазара обаче, предлагат поддръжка на VLAN и стандарта RFC 3580, който е метод да се “каже” на комутатора кои потребители на кой VLAN трябва да работят. Това обаче трябва да бъде ръководено от външен софтуер, така че комутаторът сам по себе си не е NAC решение”, допълва Снайдер. Следващите 2 нива са обикновено пакетно филтриране и най-високото – цялостен firewall, или проверка на всеки пакет. При първия метод “някои комутатори могат повече неща от това да ви насочат към даден VLAN”, казва Снайдер. Според него те могат да ограничат къде отива всеки потребител. Това е познато като списъци за контрол на достъпа (ACL) на базата на порт, като ACL се прилага спрямо специфичен порт или потребител, а не към целия комутатор или VLAN. Тази функция може да бъде открита във високия клас LAN комутатори на Cisco, Enterasys, HP и Nortel, казва Снайдер. Четвъртото ниво е арена, на която се борят и някои нишови NAC играчи. “Това е по-скоро специализиран продукт. Не е обичайно да откриете LAN комутатор за работни групи, който може да прави филтриране състоянието на пакетите”, казва Снайдер. Компаниите, които предлагат функцията “firewall-to-the-LAN-port”, включват стартиращи компании като ConSentry и Nevis, като и двете имат продукти, които се поставят зад слоя за LAN достъп и предлагат защитна стена. “Мисленето на проектанта на комутатори се различава от това на инженера на firewall системи”, казва Снайдер. Инженерите, проектиращи комутатори, мислят от гледна точка максимална пропускателна способност и достъпност, докато създателите на защитни стени се стремят да държат всички отвън. Този конфликт на философии прави базираните на комутатори NAC продукти сложни за проектиране, което до известна степен забавя развоя и внедряването на подобни решения. Network World

Последни новини

• Стартира проектът „ТОП ИКТ Работодател“
• В 29 общини и 24 малки селища ще се изгражда инфраструктура за ШЛ интернет по проект на ЕСМИС
• Двуобхватен маршрутизатор от новата серия amplifi обяви D-Link
• D-Link вдига HD оборотите с нов двулентов високопроизводителен рутер DIR-857
• Мултимедийните системи Aastra 400 обслужват комуникациите на СМБ

Активни теми във форума

• » Само за родители и кандидат-родители
• » Питай Малинка - сайт за въпроси и отговори
• » Супер Боб
• » въпрос:Как да изградя мрежа
• » Закони за успех във високите доходи.