上个月,《网络世界》有个足球雷竞技app报道思科的市场份额全面下降。与此同时,本周早些时候,网络安全供应商Enterasys发布了一份声明新闻稿揭示它的南京汽车销售收入增长了317%2009年与2008年同期相比。这一增长速度与许多安全行业分析师和专家意见相左,他们认为NAC永远不会在企业用户中起步,因为它复杂、昂贵,而且需要太多的前期投资。自然,我觉得这是一个适当的时机来得到一个“感觉”为为什么Enterasys NAC解决方案做得很好。有趣的是,Enterasys安全专家丹尼斯·博阿斯认为,终端用户可以而且确实投资于NAC——如果产品合适的话。因此,在下面的问答环节中,Boas将分享他对企业网络最普遍的威胁、客户证明的网络访问控制(NAC)的最佳实践、企业对NAC的财务和管理方面的担忧,以及为什么Enterasys NAC解决方案需求量很大。博阿斯还在华盛顿大学主持了一个教育会议Gartner安全峰会本周。1.正如下面视频中令人担忧的描述,黑帽攻击思科网络准入控制(NAC),危及安装在终端系统上的思科代理。那么丹尼斯,你对这个视频有什么要说的关于Cisco NAC的设计缺陷黑帽公司的人如此令人担忧的描述?
| 丹尼斯·博厄斯: | 安全机制用于验证所有服务器/代理通信的Enterasys代理的完整性和真实性。此外,与Enterasys南汽时,可以从评估服务器动态下载终端系统代理—并且只有在终端系统成功地通过身份验证之后。Enterasys NAC的另一个选择是基于网络扫描的无代理评估,它可以消除代理折衷型攻击。还请注意,Enterasys使用终端系统运行状况评估之外的多个标准来分配和限制授予终端系统的访问权限,包括设备类型、身份验证方法、身份验证角色、终端系统的位置(交换机、端口、SSID)和时间。担心这些类型的攻击的客户有强大的、安全的和灵活的选项Enterasys南汽。 |
| 丹尼斯·博厄斯: | 防火墙和AV很好,它们是解决方案的一部分,但它们不是一个完整的解决方案。防火墙和dmz只能保护您免受外部威胁。你的AV和你的防火墙不能给你可见性,你需要控制你的网络和安全。AV和防火墙不会告诉你什么和谁正在连接到你的网络,他们从哪里连接,以及他们的状态是否满足你的安全策略要求。NAC填补了这些空白。 |
3.为什么我要担心人们从我的防火墙内连接到网络?
| 丹尼斯·博厄斯: | 今天真正的战斗在网络访问层。这里的威胁来自防火墙后连接的系统。请记住,来自网络用户的威胁并不总是恶意的。用户经常无意中引入威胁,如受感染的跳转驱动器、媒体卡或笔记本电脑。目前的统计数据也证实了这一点。波耐蒙研究所(Ponemon Institute)报告称,在其今年的数据泄露研究中,超过88%的案例涉及内部疏忽。想想每天连接到企业网络的非雇员的数量和种类——客人和承包商。企业必须应对双重挑战,即使其客户和承包商能够高效地进行工作所需的网络访问,同时保护网络免受用户可能无意中引入的威胁。 |
下图表示了Enterasys的安全网络能力及其与安全网络的关系Enterasys南汽解决方案:4.企业可以如何处理关于谁在防火墙内连接的大量信息呢?
| 丹尼斯·博厄斯: | 您需要此信息来授予适当的网络访问级别。您希望根据系统连接的类型授予网络访问级别。例如,IP电话的访问与员工桌面的访问是不同的。你还必须考虑用户系统的运行状况,每个员工在组织中的角色——他需要访问哪些资源;员工的位置——他连接的地方(安全的,不安全的,无线的),工作时间——工作时间还是午夜?例如,即使某人身份验证为CEO,但试图从停车场通过无线连接访问网络,我们真的想让他访问持卡人数据环境吗? |
根据Enterasys,评估或健康检查可分为两种方法:缺少代理:基于网络的——网络扫描器远程扫描终端系统(通过网络)。基于小程序——java小程序用于在终端系统(基于web浏览器)上启动评估功能。基于主体:瘦代理——一个临时代理(可以使用各种特定于供应商的技术在终端系统上进行加载和卸载)。一个持久的评估软件套件,防火墙和主机入侵检测建立在终端系统。在评估期间,要检查终端系统的合规性和/或漏洞。这还包括测试终端系统内嵌防火墙和其他应用程序的漏洞。5.我读到过一些关于企业损害其企业形象的负面新闻,这些新闻披露了他们已经丢失了客户信息。既然存在这样的负面新闻,那么NAC作为一种安全工具是如何工作的呢?例如,它是如何防止通过无线网络从停车场访问认证为CEO的用户的呢?
| 丹尼斯·博厄斯: | 主要零售商最近公布的数据违反造成黑客访问网络/无线从停车场。正确部署NAC会阻止这个通过执行访问策略说用户在无线来自停车场不获得敏感数据。顺便说一下,PCI标准说通过无线接入的用户不应该被允许访问持卡人数据环境。 |
根据Enterasys,基于政策的网络和南汽在网络中的交换机端口上启用动态防火墙功能。策略定义了网络上允许和不允许的内容,设备、用户或应用程序在网络上的优先级,以及各自允许使用多少带宽。通过策略,您可以区分不同的系统和服务,不需要使用vlan进行分离。除了授权之外,流量可以通过许多特征进行分类,并可以单独处理:典型的政策的例子:
|
用户端口的DHCP是不允许的。 |
|
|
像Skype或P2P这样的应用程序可能会受到限制。 |
|
|
SIP通信被标记为正确的服务质量信息。 |
|
|
可以在客户机不注意的情况下将单个流推到其他vlan。 |
|
|
像IPX这样的遗留协议或不寻常的流量可以在交换机端口直接检测到。 |
|
|
始终允许对隔离/补救服务器进行HTTP访问,只有在成功评估后才允许进一步访问。 |
6.保护网络免受内部威胁的最佳做法是什么?
| 丹尼斯·博厄斯: | 安全网络意味着只有正确的用户才能在正确的时间、正确的地点访问正确的信息。最佳实践包括几个关键组件:身份验证和授权;端点安全评估或基线;执行、持续监察和管理。首先,必须检测连接端系统。重要的是要记住,这可能是笔记本电脑、移动设备或任何其他连接设备(如IP电话或打印机)上的用户。然后,为每个连接装置有一个持续的过程:用户和设备验证,设备的健康评估,用户/端系统允许访问、拒绝访问或隔离的基础上系统的健康和企业的政策,也和用户/终端监控继续遵守安全政策。策略实施机制嵌入到网络或内联设备中。 |
根据Enterasys的说法,这是南汽将带内和带外NAC技术集成到一个单一的内聚解决方案中。这种灵活的解决方案允许NAC流量强制执行直接发生在智能基础设施设备的接入边缘,以及接近接入边缘的分布/聚合层的网络区域的能力较差或未管理交换机:7.这个过程听起来有点合乎逻辑,但是一般的企业网络都有很多可移动的部分,通常来自不同的供应商,而且你不得不承认,大多数管理员不打算在网络可用性方面承担任何额外的风险。鉴于这一严峻的现实,企业如何才能克服购买和实施NAC的障碍呢?
| 丹尼斯·博厄斯: | 对于NAC或任何其他部署,有许多关键的网络基础设施组件必须无缝集成并协同工作。成功部署NAC的企业通过两种方式应对挑战:首先,基于802.1X、RFC 3580、RFC 3576等网络标准,选择一个完整的、开放的NAC解决方案;然后,分阶段部署。一个基于广泛使用的网络标准的开放的NAC解决方案将在任何网络中工作,无论技术或供应商。最好的NAC产品提供一个完整的解决方案,但功能可以有效地部署在阶段,以减轻风险。 |
下面的图说明了如何Enterasys的NAC网关和其他Enterasys南汽组件提供网络访问控制与第三方交换机,支持RFC 3580:8.你看到企业成功地采用了哪些分阶段的NAC安装方法?
| 丹尼斯·博厄斯: | 我们已经看到企业确定其NAC部署的阶段来解决特定的业务问题。这些企业成功地获得了越来越多的NAC保护,并认识到即时的商业价值。例如,我们看到一些客户从简单的检测和定位开始,然后添加其他功能,如评估和自动补救。我们将看到一个初始NAC部署,用于检测端系统何时连接并通过网络跟踪端系统。这种级别的部署解决了许多审计和遵从性需求。其他客户希望首先关注客户访问。 |
根据Enterasys的说法,一个架构良好的解决方案应该集成高度先进的、可策略的网络基础设施,以及先进的安全应用程序和集中管理,以交付所有所需的功能,为连接前和连接后的安全网络访问:
|
|
检测-检测和识别连接到网络的新设备。 |
|
|
进行身份验证-认证用户和/或设备。 |
|
|
评估-评估终端系统的符合性和/或脆弱性。 |
|
|
授权-根据授权使用网络的结果进行认证和评估。 |
|
|
监控-监控用户和设备,一旦他们连接到网络。 |
|
|
包含-隔离问题终端系统和/或用户,防止它们对整个网络环境造成负面影响。 |
|
|
纠正-修复终端系统和/或用户的问题。 |
9.我今天听说了很多关于访客访问控制的事情。它是如何工作的?那么那些每天接待客人超过50人的企业呢?例如,我特别考虑那些每天有数百名学生上课的培训机构。注册和管理访客用户的劳动强度如何?
| 丹尼斯·博厄斯: | 我们在这个场景中看到了对客户访问控制的需求——培训和会议。还有雇佣承包商的公司和政府机构,以及在高等教育中,新学生和教师不断进出校园网络。在每一个垂直,我们的客户喜欢我们包括管理客户访问控制的功能Enterasys南汽不收取任何额外费用。其他供应商会为此收取额外费用。我们认为它应该是NAC包的一部分,而且它应该易于使用。企业可以主动管理客户、设备或受信任用户是否可以连接到网络,以及连接后他们被授权做什么——所有这些都基于细粒度策略标准,如设备类型、设备运行状况、用户标识、角色、时间和位置。Enterasys NAC允许管理被委派。例如,使用一个简单的web门户,业务人员可以赞助来宾并验证其来宾注册。 |
10.行业分析师对南汽的复杂性和主流企业采用的成本提出了质疑。但根据你的说法,Enterasys南汽该公司目前的销售收入较去年同期增长了三倍。是什么推动了这种增长?