整合NAC与网络安全工具

日期: 2009-09-26 作者:Wiley翻译:曾少宁 来源:TechTarget中国 英文

整合网络访问控制(NAC)解决方案到其它网络安全工具将有助于扩展用户和主机身份认证,同时也可以增强网络上的安全策略。《伪程序的网络访问控制》的“扩展NAC”的第一部分阐述了网络访问控制解决方案如何与入侵检测预防工具、防病毒网关和网络详细目录/设备分类应用整合来增强这些功能。   了解如何整合网络访问控制解决方案与网络安全工具,并找出失误以便更好发展。   扩展NAC:伪程序的网络访问控制   试想目前你的网络中所部署的大量的网络和安全设备——它们之间有何共同点,以及它们在NAC方面有哪些类似之处呢?   这些设备都收集用户在网络上的操作信息。

这些信息量很大,而且这些信息都是直接存入日志文件存档……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

整合网络访问控制(NAC)解决方案到其它网络安全工具将有助于扩展用户和主机身份认证,同时也可以增强网络上的安全策略。《伪程序的网络访问控制》的“扩展NAC”的第一部分阐述了网络访问控制解决方案如何与入侵检测预防工具、防病毒网关和网络详细目录/设备分类应用整合来增强这些功能。

  了解如何整合网络访问控制解决方案与网络安全工具,并找出失误以便更好发展。

  扩展NAC:伪程序的网络访问控制

  试想目前你的网络中所部署的大量的网络和安全设备——它们之间有何共同点,以及它们在NAC方面有哪些类似之处呢?

  这些设备都收集用户在网络上的操作信息。这些信息量很大,而且这些信息都是直接存入日志文件存档,没有人会再看一次。正确的利用这些信息可以让你查看用户网络的行为,并允许你使用这些信息来快速更改访问控制决策。

  这些收集用户行为信息的设备都是为实现最佳可视性而在你的网络中有策略性地放置的。大多数情况下,你可以使用这个安置作为附加的覆盖实施方案以便允许你在网络中的每个策略使用用户和主机身份认证信息。

  在本文中,我们将探讨如何在制造商提供的功能基础上扩展多个NAC系统,从而在网络中实现NAC与更广泛的系统、设备和应用相配合。

  了解网络

  NAC事实上是第一个能将所有的网络和安全元素上的信息协调到一个位置的方案,这样你就可以根据用户身份和终端安全状态以及每个用户登录到网络上的行为来建立访问控制政策。

  新的标准,如TNC的IF-MAP协议,已经实现了这个级别的协调。而随着这些标准的出现并不断被越来越多的供应商所采用,你将可以使用这些新的措施和政策来从其它产品的扩展得到NAC实现的附加价值。接下来将举例探讨NAC部署是如何在其它产品扩展中受益。

  IDP/IPS整合

  入侵检测防御(IDP),或入侵防御系统(IPS),最近几年越来越受欢迎,特别是当供应商应对NAC市场的早期挑战时,如感知部署和可用性难点。目前,大多数大型的组织都全面部署了IDP/IPS,但是在使用NAC之前,这些解决方案都被一定程度的限制以防止公司网络中发生新的攻击。你可以配置所有的IPS探测器来中断网络中恶意或其它不需要的流量。比如,假设一个特定的终端发起一个针对公司数据中心的应用服务器的攻击,并且IPS检测到该流量是恶意的,那么IDP/IPS可以通过所配置的策略来中断流量。虽然这个响应是充分的,但是,在某些情况下,你可能想进一步阻止网络以后的攻击。NAC可以帮助你从IDP/IPS设备中获取信息,并在被攻击或发生意外事件时使用这些信息来处理终端用户的访问。

  如果你实现了IDP设备与NAC解决方案全面的整合(市场上有些解决方案能够达到这个级别的整合),那么IDP将继续执行它的核心功能——检测网络流量和中断无用的数据包。然而,在NAC整合允许IDP/IPS发送无用流量的明细(包括严重性、用户IP地址和攻击特征)到NAC解决方案。当接受到该信息时,NAC可以对相关的终端用户或终端采取措施。NAC可以通过将用户进行隔离、失效用户的会话,或者甚至失效用户的帐号(根据管理员所设置的政策)来处理这个事件。图1描述了在公司网络中一个NAC和IDP/IPS混合解决方案。

  图1所显示的整合类型允许一个有大量用户和设备认证信息的NAC解决方案和一个有大量流量和行为信息的IDP/IPS解决方案之间的全面协调。

图1:一个NAC/IPS整合例子

  安全故障和事件管理整合

  近几年来,安全故障/信息和事件管理(SIEM)产品越来越受到欢迎,许多供应商也开始涉足这个市场。这些产品可以协调网络设备上丰富的信息,并让SIEM产品在NAC部署中成为一个非常合理的整合或扩展。

  技术资料

  SIEM产品可以收集不同设备的日志并关连相关的信息,这样它就可以有效地确定网络中的事件、攻击或者其它的异常现象。SIEM产品所提供的信息允许IT管理员审查这些事件和潜在漏洞,从而可以在黑客利用这些问题之前采取相应的操作来解决这些问题。SIEM产品利用诸如流和事件相互关系的工具来提供风险和漏洞分析给网络管理员和安全人员。

  和IDP/IPS类似(在前面已经讨论过),SIEM产品的局限在于在产品发现了攻击之后,它们如何阻止所检测到的攻击继续发生。NAC可以通过防御后续恶意的行为来弥补这个缺点,从而可以使SIEM发挥更大的作用和价值。通过正确的整合,你可以将SIEM上的事件直接引导到NAC策略服务器。通过组合NAC,你可以对SIEM采取与IDP/IPS的相似操作。根据攻击的严重性和类型,你可能采取包括从临时隔离终端用户到失效终端用户帐户的操作,这样他或她只有在管理员进行了进一步的调查之后才能够重新登录。这个组合的解决方案比两个单独的解决方案的简单相加更强大。

  整合方案的完整范围是取决于SIEM和NAC供应商一起努力支持相同标准或API来进行该信息的交换的意愿有多强烈的。由于NAC正变得越来越流行,很多SIEM供应商很可能都意识到这些类型整合的可能性,并且开始开发支持这些标准的产品。

图2:一个整合SIEM的NAC策略

  网络反病毒整合

  由于反病毒在公司网络中很受重视,因此,将NAC扩展到网络反病毒网关对组织而言很有意义。在必要的情况下,网络反病毒应用会不断地查看网络中的流量、扫描病毒和执行清理。

  小贴士!扩展NAC到你的网络反病毒网关都会有独立的网关以及整合到其它多功能网络的网关和在垂直产业中受到顾客欢迎的安全设备。

  但是,如果反病毒网关的反应并不只是中断流量,而且还能发送信号到NAC实现,那么你的组织可以完成一个能快速反应的基础架构,它能知道如何应对用户和机器行为:

  比如,NAC系统可能隔离或者断开用户,如图2所示

  NAC系统可以采用更加敏锐的方法,如在终端启动反病毒扫描

  NAC系统同时还可以确保来自该终端的后续流量在直接到达目的地之前通过网络反病毒网关

  网络清单/设备分类整合

  网络清单是很多NAC部署的主要部分,这主要是因为在特定的公司网络中的许多设备并不需要运行所要求的NAC软件或者NAC环境的认证。

  图3显示网络清单或者设备分类解决方案是如何适应典型的NAC部署的。如图3所显示,在大多数NAC解决方案中的策略服务器足够处理大多数管理的设备。这些设备一般都可以运行某种形式的NAC软件,同时NAC系统能够正确地扫描和认证它们,如802.1X。这个范畴的设备一般包括:

  •运行各种操作系统的台式和笔记本电脑

  •智能手机

  •PDA

  •激活802.1X的VoIP电话

图3:一个带有NAC的清单和设备分类示例

  当你的组织需要处理还没有整合NAC解决方案的设备时,就可以使用网络清单解决方案。根据不同的组织类型,这些设备甚至比你的网络中的管理多得多。这些设备类型包括较老的和低端的设备

  •VoIP电话和PDA

  •打印机

  •扫描仪

  •安全摄影机

  •视频会议设备

  •HVAC系统

  •医疗设备

  在大型的公司网络中,很多激活IP的设备并不具备恰当的软件来激活全面的NAC身份认证。

  记住!网络清单解决方案必须了解这些设备,并将它们归档以便确定它们实际的类型,并将它们报告给NAC解决方案,这样NAC才可以决定它们将在网络中获得哪种访问级别。

  详细目录系统绝对必须能够确定一个真正的未管理设备和一个看似为未管理设备的已管理设备之间的不同。比如,如果用户知道NAC授权打印机访问网络,那么一个不择手段的用户可能尝试通过伪装为网络上的打印机绕过NAC策略。例如,该用户可能通过克隆一个已知的打印机MAC地址来伪装成为一个打印机。一个好的网络清单系统具备监控主机行为和将其分辨为笔记本电脑而非打印机的功能,这意味着只有用户具备正确的身份认证,设备才可以连接到网络上,这样就断绝了用户绕过NAC策略的风险或跳过重要的身份认证和设备分类的步骤。

作者

Wiley
Wiley

翻译

曾少宁
曾少宁

TechTarget中国特约技术编辑,某高校计算机科学专业教师和网络实验室负责人,曾任职某网络国际厂商,关注数据中心、开发运维、数据库及软件开发技术。有多本关于思科数据中心和虚拟化技术的译著,如《思科绿色数据中心建设与管理》和《基于IP的能源管理》等。

相关推荐

  • 如何找到所需的网络安全工具?

    Conference & expo大会上展示了各种各样的安全产品,所以我们很想知道如何用有限的预算选购合适的产品来解决所有问题。但事实是,你可能已经有很多你需要的网络安全工具了。

  • 对于BYOD访问控制 企业可以采用下一代NAC技术

    随着设备的数量和用户类型的增长对网络产生的冲击,NAC安全成为企业必备的一项技术。有专家表示,NAC正要卷土重来。

  • 网络访问控制(NAC)的新角色

    之前因为出现了部署失败和安全策略过份严格等问题,网络访问控制(NAC)名声不好。现在NAC不再只是访问控制;而是提供终端可见性和感知环境的安全性。

  • 物联网将开始发挥大作用(一)

    物联网系统首先将进入许多工业部门。在很多时候,业务干系人将推动物联网系统的部署,并且会更加直接地参与技术决策过程。