随着越来越多未经管理的、启用Wi-Fi的智能手机连接到企业网络,网络管理员应该使用无线网络访问控制(NAC)来监控接入网络设备以及保证这些设备的安全。 “最近我在与一个医院相关人员交流时了解到他们的网络上有很多智能手机接入,但他们并不是很确定,”Infonetics Research的主任分析师Jeff Wilson说道。“他们认为他们共有大约8,000台设备接入网络,但当他们访问ForeScout的一个网络访问控制设备时,他们发现了12,000台设备。其中大多数他们之前没有计算到的是各种智能手机。
” 当网络管理员知道他们网络上的设备时,他们需要了解2个主要分类的智能手机使用情况:IT……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
随着越来越多未经管理的、启用Wi-Fi的智能手机连接到企业网络,网络管理员应该使用无线网络访问控制(NAC)来监控接入网络设备以及保证这些设备的安全。
“最近我在与一个医院相关人员交流时了解到他们的网络上有很多智能手机接入,但他们并不是很确定,”Infonetics Research的主任分析师Jeff Wilson说道。“他们认为他们共有大约8,000台设备接入网络,但当他们访问ForeScout的一个网络访问控制设备时,他们发现了12,000台设备。其中大多数他们之前没有计算到的是各种智能手机。”
当网络管理员知道他们网络上的设备时,他们需要了解2个主要分类的智能手机使用情况:IT能够访问的属于公司资产的设备,以及员工自己拥有的、用来访问电子邮件和企业敏感信息的设备。
“你必须了解的是,现实中哪些是我知道且能控制的设备,哪些是我不知道且不能够控制的设备,”Wilson说道。“然后你可以对你知道的设备制定一个安全策略,而对于不知道的设备则制定另一个安全策略。或者是阻止对这些设备的所有访问,或者是允许访问但需要采取方法进行限制或[访问]控制,这个决定权在你。”
对于网络上受管理的智能手机的控制是一个关系到与IT组织中的移动设备管理员合作的问题。未受管理的设备则是一个更大的挑战,Wilson说到,“因为你不能够物理上连接它们。”
企业可以使用NAC,它不仅能够发现连接到网络上的设备类型,也能发现客户端上运行的(如果有)软件和安全性设置,他说。这些信息能够帮助网络管理员确定应该对未受管理的智能手机实现哪些种类的安全性策略。
Bill Perry是位于England Taunton的Richard Huish College的IT服务经理,他最近安装了一个ForeScout的NAC产品,专门用于查看接入到网络的iPhone和USB设备的数量。
“[教授们]通过网络进行授课的课程很多,”Perry说道。“如果网络出现问题,他们就无法上课。我认为iPhone可能会访问网络,并会带来一些可能影响网络运行的东西。”
Perry的ForeScout设备目前是处于监控模式,它负责监控网络状况。这个月他将开始实现一些规则和策略来控制访问他的Cisco无线LAN和有线网络的设备。
无线网络访问控制:监控设备行为
在得到网络上的智能手机详细列表后,网络管理员需要了解这些设备正在做什么。
“一个重要的方面是了解它们在网络上是怎么使用的,”Wilson说。“当这些设备连接后用户会做什么?可能会出现什么类型的威胁?这就是使用某种NAC或应用控制或应用发现产品能够帮助你的地方。”
“其次,考虑一下其余问题的数据,”他说。“我们有相应的策略应对某人电话丢失的意外事件吗?我们应该如如何决定我们是否在IT方面考虑了设备丢失的事件?我们如何在无法访问这些设备的前提下保护我们的网络?”
对于未受管理的智能手机视而不见是有风险的。“我们还没有遇到许多专门针对移动设备的攻击,但是我相信这些攻击迟早会出现。并且,特别专注于智能手机安全性的公司[正在这样做],因为他们知道如果设备丢失或被盗,一定会有他们需要担心的敏感数据。”
编外无线NAC解决方案
并不是每一个NAC方案都将提供对未受管理的智能手机相同的控制和可见性,Wilson说。例如,来自诸如McAfee和Symantec等终端保护供应商的NAC产品也许并不足够好,因为他们依赖的是一些智能手机可能不会安装的客户端软件。Microsoft NAP可能在管理Windows Mobile智能手机上做得很好,但对于其它的智能手机平台可能就不适用了。只跟踪支持802.1x设备的NAC产品将不能识别没有这些软件的设备,特别是智能手机。
“所以你需要寻找不局限于802.1x的编外方案,同时还需要使用其它方法,如捕捉MAC地址和机器ID,”Wilson说。
智能手机安全性之外
NAC也能帮助Perry处理网络中其它与受管理和未受管理的笔记本电脑相关的问题。例如,他检测到一组未受管理的PC在扫描他的网络,特别是密码扫描,所以他尝试用ForeScout跟踪这些机器。他不认为是某些人在尝试攻击网络,但是当他找到这个机器时他会知道更多的信息。
这个技术也能帮助他查找一台学校拥有而已经丢失的外借笔记本电脑。
“我们检查了记录,并且看到它最后一次出现在网络的时间、使用它的人和它访问的端口号,”Perry说。“所以你可以跟踪它,然后找到它。这个财务部门过去一直使用的笔记本,接下来的命运是被锁在一个壁橱中一个半月。”
翻译
TechTarget中国特约技术编辑,某高校计算机科学专业教师和网络实验室负责人,曾任职某网络国际厂商,关注数据中心、开发运维、数据库及软件开发技术。有多本关于思科数据中心和虚拟化技术的译著,如《思科绿色数据中心建设与管理》和《基于IP的能源管理》等。
相关推荐
-
对于BYOD访问控制 企业可以采用下一代NAC技术
随着设备的数量和用户类型的增长对网络产生的冲击,NAC安全成为企业必备的一项技术。有专家表示,NAC正要卷土重来。
-
网络访问控制(NAC)的新角色
之前因为出现了部署失败和安全策略过份严格等问题,网络访问控制(NAC)名声不好。现在NAC不再只是访问控制;而是提供终端可见性和感知环境的安全性。
-
2013园区网络展望:有线与无线LAN最终将统一
园区网络已经停滞数年,但是2013年可能会出现一些转机。无线LAN供应商今年将会加快802.11ac网络的发展,同时行业也会出现一些架构变化……
-
无线LAN需要哪些改变?
在很多企业中,无线网络将成为主要接入网络,而不是有线网络。但无线LAN是否已经做好准备来承担这个“重担”?