网络访问控制认证:准备好802.1X了吗?

在我们测试的NAC产品中，认证从非常强到非常弱，以及中间的每个点。在开始评估NAC产品时，尽早决定需要哪种身份验证机制(如果有的话)。

在我们测试的网络访问控制产品中，认证从非常强到非常弱，以及中间的每个点。在开始评估NAC产品时，尽早决定需要哪种身份验证机制(如果有的话)。

802.1 x是什么?

在某些情况下，如McAfee NAC、ForeScout中和和Trustwave NAC，身份验证并不是产品理念的一部分，重点是在其他一些领域，通常是端点安全控制。

例如，Trustwave NAC包括一个运行在Windows Active Directory服务器上的代理，它可以向Trustwave NAC设备发送用户登录/注销信息。这允许一个特定的设备与一个用户关联，假设该设备是一个连接到正确域的Windows客户工作站，并且用户登录到该设备。

但这一点身份验证信息只是Trustwave NAC收集的关于网络上每个设备的众多信息之一。身份验证检测完全是被动的，而不是让用户进入网络的固定工作流程的一部分。

如果您关心用户的身份验证，请注意这类产品，因为它们检测身份验证信息的机制可能不可靠，这是由于它们试图嗅探的协议的性质。捕获802.1X和Kerberos登录听起来很优雅，但您不一定能从网络上看到的内容中获得所需的所有信息。这就是为什么Trustwave的技术人员在我们的Windows服务器上安装了他们的软件代理-他们担心不久的一天微软将开始加密登录时的通信和认证信息将不可用。

当我们使用这些产品时，我们发现了它们的其他问题。例如，我们使用802.1X设置McAfee NAC，发现它在802.1X交易中使用了不正确的信息来检测用户身份。这是一种只存在于大多数部署产品的组织都不关注身份验证的产品中的缺陷。

如果您确实关心身份验证，您将发现其余的产品分为两大类:一类是鼓励您在有线交换机和无线网络上使用802.1X的产品，另一类是避免使用或绕过它的产品。

虽然802.1X被认为是进行NAC认证的最安全的方式，但伴随802.1X的恐惧因素是如此之大，以至于在我们的测试中有更多的产品避免使用802.1X，而不是很好地使用它。担心的因素——802.1X在网络端太难管理，在客户端太难配置——只有通过交换机软件和微软Windows的改进才能慢慢克服。

802.1 x类产品(Avenda eTIPS, Enterasys南汽,惠普ProCurve身份驱动经理,Juniper UAC,和在较小程度上,微软小睡和赛门铁克NAC)所有积极参与身份验证对话框,使用802.1 x的推动访问控制边缘设备,如交换机和无线控制器。

在其他情况下，包括Alcatel-Lucent Safe NAC、Bradford Network Sentry和Cisco NAC Appliance，这些产品都支持802.1X身份验证，但最常见的部署路径使用其他类型的身份验证。例如，在Cisco NAC Appliance中，如果您希望避免用户每次坐在他们的工作站上时都被基于web的专用门户中断，那么您可以在用户工作站上安装一个客户机，它将透明地将身份验证传递给Cisco NAC Appliance。

然而，不要认为您可以轻松地将NAC世界划分为802.1X和非802.1X，或者您应该只使用其中一种。例如，在我们的测试中，当用户通过IP网络(例如，当他们在VPN隧道后面)使用客户端进行身份验证或使用802.1X直接连接到交换机时，Juniper UAC工作得很好。

Bradford Network Sentry、Enterasys NAC和Juniper UAC为不同类型的身份验证场景提供了最多的选项。如果您想要最广泛的身份验证选项，这些选项将在我们的简短列表中。

尽管802.1X身份验证以特别困难著称，但我们并没有发现使用802.1X设置NAC比使用其他协议更困难或更容易。例如，当我们的思科3750交换机升级到某个特定版本时，有一家供应商只会在802.1X模式下使用它，而另一家供应商则推荐另一个版本。

另一方面，当设备的SNMP管理不能正确地控制设备时，我们遇到了多个供应商的问题，一个是Aruba无线控制器，另一个是HP交换机。因此，尽管我们遇到了问题，但在基础设施方面，802.1X问题并不比SNMP问题更糟糕。当然，由于我们专注于Windows 7和Mac OS X，这两个客户端都可以使用802.1X，所以我们在使用802.1X时并没有遇到客户端头痛的问题。

身份验证和NAC的问题不仅仅是决定是否要使用802.1X。在我们的测试中，我们研究了三种可能对许多网络很重要的特殊情况:当着他们的面域设备没有用户(比如domain-connected PC不登录,但应该为远程访问管理和修补),browserless / userless设备(如VoIP电话和打印机),通常需要媒体访问控制(MAC)的身份验证、用户和客户。

在网络上，但未登录

未登录设备的情况很棘手。一般来说，没有经过身份验证的用户的PC应该比有经过身份验证的用户的PC对网络的访问受到更多的限制。不幸的是，您不能直接关闭所有的网络访问，因为设备可能需要联系更新服务器以获取补丁，下载反恶意软件更新，或者由桌面管理团队进行远程管理。

即使没有人登录，补丁更新服务器也可能整晚都在努力推动软件更新。防恶意软件等桌面安全软件通常也会持续更新，即使有人没有登录。这些都需要网络访问。

当一个产品是基于802.1 x,这就变成了一个相当简单的案例来处理,因为微软802.1 x客户机将自动记录设备当用户注销,然后试着re-log在设备上使用微软所说的“机器”认证,基于凭证时创建的设备加入到域。一些产品，如阿尔卡特朗讯安全NAC和McAfee N-450 NAC设备可以在802.1X模式下工作，可以很好地检测这一点，但在其他方式使用时不能。

当我们在802.1X模式下测试Avenda的eTIPS、Enterasys的NAC、HP Identity Driven Manager、Juniper UAC和Microsoft NAP时，它们都能无缝地处理这个问题。例如，我们可以很容易地区分Active Directory中不同组中的设备，并根据它们的AD组给予它们不同的访问权限。

Enterasys甚至包括一个很好的“How-To”文档，介绍如何正确设置配置，以正确区分用户和计算机进行访问控制。在802.1X模式下的赛门铁克NAC就不那么优雅了——部分原因是赛门铁克NAC并没有真正关注身份验证的细节，而只是关注设备是否经过了身份验证。

当我们看到ForeScout中和Trustwave NAC这两种通常不直接认证用户的产品时，我们在区分用户退出时就没那么成功了。例如，当系统从“机器”身份验证切换到“用户”身份验证时，中和检测并非100%成功。

在Trustwave NAC中，您可以检测到系统一旦经过身份验证(例如用户注销)，但是没有简单的方法可以轻松管理两种状态之间的切换。这并不是说你做不到;你只是走出了Trustwave NAC产品的舒适区。Cisco NAC Appliance和Bradford Network Sentry也有类似的问题。

手机和打印机，天哪

NAC部署中的一个常见问题是处理无用户和无浏览器的设备，如打印机和VoIP电话。当然，如果你想避免这个问题，你可以确保这些设备所连接的端口不是你的NAC部署的一部分——但是你有一些端口，人们可以走过去借用一下。这种情况吓坏了一些网络管理人员，但不是所有的，因为这些端口通常被限制在防火墙良好的打印机子网中。在我们的测试中，我们想看看一个常见的困难情况，一个具有边缘交换机端口的网络，终端用户可以像打印机一样轻松地使用它。

一般的解决方案是基于mac的身份验证。当然，MAC地址很容易伪造，因此NAC供应商引入了一系列工具来支持这种极其薄弱的身份验证方法。第一个很简单访问控制-确保打印机只能做打印机应该做的事情，比如在几个众所周知的端口上接收连接，在需要添加纸张时偶尔发送电子邮件。这里的理论是，即使有人偷了打印机的MAC地址，最坏的情况也会受到nac定义的访问控制的限制。

我们发现，在交换机经理的帮助下，除了McAfee N-450，我们测试的所有产品至少在一定程度上都可以使用基于mac的认证。(McAfee告诉我们，他们将在未来的产品中加入这一功能。)通常指向Active Directory服务器的产品，如Microsoft NAP和HP Identity Driven Manager，只在最弱的意义上支持基于MAC的身份验证——你必须开始把MAC地址作为域用户放到你的Active Directory中。但它可以被塞进去。

我们更感兴趣的产品似乎超越了处理MAC认证的基础。Avenda eTIPS、Bradford Network Sentry、Cisco NAC Appliance、Enterasys Network Sentry、Forescout抵消和Trustwave NAC都有某种验证机制，可以帮助确保打印机确实是打印机。

瞻博UAC和赛门铁克NAC没有直接包含这一功能，但它们都集成了一个流行的第三方工具，Great Bay Software的Beacon Endpoint Profiler。实际上，思科NAC Appliance也集成了Beacon，但思科oem Great Bay的产品，并将其构建到NAC Appliance和相关产品，思科NAC Profiler。

我们通过窃取一台打印机的MAC地址来测试所有这些产品，然后在互联网上大声地跺脚，通常表现得不像打印机。无论如何，我们迟早都会被发现。然而，这些验证技术通常需要一些特殊的配置，例如为端点分析器提供一个网络点击。简单地对设备启动一个扫描仪并不能一直工作。例如，在Windows 7开箱即用的情况下，防火墙被锁得非常紧，被动地坐在网络上并不足以让我们被抓住。相反，我们必须在网络上活跃起来——例如，通过DHCP请求IP，这是一个很大的漏洞，因为Windows 7系统的DHCP请求看起来一点也不像惠普打印机的DHCP。

是我的客人

在许多NAC部署中，给予客人一组有限的网络特权，比如只访问互联网，是一个重要组成部分。因为客人是不会运行802.1 x或NAC端,南汽产品通常处理它们使用某种类型的俘虏门户——Web服务器拦截用户的流量他们第一次尝试浏览任何地方,发送一个网页,让他们把自己的网络。

微软的NAP是我们所见过的唯一一个完全不处理客户情况的NAC产品。如果您要将NAC基于Microsoft NAP，那么您必须对交换机进行编程，将来宾用户发送到一个特殊的VLAN，并为他们购买或构建一个来宾访问系统。

我们在惠普和阿尔卡特朗讯的交换机中找到了客户专用门户，它们是NAC解决方案的补充，但不是非常复杂。阿尔卡特朗讯(Alcatel-Lucent)的Safe NAC在客户专用门户网站方面表现尤其弱，因为它们有两个:一种是运行在交换机上但不与它们的端点安全工具集成的简化版本，另一种是使用CyberGatekeeper端点安全基础设施运行的更复杂版本，但不链接回交换机上的身份验证信息。两个脆弱的入口加起来不可能是一个强大的入口。赛门铁克(Symantec)和Trustwave也有一些简单的专属门户，它们在客户管理方面的功能并不好。

另一方面，一些产品，如Bradford Network Sentry, McAfee N-450 NAC Appliance, Enterasys NAC, Forescout抵消，Juniper UAC和Avenda eTIPS，都有非常好的专用门户网站和丰富的客户管理工具。

工具之间肯定有区别，如果访客访问很重要，你应该仔细查看每种产品包含哪些类型的访客、注册和赞助。Juniper UAC满足了最基本的需求，而Forescout中和在不收取更多费用的情况下做得最好，我们测试的其他NAC产品介于两者之间。

如果所有这些身份验证选项看起来都令人困惑，请不要担心。他们是令人困惑的。即使在每个产品上花了一周的时间，我们也发现了许多我们没有时间配置和测试的特殊情况。决定哪一种产品在您的网络中最有效的关键是提前规划。

在某些情况下，产品提供的许多身份验证选项并不能很好地融合在一起。但是，在其他情况下，我们发现在同一产品中使用多个选项(如执行802.1X、基于mac的身份验证、基于客户端的身份验证或基于web的身份验证)相当自然地融合在一起，并为部署提供了很大的灵活性。困难的部分是区分专门用于混淆的产品和具有广泛身份验证选项的产品。

返回主测试。