antes y después de la admisióneditar
hay dos diseños predominantes en NAC, según si las políticas se aplican antes o después de que las estaciones finales obtengan acceso a la red. En el primer caso, llamado pre-admisión NAC, las estaciones finales son inspeccionadas antes de ser permitidas en la red. Un caso de uso típico de NAC pre-admisión sería evitar que los clientes con firmas antivirus desactualizadas hablen con servidores confidenciales., Alternativamente, después de la admisión NAC toma decisiones de aplicación basadas en las acciones del usuario, después de que a esos usuarios se les ha proporcionado acceso a la red
Agent versus agentlessEdit
la idea fundamental detrás de NAC es permitir que la red tome decisiones de control de acceso basadas en la inteligencia sobre los sistemas finales, por lo que la manera en que la red está informada sobre los sistemas finales es una decisión clave de diseño., Una diferencia clave entre los sistemas NAC es si requieren software de agente para informar las características del sistema final, o si utilizan técnicas de escaneo e inventario de red para discernir esas características de forma remota.
a medida que NAC ha madurado, los desarrolladores de software como Microsoft han adoptado el enfoque, proporcionando su agente de protección de acceso a la red (NAP) como parte de sus versiones de Windows 7, Vista y XP. También hay agentes compatibles con NAP para Linux y Mac OS X que proporcionan la misma inteligencia para estos sistemas operativos.,
fuera de banda versus inlineEdit
en algunos sistemas fuera de banda, los agentes se distribuyen en las estaciones finales e informan la información a una consola central, que a su vez puede controlar los conmutadores para hacer cumplir la política. Por el contrario, las soluciones en línea pueden ser soluciones de caja única que actúan como cortafuegos internos para redes de capa de acceso y hacen cumplir la política., Las soluciones fuera de banda tienen la ventaja de reutilizar la infraestructura existente; los productos en línea pueden ser más fáciles de implementar en nuevas redes y pueden proporcionar capacidades de aplicación de red más avanzadas, porque tienen el control directo de los paquetes individuales en el cable. Sin embargo, hay productos que no tienen agentes y tienen las ventajas inherentes de una implementación fuera de banda más fácil y menos riesgosa, pero utilizan técnicas para proporcionar efectividad en línea para dispositivos que no cumplen con los requisitos, donde se requiere la aplicación.,
remediación, cuarentena y puertos cautivoseditar
los operadores de red implementan productos NAC con la expectativa de que a algunos clientes legítimos se les niegue el acceso a la red (si los usuarios nunca tuvieron niveles de parches desactualizados, NAC sería innecesario). Debido a esto, las soluciones NAC requieren un mecanismo para remediar los problemas del usuario final que les deniegan el acceso.,
dos estrategias comunes para la corrección son las redes de cuarentena y los portales cautivos:
cuarentena una red de cuarentena es una red IP restringida que proporciona a los usuarios acceso enrutado solo a ciertos hosts y aplicaciones. La cuarentena a menudo se implementa en términos de asignación de VLAN; cuando un producto NAC determina que un usuario final está desactualizado, su puerto de conmutación se asigna a una VLAN que se enruta solo a servidores de parches y actualizaciones, no al resto de la red., Otras soluciones utilizan técnicas de administración de direcciones (como el Protocolo de resolución de direcciones (ARP) o el Protocolo de detección de vecinos (NDP)) para la cuarentena, evitando la sobrecarga de la administración de VLAN de cuarentena. Portales cautivos un portal cautivo intercepta el acceso HTTP a las páginas web, redirigiendo a los usuarios a una aplicación web que proporciona instrucciones y herramientas para actualizar su computadora. Hasta que su computadora pase la inspección automatizada, no se permite el uso de la red además del portal cautivo. Esto es similar a la forma en que funciona el acceso inalámbrico de pago en los puntos de acceso público., Los portales cautivos externos permiten a las organizaciones descargar controladores y conmutadores inalámbricos de los portales web de alojamiento. Un único portal externo alojado en un dispositivo NAC para la autenticación inalámbrica y cableada elimina la necesidad de crear varios portales y consolida los procesos de administración de políticas.