燃烧的NAC问题 - 第1部分

2的第1部分。网络访问控制仍然有很长的路要走成为网络安全的大多数公司的标准组件之前，但增长的迹象都没有，与供应商的预测，到2010年，销售于NAC实施家电$ 629万据Infonetics。与此同时，对于那些谁是未定是否跳进NAC狂热这里是解答一些重要的NAC的问题。

看到两个部分:我不应该只是等待思科？我应该部署NAC在带内或带外？什么是执行NAC策略的最佳方法是什么？

谁需要NAC呢？

NAC是否有助于符合法规?

我不应该等着微软吗?

谁需要NAC呢？

简单的回答是:在网络上允许机器之前，任何人都希望检查机器是否满足配置运行状况检查;任何人都希望在允许机器之后，如果机器违反了策略，可以限制访问权限。

通过运行状况测试并不意味着机器不受会对网络造成伤害的感染，但它有助于减少机器造成麻烦的机会。

到目前为止，大学和医疗机构已经接受了这方面的NAC比其他企业，因为他们都有大量的用户移动连接、断开连接和重新连接到网络的设备。NAC有助于提供一些保证，这些设备保持了声音安全姿势而断开。

NAC做的主要事情是决定哪些主机被允许连接到网络并留在那里。做出这些决定的标准可能非常不同，从拥有白名单上的媒体访问控制地址，到传递查找一系列参数的运行状况检查。这些可以包括诸如更新等因素杀毒软件运行补丁操作系统的软件，所需的注册表设置和正确配置的个人防火墙举几个例子。

该标准还可以包括设备是否仍处于健康状态，一旦被接纳到网络能否正常行为。

人们希望这种接纳控制能够防止那些可能已经被入侵的机器被恶意软件污染网络和窃取数据。移动设备以及访客和顾问带入网络的设备都是潜在威胁机器的例子。

NAC还可以定期重新运行健康检查，同时设备保持连接到网络，以确保它们不属于合规的。一些NAC设备检查是否在网络上胡作非为主机试图访问的资源为他们未经授权。发现违反设备可以被限制。

该发现任何这些功能非常有用的组织可能并不需要NAC，但NAC可以对他们有用。学院说NAC减少它需要得到学生机进入在学期开始初始遵守时间，并有助于使其保持兼容，因为他们跳和关闭网络。

例如，清理学生的电脑是IT人员唯一的工作西北密西西比社区学院可以得到做了头两周每学年 - 直到去年秋天，当大学安装NAC设备，自动化的进程。Now, with that time freed-up for six full-time IT staffers plus student staff, Mirage Networks NAC equipment has just about paid for itself in one semester, says Chuck Adams, the network administrator at the school’s Senatobia, Miss., main campus.

亚当斯说:“我们想摆脱触控学生电脑的业务。”“我们还没有100%达到目标，但现在已经接近了。”

跳进NAC之前，潜在客户要明确什么样的限制是可取的，什么是健康的主机定义，说马克·赖因，在IT总监医疗中心在巴尔的摩。“你必须确定你要保护的是什么，确定你可能需要建立的不同的[网络]部分，”Rein说。这就转化为NAC设备执行的政策设置。他说:“这个政策涉及到你需要知道什么和你不需要看到什么。”

实际上，企业还没有非常积极地部署NAC, Nemertes Research和a的高级副总裁Andreas Antonopoulos说足球竞猜app软件专栏作家。

他说，对于大多数远程主机来说，能够连接到VPN是NAC唯一的功能，而且几乎没有企业使用访问控制局域网端口，根据他在今年早些时候IT高管的调查。他说，受访者只有14％左右申请端点检查应用程序及操作系统修补程式;存在防火墙、防病毒软件或反间谍软件;usb依附设备;和密码强度。

但是，他说，近60％的人希望他们能在对防火墙，防病毒和反间谍软件工具，最起码的检查。大约有40％还要密码和操作系统检查。不到三分之一要检查应用程序是否被更新，他说。

威尔NAC帮助满足法规遵从？

它可以，但不要被迷惑：NAC本身并不能帮助您满足政府或商业法规。

不过，NAC可以成为一项更广泛计划的组成部分，通过了解谁在何时使用何种网络资源来满足监管要求，监管机构希望了解他们是否在追踪企业数据是否得到了适当保护。Yankee Group的分析师Zeus Kerravala表示:“在NAC解决方案中，审计功能可以让您找出用户访问了哪些文件，因此，如果需要，您可以证明有人正在查看与他或她的工作无关的信息。”

不过，他指出，能够说出是谁访问了数据并不意味着数据受到了保护，不会被未经授权的人看到。他说，其他技术必须处理这个问题。但是NAC可以减少能够接触到关键资源的人数。“NAC可以限制谁可以访问敏感的金融或客户记录，”他说，但NAC不会阻止这类数据离开网络组织。

NAC还通过将用户连接到机器和用于认证的访问方法，在监管领域发挥了有用的作用。这些信息的组合可以帮助调整个人对数据的访问。例如，从lan连接的公司管理的机器进行身份验证的用户可能获得一组广泛的访问权限。通过VPN连接从公司授权的笔记本电脑进行身份验证的同一用户可能会获得一组更受限制的权利。如果用户通过互联网上的非托管计算机访问网络，访问可能会进一步降低。

克里斯·拉巴特 - 西蒙，奥尔巴尼，纽约附近的d＆d咨询，说是NAC在处理他的一个客户，一家能源公司，他不能出于保密原因命名规则是有用的。不利的一面是，NAC被带来后，该公司已通过Zotob蠕虫蠕虫在2005年糟糕的情况下撞倒网络两天已经疲惫不堪。原因：由顾问连接到网络被感染的计算机。停电导致超过100万的违规罚款和关闭的时间为员工谁不能得到没有网络所做的任何工作$，他说。

他说，决定使用NAC来保护网络免受网络上来来往往的移动设备的攻击很简单。要回过头来决定如何完善NAC部署就困难得多了，所以它提供了一层保护，而这层保护不一定与法规的遵从性相关。他说，最好是在部署之前制定出战略。“我们面临的最大障碍是做出决定的时间非常有限。因此，一年后，我们仍在研究如何完成NAC项目，”拉伯特-西蒙在今年早些时候说。

我不应该只是等待微软？

可能不会。

如今那些对NAC有明确需求的企业，在微软准备就绪之前，仍需等待数月。微软的网络访问保护(NAP)政策服务器将在Windows server 2008上交付，计划在明年发布。

即便如此，客户也必须弄清楚如何将微软桌面客户端和Windows Server 2008的NAP端点检查组件与强制基础设施集成起来。微软的NAP方案允许通过VPN网关、启用802.1 x的交换机和DHCP分配来实施，每一个都需要自己的配置。

鉴于所花费的软件来稳定任何新版本的预计时间，它是有道理的潜在客户花显著的时间在他们的环境中部署之前全面测试NAP。

微软一直在努力保持其NAC计划有关与合作思科在中航建筑和可信计算组（TCG）在其推动创建开放标准，任何厂商的NAC可以遵循。今年早些时候，微软发布了其协议NAP代理用来发送数据有关端点的状态从端点到使有关是否和多大程度上接入设备获得决策的NAC策略服务器。

发布协议意味着其他NAC供应商可以使用微软的system health代理——微软Vista客户端的一个标准部分——连同他们自己的策略服务器，只要他们遵守协议。

瞻博网络今年早些时候，Interop曾公开演示过这种兼容性，但并没有将这种兼容性作为NAC架构中最新发布的设备软件的一部分，该架构称为统一访问控制(UAC)。因此，即便是与Microsoft NAP关系密切的盟友也不急于加入。

“NAP在我心中是那么远了长枪，我不是天天想起来了，” Current Analysis公司的分析师安德鲁Braunberg说。他每年都进行一次问卷调查，对NAC的需求，而今年的结果表明，大多数客户不想想的NAP每天无论是。“人们不是在等待NAP感兴趣，”他说。

他的发现是，由于微软延迟发布部署NAP所需的组件，NAP受到了损害。自去年NAC企业需求调查以来，愿意等待微软发布NAP的受访者比例有所下降，而且几乎没有受访者计划在明年初发布NAP时部署。

看到两个部分:我不应该只是等待思科？我应该部署NAC在带内或带外？什么是执行NAC策略的最佳方法是什么？