Pre-ammissione e post-ammessionEdit
Ci sono due disegni prevalenti in NAC, in base al fatto che le politiche vengono applicate prima o dopo che le stazioni finali ottengono l’accesso alla rete. Nel primo caso, chiamato NAC di pre-ammissione, le stazioni finali vengono ispezionate prima di essere consentite sulla rete. Un tipico caso d’uso di pre-ammissione NAC sarebbe quello di impedire ai client con firme antivirus obsolete di parlare con server sensibili., In alternativa, dopo l’ammissione, il NAC prende decisioni di applicazione in base alle azioni dell’utente, dopo che a questi utenti è stato fornito l’accesso alla rete
Agent versus agentlessEdit
L’idea fondamentale alla base del NAC è quella di consentire alla rete di prendere decisioni di controllo degli accessi basate sull’intelligenza dei sistemi finali, quindi il modo in cui la rete è informata sui sistemi finali è una decisione progettuale chiave., Una differenza fondamentale tra i sistemi NAC è se richiedono un software agente per segnalare le caratteristiche del sistema finale o se utilizzano tecniche di scansione e inventario di rete per discernere tali caratteristiche da remoto.
Come NAC è maturato, gli sviluppatori di software come Microsoft hanno adottato l’approccio, fornendo loro network Access Protection (NAP) agente come parte delle loro versioni di Windows 7, Vista e XP. Ci sono anche agenti compatibili NAP per Linux e Mac OS X che forniscono pari intelligenza per questi sistemi operativi.,
Out-of-band versus inlineEdit
In alcuni sistemi out-of-band, gli agenti vengono distribuiti sulle stazioni finali e riportano le informazioni a una console centrale, che a sua volta può controllare gli switch per applicare i criteri. Al contrario, le soluzioni in linea possono essere soluzioni a scatola singola che fungono da firewall interni per le reti a livello di accesso e applicano la politica., Le soluzioni out-of-band hanno il vantaggio di riutilizzare l’infrastruttura esistente; i prodotti in linea possono essere più facili da implementare su nuove reti e possono fornire funzionalità di applicazione della rete più avanzate, poiché controllano direttamente i singoli pacchetti sul filo. Tuttavia, ci sono prodotti che sono agentless e hanno entrambi i vantaggi intrinseci di una distribuzione out-of-band più semplice e meno rischiosa, ma utilizzano tecniche per fornire efficacia in linea per dispositivi non conformi, dove è richiesta l’applicazione.,
Remediation, quarantine and captive portalsEdit
Gli operatori di rete distribuiscono prodotti NAC con l’aspettativa che ad alcuni client legittimi venga negato l’accesso alla rete (se gli utenti non avessero mai livelli di patch non aggiornati, il NAC non sarebbe necessario). Per questo motivo, le soluzioni NAC richiedono un meccanismo per risolvere i problemi degli utenti finali che negano loro l’accesso.,
Due strategie comuni per la correzione sono le reti di quarantena e i captive portal:
Quarantena Una rete di quarantena è una rete IP limitata che fornisce agli utenti l’accesso instradato solo a determinati host e applicazioni. La quarantena viene spesso implementata in termini di assegnazione di VLAN; quando un prodotto NAC determina che un utente finale non è aggiornato, la porta dello switch viene assegnata a una VLAN che viene instradata solo ai server di patch e aggiornamento, non al resto della rete., Altre soluzioni utilizzano tecniche di gestione degli indirizzi (come Address Resolution Protocol (ARP) o Neighbor Discovery Protocol (NDP)) per la quarantena, evitando il sovraccarico della gestione delle VLAN di quarantena. Captive portal Un captive portal intercetta l’accesso HTTP alle pagine web, reindirizzando gli utenti a un’applicazione web che fornisce istruzioni e strumenti per l’aggiornamento del proprio computer. Fino a quando il computer non supera l’ispezione automatica, non è consentito l’utilizzo della rete oltre al captive portal. Questo è simile al modo in cui l’accesso wireless a pagamento funziona nei punti di accesso pubblici., I Captive Portal esterni consentono alle organizzazioni di scaricare controller e switch wireless dai portali Web di hosting. Un singolo portale esterno ospitato da un’appliance NAC per l’autenticazione wireless e cablata elimina la necessità di creare più portali e consolida i processi di gestione delle policy.
