FortiLink NAC vs FortiNAC
Wiele wdrożeń sieci nie wymaga skomplikowanych, rozbudowanych rozwiązań kontroli dostępu. Idealnym wyborem będzie dla nich łatwy w użyciu NAC, doskonale zintegrowany z przewodową i bezprzewodową infrastrukturą sieciową.
W ofercie Fortinet można znaleźć dwa rozwiązania klasy NAC (Network Access Control). Pierwszym z nich jest FortiNAC, o którym pisaliśmy już w artykule FortiNAC, zautomatyzowana kontrola dostępu do sieci. Drugie to FortiLink NAC, któremu przyjrzymy się w tym wpisie. Chociaż oba rozwiązania dotyczą tego samego obszaru security (bezpiecznego dostępu do sieci), to nie stanowią dla siebie konkurencji, ponieważ różnią się zastosowaniami.
Dwa podejścia do NAC
Wiele organizacji z pewnością potrzebuje rozwiązań klasy NAC obejmujących bardzo szeroki zakres cech i funkcjonalności. Taki system musi odpowiadać na rozmaite potrzeby, których liczba z czasem może rosnąć. Taki właśnie jest FortiNAC – rozbudowany, samodzielny system kontroli dostępu do sieci, sprawdzający się w dużym i złożonym środowisku, w którym infrastruktura pochodzi od wielu producentów. FortiNAC oferuje wsparcie dla ponad 2000 różnych modeli przełączników od różnych dostawców i korzysta z wielu metod komunikacji z urządzeniami, aby zapewnić wysoką elastyczność rozwiązania.
Nie zawsze jednak potrzebny będzie tak rozbudowany system kontroli dostępu. W mniej skomplikowanych środowiskach lepszym rozwiązaniem będzie prosty i przyjazny system NAC, pozbawiony funkcjonalności, które w danej infrastrukturze nie byłyby wykorzystywane. Nieskomplikowane i łatwe w użyciu, ale jednocześnie wystarczająco solidne, by sprawdzić się w większości zastosowań. Odpowiedzią na takie wymagania może być FortiLink NAC.
Wykorzystując zaporę FortiGate, rozwiązanie FortiLink NAC oferuje kontrolę dostępu, którą można wdrożyć w infrastrukturze sieciowej firmy Fortinet. Odpowiada za to technologia FortiLink, łącząca i kontrolująca urządzenia sieciowe w oparciu o zaporę FortiGate. Przy użyciu technologii FortiLink urządzenia sieciowe Fortinet (przełączniki FortiSwitch i bezprzewodowe punkty dostępowe FortiAP) egzekwują w całej sieci wdrożone na zaporze polityki.
FortiLink – podstawa działania FortiLink NAC
Przyjrzyjmy się bliżej samej technologii FortiLink. To nic innego jak zbiór protokołów, dzięki któremu zapora sieciowa FortiGate wykrywa przełączniki FortiSwitch w sieci, a następnie kontroluje stan tych urządzeń. Przy użyciu protokołu CAPWAP przełączniki są uwierzytelniane oraz autoryzowane, z kolei HTTPS umożliwia konfigurację poprzez REST API. W rezultacie mamy możliwość pełnego zarządzania switchami z poziomu zapory FortiGate. Jeżeli będziemy chcieli uruchomić punkty dostępowe FortiAP, to w oparciu o FortiLink będziemy mogli kontrolować również sieć bezprzewodową.
Proces wdrażania zostaje maksymalnie uproszczony i staje się praktycznie bezobsługowy, zasługując na miano ZTP (Zero Touch Provisioning). Dzięki temu rozwiązanie świetnie sprawdza się w niewielkich oddziałach firm, czy też zdalnych lokalizacji, w których brakuje personelu technicznego.
Technologia ta jest z powodzeniem używana w charakteryzującej się dużym rozproszeniem branży retail, nierzadko w połączeniu z zaimplementowanym na zaporze FortiGate kolejnym interesującym rozwiązaniem, jakim jest Secure SD-WAN. Łączy ono inteligentne sterowanie ruchem (wybierane są łącza o najlepszych w danym momencie parametrach) z nieprzerwaną kontrolą ruchu pod kątem zagrożeń sieciowych. Całość tworzy ofertę SD-Branch.
Jak działa FortiLink NAC?
Działanie tego rozwiązania polega na tworzeniu precyzyjnych reguł definiujących zasady dostępu do sieci za pośrednictwem przełączników FortiSwitch i punktów dostępowych FortiAP. Reguły te mogą być tworzone w oparciu o:
- Parametry sprzętowe:
- Adres MAC
- Prefiks producenta w adresie MAC
- System operacyjny
- Typ urządzenia użytkownika i przynależność do grupy lokalnej lub domenowej
- Tagi nadawane na serwerze FortiClient EMS
Zanim dostęp zostanie przyznany, host trafia do odizolowanej sieci, bez dostępu do innych zasobów. Dopiero w efekcie pozytywnej ewaluacji reguł i przyznania dostępu będzie miał on możliwość skomunikowania się z naszą siecią. Reguła dostępowa może mieć zdefiniowaną akcję, wykonywaną gdy host spełni jej warunki. Przykładem takiej akcji jest dynamiczne przypisanie VLAN. W efekcie sieć działa w sposób zautomatyzowany. Warto dodać, że dzięki technologii FortiLink, nie jest konieczne pamiętanie o odpowiednich VLAN na łączach pomiędzy przełącznikami – wystarczy je skonfigurować na interfejsie FortiLink zapory sieciowej.
Jak widać, FortiLink NAC cechuje się dużą przejrzystością i prostotą konfiguracji. Ważne jest także to, że rozwiązanie nie wymaga żadnych dodatkowych subskrypcji ani licencji. Każdy administrator sieci zbudowanej z urządzeń Fortinet może w dowolnym momencie uruchomić system klasy NAC i znacznie wzmocnić bezpieczeństwo swojego IT.
