Назвать внутритрактовое NAC-устройство межсетевым экраном — то же самое, что назвать Эйнштейна мыслителем, — в принципе правильно, но очень уж неполно. NAC-устройство — это, конечно, межсетевой экран, но с мощным «интеллектом». Например, такой продукт может действовать как система обнаружения вторжений, выявляя аномальное поведение узлов сети и выполняя другие функции мониторинга ее работы, нужные для обеспечения информационной безопасности. Для сравнения стоит отметить, что некоторые внетрактовые NAC-продукты не в состоянии обнаруживать атаки вообще, поскольку не контролируют работу сетевых устройств.
Для многих реализаций NAC-решений камнем преткновения является анализ состояния хостов. Обычно для этого надо на хостах устанавливать программы-агенты, которые обследуют их и сообщают о их состоянии. При использовании внутритрактовых NAC-устройств агенты могут оказаться ненужными. Поскольку описываемые устройства осуществляют мониторинг сетевого трафика, отслеживая соответствие аутентифицированных пользователей IP- и MAC-адресам хостов, то этого может оказаться достаточно для контроля доступа в организациях с хорошо отлаженной практикой управления настольными ПК. Вдобавок к этому внутритрактовые NAC-продукты могут использоваться для контроля состояния устройств (например, принтеров), на которых нельзя установить программы-агенты.
Конечно, чтобы все эти полезные потенциальные возможности претворились в жизнь, нужно правильно выбрать места установки внутритрактовых NAC-устройств. При условии обеспечения необходимой производительности и с точки зрения упрощения и удешевления архитектуры системы безопасности лучше использовать меньшее число внутритрактовых NAC-устройств, устанавливаемых ближе к ядру сети. Однако, чем дальше такое устройство находится от границы сети, тем большее число систем остаются открытыми для атак. Внутритрактовое устройство контролирует только проходящий через него трафик, а вредоносный внутрисегментный трафик оно блокировать не может. И еще. Для надежной защиты сети одного только контроля доступа к ней недостаточно.
После того как пользователь или компьютер получил доступ к вашей сети, для предупреждения атак необходимо продолжать следить за ним. Внутритрактовые системы делают это, выполняя функции сетевого аудита, обнаружения вторжений в сеть и/или аномального поведения ее узлов. Из того факта, что некий ПК успешно прошел тест на соответствие правилам системной политики безопасности отнюдь не следует, что его владелец не имеет злонамеренных целей (например, он может начать атаку, легально подключившись к веб-серверу системы ERP).
Внутритрактовые NAC-устройства способны обнаруживать атаки или оповещать об аномальном поведении узлов сети только при условии, что соответствующий трафик проходит через них. Если эти функции особенно важны для вашего предприятия, располагайте внутритрактовое NAC-устройство как можно ближе к пограничному коммутатору. Кроме того, в США в некоторых регулируемых отраслях сетевую активность требуется протоколировать и аудировать, а внутритрактовые NAC-системы могут предоставлять подробные протоколы для последующего анализа.
Типы компьютерных сетей
