Fortsetzung der, in diesem Beitrag, um einige der Überlegungen aussehen Zugriff auf das Netzwerk zur Steuerung IA € ™ ll.

Obwohl Network Access Control (NAC) jetzt seit ein paar Jahren gewesen ist, Microsofts ist neu in Windows Server 2008 ().

Es ist wichtig zu verstehen, dass NAC / NAP nicht-Sicherheitslösungen sind aber mit Netzwerk Gesundheit besorgt - einen Endpunkt zu bewerten und ihren Zustand mit einer definierten Politik zu vergleichen, dann Zugang für nicht-konforme Geräte zu entfernen, bis sie saniert worden sind (dh, bis die Politik hat wurde erzwungen).

Die eigentliche Frage, ob die Umsetzung NAC / NAP ist, ob oder nicht die Nichteinhaltung ein geschäftliches Problem darstellt.

Unter der Annahme, dass NAP umgesetzt werden, dann kann es unterschiedliche Richtlinien für verschiedene Benutzergruppen erforderlich sein - zum Beispiel interne Mitarbeiter, Auftragnehmer und Besucher - und jeder von ihnen könnte eine andere Ebene der Durchsetzung erfordern; Wenn jedoch die die Richtlinie angewendet werden soll, sind:

• DHCP - einfach zu implementieren, sondern auch einfach durch die Verwendung einer statischen IP-Adresse zu vermeiden. Es ist auch notwendig, um die Health Frequenz zu prüfen, wie es um die DHCP-Lease-Erneuerungszeit bezieht.
• VPN - sicherer, sondern beruht auf dem Server 2008 RRAS VPN von Windows so kann eine dritte Partei-VPN-Lösung erfordern ersetzt werden. In jedem Fall ist Voll VPN-Zugang Zähler zu Branchentrends als alternative Lösungen verwendet werden, zu erhöhen.
• 802.1x - erfordert ein komplexes Design alle Arten von Netzwerkbenutzer zu unterstützen und nicht alle Switches unterstützen dynamische VLANs.
• IPSec - die empfohlene Lösung - eingebaut in Windows funktioniert mit jedem Switch, Router oder Access Point bietet eine starke Authentifizierung und (optional) Verschlüsselung. Darüber hinaus sind ungesund Kunden wirklich isoliert (das heißt nicht nur in einem VLAN mit anderen Kunden platziert, um potenziell beeinflussen oder von anderen Maschinen beeinträchtigt werden). Der Nachteil ist, dass der NAP-Erzwingung mit IPSec-Computern erfordert Domäne verbunden werden sollen (so nicht mit den Besuchern oder Auftragnehmer PCs helfen) und ist ziemlich komplex aus operativer Sicht erfordert die Umsetzung der Gesundheitszulassungsbehörde (HRA) Rolle und einer PKI-Lösung.

Im nächsten Beitrag in dieser Serie, IA € ™ ll für den Einsatz von Virtualisierungstechnologien in der Infrastruktur einen Blick auf einige der architektonischen Überlegungen nehmen.