بررسی تخصصی نسل پنجم در ایران

شركت‌هاي سيسكو و مايكروسافت به منظور ايجاد تعامل بالا‌ بين NAC سيسكو و NAP مايكروسافت، همكاري قابل توجهي نموده‌اند. اين تعامل، امكان درك بهتر مزايا و منافع NAC و NAP و بهره‌گيري بهينه را براي مشترياني كه روي شبكه‌هاي مجهز به NAC و نيز زيرساخت‌هاي روميزي و سرور NAP سرمايه‌گذاري كرده‌اند و از آن استفاده مي‌كنند، فراهم مي‌كند.

همچنين اين تعامل متقابل با نسخه‌اي از NAP در ويندوز سرور آتي به نام لا‌نگهورن (Longhorn) كه قرار است در نيمه دوم سال 2007 در دسترس باشد، پشتيباني مي‌گردد.

مشخصه‌ها و مزاياي اوليه اين راه‌حل عبارت است از:
● تعامل و حق انتخاب مشتري
● محافظت از سرمايه‌گذاري
● عامل منفرد (Single agent) كه در ويندوز ويستا در نظر گرفته شده است.
● اكوسيستم يكپارچه‌سازي فروشنده مستقل نرم‌افزار (Independent Software Vendor: ISV) 
● پشتيباني از بروز كردن و استقرار عامل (Agent Deployment) 
● پشتيباني بين سكويي (Cross-Platform) 

معماري تعامل به مشتريان امكان مي‌دهد NAC و NAP را يكي پس از ديگري يا به صورت همزمان به كار گيرند. همچنين محيط‌هاي استقرار غيريكنواخت NAC و عامل NAP (عامل اعتماد سيسكو و عامل NAP) پشتيباني مي‌گردد. معماري عامل - مشتري (Client-agent) براي تجهيزات شبكه‌اي سيسكو هنگام دسترسي به شبكه شفاف خواهد بود.

به كارگيري هر دو مؤلفه ACS يا Access Control Server ايمن سيسكو و NPS مايكروسافت (Network Policy Server) براي نسخه اوليه تعامل متقابل مورد نياز است. با اين وجود، سيسكو و مايكروسافت پروتكل‌هاي NAC وNAP را  تحت ليسانس مشترك خود درآورده‌اند كه اين فرصت را براي هر دو شركت ايجاد كرده است تا به نيازهاي آتي مشتري و بازار، به منظور اتخاذ يك سياست تركيبي براي ارايه محصول پاسخ دهند.

معماري تعامل مشتريان را قادر مي‌سازد از NAC يا NAP خود استفاده مجدد نمايند و از سرمايه‌گذاريشان نيز حفاظت كنند. به عنوان مثال، مشتريان مي‌توانند امروز استفاده از NAC را شروع كنند و سپس NAP را همزمان با استقرار ويندوز ويستا و ويندوز سرور لا‌نگهورن به محيط خود وارد نمايند و آن را يكپارچه كنند.

كامپيوترهايي كه سيستم‌عامل آن‌ها ويندوز ويستا يا ويندوز سرور لا‌نگهورن است، شامل عامل NAP به‌عنوان بخشي از هسته سيستم‌عامل خود هستند كه هم براي NAP و هم براي NAC به كار مي‌رود. علا‌وه بر روش‌هاي EAP يا Extensible Authentication Protocol و درخواست‌كننده 802.1x  كه در ويندوز ويستا و ويندوز سرور لا‌نگهورن در نظر گرفته شده‌اند، يك روش EAP-FAST و درخواست‌كننده EAPoverUDP به منظور ايجاد تعامل بين NAP و NAC  فراهم شده است.

روش EAP-FAST و درخواست‌كننده EAPoverudp به وسيله سيسكو تدوين شده است و توسط مايكروسافت با بروز كردن‌هاي ويندوز و سرويس‌هاي روزآمدسازي ويندوز سرور (WSUS) از طريق طرح گواهي EAP ارايه مي‌شود. استفاده از 802.1x ،EAPoverudp و EAP-FAST سبب خارج از ديد بودن عامل براي زيرساخت شبكه NAC مي‌گردد.

يك معماري واحد براي ويندوز ويستا و ويندوز سرور لا‌نگهورن، استقرار يك زيرساخت سالم شامل اجزاي NAP، اجزايNAC، يا تركيبي از اين دو را به ميزان زيادي ساده خواهد نمود. كامپيوترهايي كه ويندوز اكس‌پي با SP2 روي آن‌ها نصب شده لا‌زم است عامل اعتماد سيسكو (Cisco Trust agent) را براي NAC و عامل NAP را براي NAP نصب كنند.

به منظور ساده كردن توسعه عامل صحت و اجزاي پياده‌سازي آن براي كلاينت‌هاي ويندوز ويستا از سوي توسعه‌دهندگان طرف سوم، APIهاي كلا‌ينت NAP به‌عنوان يك اينترفيس برنامه‌اي مجزا، ارايه سرويس مي‌كنند كه براي گزارش‌دهي صحت و اجراي NAP و NAC به كار مي‌رود. اين امر باعث تسهيل يكپارچه‌سازي نرم‌افزارهاي جمع‌آوري‌كننده اطلاعات صحت توسط ISV‌ها مي‌گردد.

تجربه مشتري و فرايند استقرار اجزاي عامل مورد نياز براي قابليت تعامل با ويندوز ويستا و ويندوز سرور لا‌نگهورن با استقرار سرويس‌هاي يك سيستم‌عامل ويندوزِ نوعي، مشابه خواهد بود. عامل NAP و درخواست‌كننده 802.1x  جزئي طبيعي از ويندوز ويستا و ويندوز سرور لا‌نگهورن هستند و ماجول‌هاي EAP-FAST و EApoverudp كه به وسيله سيسكو تدوين شده است، از طريق مايكروسافت و با سرويس‌هاي به‌روزرساني ويندوز و ويندوزسرور توزيع مي‌گردند. به علا‌وه، پشتيباني از پيكربندي خط مشي گروهي براي اجزاي عامل (شامل ماجول‌هاي EAP-FAST و EAPoverudp) لحاظ شده است.

به منظور پشتيباني از سيستم‌عامل‌هاي كلا‌ينت غير از ويندوز، شركت مايكروسافت اجزايي از فناوري كلا‌ينت NAP را براي توسعه‌دهندگان ثالث نرم‌افزار تحت ليسانس خود ارائه مي‌كند. شركت سيسكو نيز به پشتيباني و توسعه NAC كلا‌ينت خود براي پلتفرم‌هاي غيرويندوز ويستا و غير ويندوز سرور لا‌نگهورن ادامه مي‌دهد. همچنين ارايه پروتكل‌هاي Cisco NAC براي استانداردسازي از طريق فرايندهاي استانداردهاي باز را دنبال مي‌كند.

معماري تعامل متقابل NAC و NAP شامل اجزا و مؤلفه‌هاي زير است:

بعد از اتصال به شبكه، كلا‌ينت يك مجموعه از اعتبارنامه‌ها را فراهم مي‌كند كه به منظور تأييد و مجاز بودن سطح مناسب دسترسي شبكه درستي آن‌ها بررسي مي‌شود. اين اعتبارنامه كلا‌ينت مي‌تواند شامل هويت اعتبارنامه كاربر يا كامپيوتر به علا‌وه اعتبارنامه صحت باشد.

كلا‌ينت‌هاي ناهمخوان مي‌توانند قبل از اعطاي دسترسي نرمال به شبكه محدود شوند يا قرنطينه گردند يا تصحيح شوند. در معماري تعامل متقابل،‌ كلا‌ينت با استفاده از عامل NAP اعتبارنامه خود را براي بررسي درستي، فراهم مي‌كند.
 
فهرست SoHoها (و به طور اختياري هويت كامپيوتر يا كاربر) به يك ACS ايمن سيسكو با EAP-FAST كه روي 802.1x يا Eapoverudp ارسال مي‌شود. چنانچه يك زيرساخت گواهي صحت استقرار يابد، كلا‌ينت گواهي صحت خود را به جاي ارسال به يك فهرست از SoHoها، آن را به ACS ايمن سيسكو مي‌فرستد.

چنانچه عامل NAP فهرست SoHoهاي خود را براي تأييد صحت سيستم بفرستد، ‌ACS ايمن سيسكو فهرست SoHoهاي خود را براي تأييد صحت استفاده از پروتكل HCAP سيسكو به يك NPS مايكروسافت مي‌فرستند. NPS مايكروسافت SoHRs را در مقابل نيازمندي‌هاي صحت پيكربندي شده ارزيابي مي‌كند كه شامل SoHRsهاي فردي و SoHR سيستم كلا‌ينت سراسري (SSoHR) است.

ACS ايمن سيسكو كليه نتايج درستي اعتبارنامه را (كه مي‌تواند شامل هويت كامپيوتر يا كاربر به علا‌وه SOHR باشد) براي انتخاب و ارسال پروفايل دسترسي مناسب به تجهيزات دسترسي شبكه به منظور اعطاي سطح مجازي از دسترسي به شبكه براي كلا‌ينت را ارزيابي مي‌كند. ACS ايمن سيسكو همچنين SoHRs و SSoHRها را به عامل NAP روي كلا‌ينت با EAP-FAST حمل‌شده روي 802.1x يا Eapoverudp را برگشت خواهد داد.