Porozmawiajmy! Jesteśmy gotowi na Twój projekt!

Kontakt

Blog

Blog

FortiLink NAC vs FortiNAC

 

Wiele wdrożeń sieci nie wymaga skomplikowanych, rozbudowanych rozwiązań kontroli dostępu. Idealnym wyborem będzie dla nich łatwy w użyciu NAC, doskonale zintegrowany z przewodową i bezprzewodową infrastrukturą sieciową.

W ofercie Fortinet można znaleźć dwa rozwiązania klasy NAC (Network Access Control). Pierwszym z nich jest FortiNAC, o którym pisaliśmy już w artykule FortiNAC, zautomatyzowana kontrola dostępu do sieci. Drugie to FortiLink NAC, któremu przyjrzymy się w tym wpisie. Chociaż oba rozwiązania dotyczą tego samego obszaru security (bezpiecznego dostępu do sieci), to nie stanowią dla siebie konkurencji, ponieważ różnią się zastosowaniami.

 

Dwa podejścia do NAC

Wiele organizacji z pewnością potrzebuje rozwiązań klasy NAC obejmujących bardzo szeroki zakres cech i funkcjonalności. Taki system musi odpowiadać na rozmaite potrzeby, których liczba z czasem może rosnąć. Taki właśnie jest FortiNAC – rozbudowany, samodzielny system kontroli dostępu do sieci, sprawdzający się w dużym i złożonym środowisku, w którym infrastruktura pochodzi od wielu producentów. FortiNAC oferuje wsparcie dla ponad 2000 różnych modeli przełączników od różnych dostawców i korzysta z wielu metod komunikacji z urządzeniami, aby zapewnić wysoką elastyczność rozwiązania.

Nie zawsze jednak potrzebny będzie tak rozbudowany system kontroli dostępu. W mniej skomplikowanych środowiskach lepszym rozwiązaniem będzie prosty i przyjazny system NAC, pozbawiony funkcjonalności, które w danej infrastrukturze nie byłyby wykorzystywane. Nieskomplikowane i łatwe w użyciu, ale jednocześnie wystarczająco solidne, by sprawdzić się w większości zastosowań. Odpowiedzią na takie wymagania może być FortiLink NAC.

Wykorzystując zaporę FortiGate, rozwiązanie FortiLink NAC oferuje kontrolę dostępu, którą można wdrożyć w infrastrukturze sieciowej firmy Fortinet. Odpowiada za to technologia FortiLink, łącząca i kontrolująca urządzenia sieciowe w oparciu o zaporę FortiGate. Przy użyciu technologii FortiLink urządzenia sieciowe Fortinet (przełączniki FortiSwitch i bezprzewodowe punkty dostępowe FortiAP) egzekwują w całej sieci wdrożone na zaporze polityki.

 

FortiLink – podstawa działania FortiLink NAC

Przyjrzyjmy się bliżej samej technologii FortiLink. To nic innego jak zbiór protokołów, dzięki któremu zapora sieciowa FortiGate wykrywa przełączniki FortiSwitch w sieci, a następnie kontroluje stan tych urządzeń. Przy użyciu protokołu CAPWAP przełączniki są uwierzytelniane oraz autoryzowane, z kolei HTTPS umożliwia konfigurację poprzez REST API. W rezultacie mamy możliwość pełnego zarządzania switchami z poziomu zapory FortiGate. Jeżeli będziemy chcieli uruchomić punkty dostępowe FortiAP, to w oparciu o FortiLink będziemy mogli kontrolować również sieć bezprzewodową.

Proces wdrażania zostaje maksymalnie uproszczony i staje się praktycznie bezobsługowy, zasługując na miano ZTP (Zero Touch Provisioning). Dzięki temu rozwiązanie świetnie sprawdza się w niewielkich oddziałach firm, czy też zdalnych lokalizacji, w których brakuje personelu technicznego.

Technologia ta jest z powodzeniem używana w charakteryzującej się dużym rozproszeniem branży retail, nierzadko w połączeniu z zaimplementowanym na zaporze FortiGate kolejnym interesującym rozwiązaniem, jakim jest Secure SD-WAN. Łączy ono inteligentne sterowanie ruchem (wybierane są łącza o najlepszych w danym momencie parametrach) z nieprzerwaną kontrolą ruchu pod kątem zagrożeń sieciowych. Całość tworzy ofertę SD-Branch.

Zasada działania FortiLink NAC

Jak działa FortiLink NAC?

Działanie tego rozwiązania polega na tworzeniu precyzyjnych reguł definiujących zasady dostępu do sieci za pośrednictwem przełączników FortiSwitch i punktów dostępowych FortiAP. Reguły te mogą być tworzone w oparciu o:

  1. Parametry sprzętowe:
    • Adres MAC
    • Prefiks producenta w adresie MAC
    • System operacyjny
  2. Typ urządzenia użytkownika i przynależność do grupy lokalnej lub domenowej
  3. Tagi nadawane na serwerze FortiClient EMS

Zasada działania FortiLink NAC

Zanim dostęp zostanie przyznany, host trafia do odizolowanej sieci, bez dostępu do innych zasobów. Dopiero w efekcie pozytywnej ewaluacji reguł i przyznania dostępu będzie miał on możliwość skomunikowania się z naszą siecią. Reguła dostępowa może mieć zdefiniowaną akcję, wykonywaną gdy host spełni jej warunki. Przykładem takiej akcji jest dynamiczne przypisanie VLAN. W efekcie sieć działa w sposób zautomatyzowany. Warto dodać, że dzięki technologii FortiLink, nie jest konieczne pamiętanie o odpowiednich VLAN na łączach pomiędzy przełącznikami – wystarczy je skonfigurować na interfejsie FortiLink zapory sieciowej.

Jak widać, FortiLink NAC cechuje się dużą przejrzystością i prostotą konfiguracji. Ważne jest także to, że rozwiązanie nie wymaga żadnych dodatkowych subskrypcji ani licencji. Każdy administrator sieci zbudowanej z urządzeń Fortinet może w dowolnym momencie uruchomić system klasy NAC i znacznie wzmocnić bezpieczeństwo swojego IT.

Potrzebujesz wsparcia, masz pytania?

Zadzwoń lub napisz do nas.

Kontakt
Bezpieczeństwo infrastruktury sieciowej

Mateusz Zaborowski

Inżynier Sieciowy / Network Engineer

Nasza strona internetowa używa plików cookies w celach statystycznych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować stronę do Twoich potrzeb. Dowiedz się więcej.