上个月,网络世界足球竞猜app软件报道思科全面失去市场份额。与此同时,本周早些时候,网络安全供应商Enterasys发布了一份新闻稿揭示了其NAC销售收入增长了317%与2008年同期连续一个季度相比,2009年有所下降。这一增长速度与许多安全行业分析师和专家的看法相矛盾,他们认为,NAC永远无法与企业用户取得进展,因为它复杂、昂贵,而且需要太多的前期投资。当然,我觉得这是一个获得a的好时机“感觉”为为什么Enterasys NAC解决方案做得这么好。有趣的是,凯创安全专家丹尼斯·博厄斯认为,最终用户可以做投资于NAC - 如果产品是合适人选。因此,在下面的Q&A环节,博阿斯分享了他对企业网络中最流行的威胁洞察,客户验证的最好的网络访问控制(NAC),关于NAC的财务和管理方面的企业的关注,为什么实践Enterasys NAC解决方案在如此高的需求。博阿斯也导致教育会议在Gartner安全峰会本周。1.正如下面视频中令人担忧的描述,黑帽攻击思科网络接纳控制(NAC),破坏了安装在终端系统上的Cisco代理程序。丹尼斯,你对这个视频和思科NAC的设计缺陷有什么要说的吗?
| 丹尼斯·博厄斯: | 安全机制,是用来验证凯创代理的完整性和真实性,所有服务器/代理通信。此外,与Enterasys南汽,可以从评估服务器动态地下载终端系统代理—并且只有在成功地验证了终端系统之后。Enterasys NAC的另一个选择是基于网络扫描的无代理评估,这消除了代理妥协类型的攻击。还要注意的是,Enterasys使用超过终端系统健康评估的多个标准来分配和限制授予终端系统的访问权限,包括设备类型、身份验证方法、身份验证角色、终端系统的位置(交换机、端口、SSID)和时间。对这类攻击有顾虑的客户有强大的、安全的和灵活的选项Enterasys南汽。 |
| 丹尼斯·博厄斯: | 防火墙和AV很不错,他们是解决方案的一部分,但它们不是一个完整的解决方案。防火墙和唯一的DMZ保护您免受外部威胁。您的AV和你的防火墙不给你,你需要控制你的网络是安全的知名度。AV和防火墙不会告诉你什么,谁是连接到您的网络,他们来自哪里连接,以及他们的状况是否符合安全策略的要求。NAC填补这些空白。 |
3.我为什么要担心人们从我的防火墙内连接到网络?
| 丹尼斯·博厄斯: | 今天真正的战斗是在网络访问层。这里的威胁来自于防火墙后连接的系统。请记住,来自网络用户的威胁并不总是恶意的。用户经常无意中引入威胁,例如受感染的跳转驱动器、媒体卡或笔记本电脑。目前的统计数据支持这一点。波耐蒙研究所(Ponemon Institute)报告称,在他们今年的数据泄露研究中,超过88%的案例涉及内部疏忽。只要想想每天连接到企业网络的非雇员——客人、承包商——的数量和种类就知道了。企业必须解决双重挑战,即使其客户和承包商能够在完成工作所需的网络访问中保持生产力,同时保护网络免受用户可能无意中引入的威胁。 |
下图展示了Enterasys的安全网络功能及其与Enterasys南汽解决方案:4.企业如何处理关于防火墙内连接者的大量信息?
| 丹尼斯·博厄斯: | 您需要这些信息来授予的网络访问适当的水平。要授予的网络访问权限基于系统的连接类型的水平。例如,对于IP电话接入是从员工桌面不同。你还必须要考虑到用户的系统的健康,每个员工在组织中的角色 - 他需要访问什么资源;员工的位置 - 他从(安全,不安全,无线),时间连接 - 工作时间还是在半夜?例如,如果一个人连认证为CEO,而是试图从停车场的无线连接访问网络,我们真的想给他接触到持卡人信息环境? |
根据肠内检查,评估,或健康检查,可以分为两种方法:缺少代理:基于网络 - 网络扫描仪远程扫描端系统(在网络上)。基于小程序 - Java小程序来启动评估职能的终端系统上(基于Web浏览器)。基于主体:瘦代理——临时代理(可以使用各种特定于供应商的技术在终端系统上装载和卸载)。Fat Agent—在终端系统上建立的一套带有防火墙和主机入侵检测的持久评估软件。在评估期间,将检查终端系统的遵从性和/或漏洞。这还包括测试终端系统嵌入式防火墙和其他应用程序的漏洞。5.我读到过一些企业因负面报道而损害企业形象,这些报道披露了它们丢失的客户信息。因此,考虑到这些负面新闻的存在,NAC作为一种安全工具是如何发挥作用的呢?例如,它如何防止认证为CEO的用户从停车场通过无线访问网站?
| 丹尼斯·博厄斯: | 主要零售商最近公布的数据违反造成黑客访问网络/无线从停车场。正确部署NAC会阻止这个通过执行访问策略说用户在无线来自停车场不获得敏感数据。顺便说一下,PCI标准说通过无线进入的用户不应该被允许访问持卡人数据环境。 |
根据Enterasys,基于政策的网络和NAC使在网络中的交换机的端口动态防火墙功能的权利。策略定义了什么是允许和不允许网络,什么优先级的设备,用户或应用程序可以在网络上的,又有多少带宽每个被允许使用。随着政策你有不同的系统和服务区分的能力,也没有必要与VLAN的分离。除了授权,流量可以通过多种特性进行分类,并且可以分别处理:典型的政策的例子:
|
DHCP的用户端口是不允许的。 |
|
|
Skype或P2P等应用程序可能会受到限制。 |
|
|
SIP流量标记有正确的服务质量信息。 |
|
|
可以在客户端不注意的情况下将单个流推送到其他vlan。 |
|
|
遗留协议,如IPX或不寻常的流量直接在交换机端口检测。 |
|
|
始终允许对隔离/补救服务器进行HTTP访问,并且只有在成功评估之后才能进行进一步的访问。 |
6.保护网络免受内部威胁的最佳做法是什么?
| 丹尼斯·博厄斯: | 安全网络意味着只有正确的用户才能在正确的时间、正确的地点访问正确的信息。最佳实践包括几个关键组件:身份验证和授权;端点安全评估或基线化;执行、持续监察及管理。首先,必须检测连接端系统。重要的是要记住,这可能是笔记本电脑、移动设备或任何其他连接设备(如IP电话或打印机)上的用户。然后,为每个连接装置有一个持续的过程:用户和设备验证,设备的健康评估,用户/端系统允许访问、拒绝访问或隔离的基础上系统的健康和企业的政策,也和用户/终端监控继续遵守安全政策。策略实施机制嵌入到网络或在线设备中。 |
根据Enterasys公司的说法,它是NAC包括带内和带外NAC技术集成到单一内聚解决方案的组合。这种灵活的解决方案允许NAC流量强制直接在智能基础设施设备的访问边缘进行,并在分布/聚集层的访问边缘附近进行,用于网络中功能较弱或非托管交换机的区域:7. O.K.过程听上去的一种逻辑,但一般的企业网络带来了许多移动部件,通常由不同的供应商,你不得不承认大多数管理员不将采取与他们的网络的可用性产生任何额外的风险。因此,鉴于这种严峻的现实,一个企业是如何在赫克要克服这些障碍的NAC的购买和实施?
| 丹尼斯·博厄斯: | 对于NAC或任何其他部署,有许多关键的网络基础设施组件必须无缝集成并协同工作。拥有成功的NAC部署的企业可以通过两种方式应对挑战:首先选择一个完整的、基于802.1X、RFC 3580、RFC 3576等网络标准的开放的NAC解决方案,然后分阶段进行部署。一个基于广泛使用的网络标准的开放的NAC解决方案将在任何网络中工作,无论技术或供应商。最好的NAC产品提供了完整的解决方案,但其功能可以分阶段有效部署,以降低风险。 |
下图说明了Enterasys的NAC网关和其他网关是如何工作的Enterasys南汽组件提供了与第三方网络的网络接入控制开关的支持RFC 3580:8.什么样的分阶段的方法来安装NAC你看到企业成功地使用?
| 丹尼斯·博厄斯: | 我们已经看到企业识别它们的NAC部署阶段,以解决特定的业务问题。这些企业成功地获得了NAC的更多保护,并认识到即时的业务价值。例如,我们看到一些客户从简单的检测和定位开始,然后添加其他功能,例如评估和自动修复。我们将看到一个初始的NAC部署,用于检测终端系统何时连接并通过网络跟踪终端系统。这一部署级别解决了许多审计和遵从性需求。其他客户希望首先关注客户访问。 |
按照Enterasys的说法,一个架构良好的解决方案应该集成高度先进的、支持策略的网络基础设施,以及先进的安全应用程序和集中管理,以交付连接前和连接后安全网络访问所需的所有功能:
|
|
检测-检测和识别连接到网络的新设备。 |
|
|
进行身份验证- 验证用户和/或设备。 |
|
|
评估- 关于他们的合规性和/或安全漏洞终端系统的评估。 |
|
|
授权-根据认证和评估结果授权使用网络。 |
|
|
监控-监测用户和设备一旦连接到网络。 |
|
|
包含- 检疫问题终端系统和/或用户,以防止他们的整体网络环境造成负面影响。 |
|
|
纠正- 与终端系统和/或用户的问题修复。 |
9.今天我听到很多关于客户访问控制的内容。它是如何工作的?那么那些每天有50个或更多客人的企业呢?例如,我特别想到的是那些每天有数百名学生上课的培训机构。登记和管理访客用户的劳动强度如何?
| 丹尼斯·博厄斯: | 在这种情况下,我们看到了对客户访问控制的需求——培训和会议。此外,公司和政府机构雇佣承包商,在高等教育中,新学生和教学人员经常在校园网络中进进出出。在每一个垂直,我们的客户喜欢我们包括管理客户访问控制的功能Enterasys南汽而无需额外付费。在这个时候,其他厂商将收取溢价。我们认为它应该是NAC计划的一部分 - 它应该很容易使用。企业可以主动管理是否客人,设备,或受信任的用户可以连接到网络上,他们被授权该怎么做,一旦连接 - 全部基于细粒度政策标准,如设备类型,设备运行状况,用户的身份,角色,时间当天,和位置。Enterasys公司的NAC使管理被委托。例如,使用一个简单的web门户,业务人员可以赞助客人和验证他们的客人登记。 |
10.业内分析师质疑NAC的主流企业采用的复杂性和费用。然而,根据你的,Enterasys南汽目前的销售收入比去年增长了三倍。是什么推动了这种增长?