Enterasys Sentinel Trusted Access

La soluci贸n NAC de Enterasys que probamos combin贸 varias soluciones de la misma empresa: el Sentinel Trusted Access Manager (TAM) 1.1, Sentinel Trusted Access Gateway (TAG) 1.1, NetSight Policy Manager 2.2, NetSight Automated Security Manager 2.2, Dragon Security Command Console 7.2.5, y Dragon Network Intrusion Detection System 7.1. El sistema Sentinel puede usar (pero no lo requiere) las extensas capacidades de pol铆ticas basadas en puertos de la l铆nea de switches de Enterasys. Al combinar la administraci贸n de pol铆ticas, de acceso, y una IDS de red, Enterasys entreg贸 una respuesta integral -aunque complicada- a nuestros escenarios de prueba. La configuraci贸n del sistema requiere tres aplicaciones independientes pero relacionadas, as铆 como conectividad a sistemas externos para rastreo de posici贸n e IDS. Las pol铆ticas son creadas en el NetSight Policy Manager y empujadas a los puntos adecuados de implementaci贸n en la red. El TAM Sentinel -responsable de la administraci贸n de los TAGs de Sentinel que implementan las pol铆ticas- permite la administraci贸n centralizada de una red ampliamente distribuida. Nuestro ambiente Enterasys tambi茅n incluy贸 la consola de comandos Dragon Security para administrar los eventos de seguridad, y Dragon, el producto de detecci贸n de intrusos en la red, para vigilar el tr谩fico de la red y reportar anomal铆as para tomar acciones, el cual tiene un significativo costo adicional. El sistema Enterasys proporcion贸 capacidades integradas para todos nuestros escenarios de prueba, usando rastreo de los clientes basado en agente para determinar la posici贸n del cliente. Soporta la asignaci贸n de VLAN. Con switches Enterasys pudimos asignar pol铆ticas a煤n m谩s granulares, lo que permiti贸 que los dispositivos no cambiaran de IP de subred mientras se mov铆an de una a otra, eliminando la necesidad de forzar una renovaci贸n de DHCP y el retardo inevitable. Usando pol铆ticas de asignaci贸n de VLAN o de puertos, el sistema Sentinel puede limitar apropiadamente el acceso de los sistemas cliente basados en la identidad del usuario y en la posici贸n del sistema. Adem谩s utilizando las IDS de red para detectar cambios en el tr谩fico desde o hacia un cliente, Sentinel en respuesta podr铆a incluso disparar cambios en la configuraci贸n de la red 鈥 un gran activo para grandes organizaciones que se defienden contra ataques de cero-d铆as. M谩s a煤n, las pol铆ticas a nivel de puertos nos permitieron configurar puertos para conceder s贸lo el tr谩fico l贸gico para cada usuario y servicio. Lo malo: la configuraci贸n de pol铆ticas de Sentinel fue bastante compleja, especialmente cuando cruza las fronteras de m煤ltiples productos. Pero una vez que los conceptos generales fueron almacenados en el sistema, la creaci贸n de nuevas pol铆ticas fue t铆picamente cosa de duplicar otras y modificar los protocolos espec铆ficos, las redes y otras limitaciones de tr谩fico para cada pol铆tica. Y en este caso, el esfuerzo extra vale la pena. Las pol铆ticas por puerto son poderosas, proporcionan un nivel extra de protecci贸n que es atractivo en estos d铆as de peligrosas sorpresas en la red.