HP vollendet eigenes NAC-Model
Switches und Sicherheit sind nicht mehr zu trennen.Was Hewlett-Packard Procurve bereits vergangenes Jahr andeutete, hat der Hersteller mit zwei frischen Bausteinen nun untermauert. Auch HP will mit ihrem NAC-Gegenmodell zu Cisco den Zugriff auf Netzressourcen abhängig machen vom Gesundheitszustand des Rechners.
- HP vollendet eigenes NAC-Model
- Strategiekopie
Von zahlreichen Analysten als Nummer zwei auf dem Switch- Markt bestätigt, geht Hewlett- Packard nun dazu über, wichtige Lösungsthemen zu besetzen. Damit will der Hersteller sich einmal von der reinen Preisdiskussion emanzipieren und zugleich Bereiche belegen, die bisher die Nummer Eins auf dem Switch- Markt größtenteils für sich beanspruchte - Cisco.
So hat HP Procurve nun ein eigenes, komplettes Network-Access- Control- (NAC-) Konzept entwickelt, das als Gegenmodell zu Ciscos NAC und »Selfdefending Network«-Strategie aufgestellt ist.
Bereits 2006 hat HP Procurve mit ihrem Management-Tool »Identity Driven Manager« (IDM) den Weg vorgegeben. Dieses Werkzeug legt fest, nach welchen Kriterien ein User mit seiner Maschine an einem gewissen Switch-Port welche Zugriffsrechte erhält. Attribute wie Zeit, Lokation, Gerätetyp und natürlich Benutzername/Passwort legen dies fest. Dank Radius-, LDAPund nun auch ADS-Queries fragt das Tool auch bestehende Datenbanken ab, um diese Parameter zu erfahren.
Mit zwei weiteren Produkten, die HP unter dem Schlagwort »ProActive Defense Security« zusammenführt, will der Anbieter die letzten fehlenden Bausteine in einem NAC-Konzept liefern. Die Appliance »Network Access Controler 800« fragt den Gesundheitszustand eines Hosts ab. Das Werkzeug »Network Immunity Manager« soll auf verdächtiges Verhalten nach erfolgreichem Login reagieren. Damit wären Pre- und Post-Assessment im NAC umgesetzt.
Die Appliance ist für die Analyse eines Endpoints während des Logins konzipiert. Die Box organisiert die Integritätsparameter, die sie beim Endpunkt abgleicht, in einer eigenen lokalen Radius-Datenbank. Um an diese Werte beim Client zu gelangen, installiert der Administrator einmal den »NAC EI Agent« von HP auf den Hosts. Der Agent prüft einige Standardeinstellungen von Windows-Plattformen wie das Patch-Level oder Browserkonfigurationen. Außerdem befragt er eine ganze Reihe von Dritthersteller-Programmen nach ihrem Status darunter unter anderem PC-Firewalls und Antimalware-Tools. »Wir wollen hier so offen wie möglich sein, um alle möglichen Fremdanbieter einzubinden«, sagt Peter Schaudeck, Market Development Manager bei der Hewlett-Packart Procurve. Ein Vorteil, den HP gegenüber Cisco ausspielen will, da Procurve dort auf Grund großer Proprietät eine viel stärkere Herstellerbindung sieht. Fremden Clients schickt die HP-Appliance ein entsprechendes Agent- Applet zu, das gewisse Integritätsparameter abfragt. Das erinnert an die Health-Checks von SSL-VPN-Appliances. Gesteuert wird das Ganze über das IDMTool, das die Policy für den Network- Access-Controler 800 festlegt.
