Netzwerkunterbrechungen vermeiden

Wie NAC implementiert wird, kann ebenfalls erhebliche Auswirkungen auf die Verfügbarkeit des Netzwerks haben. NAC-Appliances, die inline bereitgestellt werden – d.h. der gesamte Datenverkehr wird über die Appliance geleitet, bevor er in das Netzwerk gelangt – verursachen nicht nur Verzögerungen im Datenfluss, sondern auch einen einzigen Ausfallpunkt im Netzwerk, der potenziell die Netzwerkverfügbarkeit unterbrechen könnte. Die Alternative zu einer Inline-Appliance ist Out-of-band-Bereitstellung. Eine derartige Appliance achtet effektiv auf den Datenverkehr, während dieser durch das Netzwerk läuft. Auf diese Weise wird dem Datenfluss keine weitere Verzögerung hinzugefügt. Wenn die NAC-Appliance aus irgendeinem Grund ausfällt, wird die Konformität zwar nicht mehr kontrolliert, aber die Netzwerkverfügbarkeit ist nicht betroffen. Eine Out-of-band-Durchsetzung wird erreicht, indem die NAC-Appliance von einem Netzwerk-Switch gespannt wird. Die Appliance erhält administrative Rechte und kann die verschiedenen VLAN-Datenflüsse kontrollieren. Wird beispielsweise ein Wurm erkannt, kann die NAC-Appliance den entsprechenden Port deaktivieren. Darüber hinaus könnte die Appliance NetSend benutzen oder den Browser eines Endbenutzers übernehmen, um den Benutzer vor einer Infizierung zu warnen und ihm mitzuteilen, dass die IT-Abteilung bereits auf dem Weg ist, um das Problem zu beheben. Im Hintergrund kann die CounterACT-Appliance eine E-Mail an den Netzwerkadministrator senden oder automatisch ein Problemticket für die IT-Mitarbeiter öffnen. Auch der Bereitstellungsstandort sollte berücksichtigt werden. Normalerweise erfordert ein Inline-Gerät die Bereitstellung in der Zugangsschicht, entweder durch Ersetzen des Switches in der Zugangsschicht oder durch Einfügen in den Datenpfad zwischen den Switches der Zugangs- und der Verteilungsschicht. Die empfohlene Bereitstellung für CounterACT ist das Spannen von einem Switch der Verteilungsschicht, wodurch sich die Anzahl der erforderlichen Geräte für die Abdeckung des gesamten Netzwerks verringert und eine globale Bereitstellung möglich wird.

[Vorherige]  1 2 3 4 5 6  [Nächste]