pré-admission et post-admissionEdit
Il existe deux conceptions dominantes dans NAC, selon que les politiques sont appliquées avant ou après que les stations d’extrémité aient accès au réseau. Dans le premier cas, appelé CNA de pré-admission, les stations terminales sont inspectées avant d’être autorisées sur le réseau. Un cas d’utilisation typique du NAC de pré-admission serait d’empêcher les clients avec des signatures antivirus obsolètes de parler aux serveurs sensibles., Alternativement, NAC de post-admission prend des décisions d’application basées sur des actions d’utilisateur, après que ces utilisateurs ont été fournis avec l’accès au réseau
Agent versus agentlessEdit
L’idée fondamentale derrière NAC est de permettre au réseau de prendre des décisions de contrôle d’accès basées sur l’intelligence au sujet des systèmes finaux, ainsi la manière dont le réseau est informé au sujet des systèmes finaux est une décision clé de conception., Une différence clé entre les systèmes NAC est de savoir s’ils ont besoin d’un logiciel agent pour signaler les caractéristiques du système final ou s’ils utilisent des techniques d’analyse et d’inventaire réseau pour discerner ces caractéristiques à distance.
à mesure que NAC a mûri, les développeurs de logiciels tels que Microsoft ont adopté cette approche, en fournissant leur agent de protection d’accès réseau (NAP) dans le cadre de leurs versions Windows 7, Vista et XP. Il existe également des agents compatibles NAP pour Linux et Mac OS X qui fournissent une intelligence égale pour ces systèmes d’exploitation.,
hors bande versus inlineEdit
Dans certains systèmes hors bande, les agents sont distribués sur les stations d’extrémité et rapportent des informations à une console centrale, qui à son tour peut contrôler les commutateurs pour appliquer la stratégie. En revanche, les solutions en ligne peuvent être des solutions à boîtier unique qui agissent comme des pare-feu internes pour les réseaux de couche d’accès et appliquent la stratégie., Les solutions hors bande ont l’avantage de réutiliser l’infrastructure existante; les produits en ligne peuvent être plus faciles à déployer sur de nouveaux réseaux et peuvent fournir des capacités d’application de réseau plus avancées, car ils contrôlent directement les paquets individuels sur le fil. Cependant, certains produits sont sans agent et présentent à la fois les avantages inhérents d’un déploiement hors bande plus facile et moins risqué, mais utilisent des techniques pour fournir une efficacité en ligne pour les appareils non conformes, où l’application est requise.,
correction, quarantaine et portalsedit captif
Les opérateurs de réseau déploient des produits NAC avec l’espoir que certains clients légitimes se verront refuser l’accès au réseau (si les utilisateurs n’avaient jamais des niveaux de correctifs obsolètes, NAC serait inutile). Pour cette raison, les solutions NAC exigent un mécanisme pour remédier aux problèmes d’utilisateur final qui leur refusent l’accès.,
deux stratégies communes pour la correction sont les réseaux de quarantaine et les portails captifs:
quarantaine un réseau de quarantaine est un réseau IP restreint qui fournit aux utilisateurs un accès routé seulement à certains hôtes et applications. La quarantaine est souvent mise en application en termes d’affectation de VLAN; quand un produit NAC détermine qu’un utilisateur final est obsolète, leur port de commutateur est assigné à un VLAN qui est conduit seulement aux serveurs de correction et de mise à jour, pas au reste du réseau., D’autres solutions utilisent des techniques de gestion D’adresses (telles que Address Resolution Protocol (ARP) ou Neighbor Discovery Protocol (NDP)) pour la quarantaine, évitant ainsi les frais généraux liés à la gestion des VLAN de quarantaine. Portails captifs un portail captif intercepte L’accès HTTP aux pages web, redirigeant les utilisateurs vers une application web qui fournit des instructions et des outils pour mettre à jour leur ordinateur. Jusqu’à ce que leur ordinateur passe l’inspection automatisée, aucune utilisation du réseau en dehors du portail captif n’est autorisée. Ceci est similaire à la façon dont l’accès sans fil payant fonctionne aux points d’accès publics., Les portails captifs externes permettent aux organisations de décharger les contrôleurs et les commutateurs sans fil des portails web d’hébergement. Un portail externe unique hébergé par une appliance NAC pour l’authentification sans fil et filaire élimine le besoin de créer plusieurs portails et consolide les processus de gestion des stratégies.
