计划部署网络访问控制的网络执行人员应该从非常具体的目标开始,而不是复杂的计划,以隔离和修复不安全的设备,关闭行为不良的机器,并记录每个设备试图在网络上建立的每个连接。
例如,马里兰州银泉市(Silver Springs)的埃里克森退休社区(Erickson Retirement Communities)希望NAC有意阻止恶意用户接入网络。“如果你不能成功地认证,你将会在一些肮脏的[虚拟局域网该公司的首席技术官斯科特·埃里克森(Scott Erickson)说,他负责监管公司的14个园区。他说:“我希望承包商能够进出(流量),如果这里有审计人员,他们就可以利用他们的VPN这正是我在NAC所追求的。”
但埃里克森很难实现这一目标,原因有二。第一,他一直在努力实施这项技术,同时密切关注自己的预算。第二,他需要的所有元素都还没有准备好供应商他的工作是谈论他们,就好像他们是。
这种困境源于NAC的许多定义。最初,NAC定义思科是对2003年摧毁网络的布拉斯特蠕虫病毒的回应。目的是检查端点是否有适当的补丁和更新安全在他们获得网络接入之前。
此后,有用的补充如内部入侵检测/预防在定义中添加了齿轮。这项技术的声名鹊起,根据扩大后的定义,NAC被分为两部分:入学前和入学后。
Erickson感兴趣的是将用户和机器与策略绑定在一起的预许可控制。他希望机器能识别出自己是否由该公司发行,然后让用户识别自己,并使用两种身份检查的组合来确定他们获得的访问权限(如果有)。“现在,如果是两者的结合,我将把你放入一个完整的、可访问的VLAN中,”他说。
埃里克森认为他已经具备了所需的所有要素。他的Cisco交换机经过了软件升级,以处理802.1x端口级策略执行,他的Cisco Access Control Server (ACS) RADIUS服务器与Active Directory可互操作。
大量的第二十二条军规
但它并不像他想象的那么简单。对于思科交换机来强制使用802.1x端口认证来执行策略,每台计算机正在筛选为802.1x的请求者客户端软件,而思科在去年埃克森准备好的情况下没有任何准备好。
他希望微软会提出一种能与思科交换机兼容的Windows XP系统,但它没有。因此,他的第一个想法是,在三个大约100台电脑的站点上,使用微软Vista和它的802.1x请求程序,试运行思科网络访问控制系统。“我有三个网站,每个网站都有大约100台电脑,我刚刚打开,我打算把它们全部换掉。这些将是我的试点网站,”埃里克森说。至少这是最初的计划。
现在,他考虑了一个更昂贵的替代品 - 在每个站点上安装思科网络访问控制设备。他说,他有这么多的遗址,成本高。但他可能被迫进入额外的成本,以避免长时间等待,而虫子是在Vista工作的。
埃里克森的经验指出,NAC可能存在缺陷。Yankee Group的分析师Zeus Kerravala表示:“南汽有很多零部件,供应商的数量让它变得困难。”
但Kerravala指出,埃里克森在他的部署中做了很多正确的事情,比如检查现有政策是否存储目录可以适合客户正在考虑的NAC方案。他说,如果一家公司正在使用Active Directory,他们应该能够在思科网络访问控制实现中利用它,而不是购买思科的Clean Access Server。
此外,企业应该首先将NAC部署到不同网站上的一小群精通技术的用户,就像Erickson计划做的那样。Kerravala说:“从他们身上吸取教训,然后在此基础上扩大推广。”
Kerravala建议从一个设备开始,即使目标是在网络基础设施中嵌入NAC。他说:“网络升级是昂贵的,而一台设备可以让你在承诺升级之前对技术进行测试。”
无客户机、设备方法
位于德克萨斯州奥斯汀的仪器供应商国家仪器公司(National Instruments)的IT基础设施主管布雷特·柴尔德里斯(Brett Childress)说,他从一开始就想要一台NAC设备。两年前,当他开始寻找时,他的网络供应商Cisco没有可行的NAC设备,他想避免任何需要客户端软件的NAC方案。
他还对入学后的NAC感兴趣,以防止恶意软件通过病毒筛选。他从有限的选择中选择了Mirage Networks的设备,主要是因为它不需要客户端软件。Childress说道:“我们只是不想让另一款软件在我们需要不断更新的机器上传播开来,这会让我们担心多平台支持的问题。美国国家仪器公司的台式机运行多种口味窗户,Linux和麦金塔。
切尔德里斯说,该公司没有使用正式的预许可NAC产品,而是依靠频繁的操作系统补丁和反病毒签名更新来保护网络免受受感染机器的攻击。“有了集中式防病毒的分层防御,补丁管理通过短信和幻影的顶部,我们感到相当舒服,“他说。
但如果该公司扩大其远程访问项目,将不由国家仪器公司维护的员工拥有的机器也包括在内,这种情况可能会改变。切尔德里斯说,他必须对预准入NAC的成本和收益进行比较,因为它告诉连接机器的防御状态,而不是它们是否真的被感染了。
“我正在检查他们是否安装了防病毒软件,并打开了一个过期不超过一周的DAT文件,他们是否有微软最新的关键更新,”切尔德里斯说。“事实是,你没有检查所有可能安装在那台机器上的其他未知恶意软件。”
公司的哲学是允许员工不受限制地访问资源和互联网,只要该行为不会危及网络。“我们倾向于害羞地远离超严格,前期的安全政策,”他说,并使用海市蜃楼抵御自由可能启用的攻击。“我们希望提供足够的安全网来保护公司的生产力。我们永远不会想要一个用户的行动来取下一天的部门。”
预售票的价格
总部位于纽约的广告和营销公司奥姆尼康集团(Omnicom Group)采用了ForeScout的“抵消”(中和)设备,该设备可以在入学前进行NAC。公司的首席信息官肯尼斯•科里沃(Kenneth Corriveau)说,公司之所以需要这种能力,是因为有很多员工出差在外,连续几周不上网使用笔记本电脑,回来时却带着笔记本电脑没有更新和打补丁,可能还感染了病毒。
自从大约一年前安装了“对抗”之后,该公司确保网络上的系统都打了补丁,并具有当前的病毒定义。Corriveau说,根据他们的身份,他们被拒绝访问或分配到特定的vlan。预准入NAC还检查用户是否提交了时间表,并拒绝访问,直到他们提交完成。
总的来说,重要的是要谨慎行事,Kerravala说,以避免意外的中断。典型的例子是:在CEO的笔记本电脑连接到网络之前,强制其更新病毒定义。这些烦恼值得网络通过更新获得的边际保护吗?他说:“要小心你的部署。“你输入的内容不能禁止工作流程。”
这就是为什么它从顶部获得支持NAC的关键。特别是,业务范围的管理人员应该成为设定政策的一部分,这些政策将建立在每个人的成本和NAC造成的延误中被认为是值得的,凯拉瓦拉说。
科里沃说,他征求了一些商业团体的意见,建议哪些政策适合他们的单位,但建议任何到位的政策都要首先进行测试,以防止不可预见的影响。例如,他使用ForeScout工具的初始策略包含了对SQL的管理访问数据库作为恶意流量,然后被它阻止了。他说,调整政策可以纠正这个问题。
尽管在现实世界中有一些缺点,但NAC已经吸引了如此多的关注,以至于它已经扎实地进入了长期的企业网络规划。据哈特-汉克斯-阿伯丁集团(Harte-Hanks Aberdeen Group)称,最近接受调查的IT决策者中,有44%计划今年实施某种形式的NAC。
去年秋天,TheInfoPro的另一项调查显示,有可能实施或发展NAC计划的比例为37%,低于去年早些时候的54%,但这仍然是一个很大的数字。下降可能是受微软Vista客户端延迟发布的影响,这对许多NAC部署至关重要。
这些结果表明,有限的、可控的NAC部署是可行的。
返回主NAC指南页
了解更多关于这个主题的信息
ConSentry胜过Nevis12/4/07NAC合规性能测试12/4/07调查:NAC反弹增加12/05/06
Insightix为NAC设备添加了入学后检查11/29/06
NAC竞争:思科的网络控制04/03/06