2.第2部分我们看看重要的第二部分网络访问控制的问题,我们来看看重要的问题周边思科, NAC的实施和NAC政策。回顾第1部分在这里。
真的没有必要再等了,因为这取决于你想从NAC中得到什么,思科可能已经有了。
如果思科还没有提供你想要的产品,也没有必要等待,因为你可以从其他供应商那里得到替代品。
思科拥有NAC设备,可在设备获得网络访问权限之前检查已更新和打开的病毒软件,以及补丁级别是否符合策略。
尽管如此,这款设备还是因为它不能做的事情而受到了一些批评。曼迪•安德里斯(Mandy Andress)在最近的设备评估中表示:“在这个领域,思科仍落后于许多其他供应商,因为除了初始连接之外,思科无法进行评估检查。足球竞猜app软件。
例如,一旦设备被允许进入网络,设备就不会执行定期的重新检查,以确保它们能维护自己的网络安全的姿势。
思科NAC设备确实得到多种实施方法,包括将所述装置放置内嵌流量其中它可以直接限制流量,它具有与802.1X验证或协同工作运行它在哪里它控制接入交换机频段。它也可以实施NAC用于经由SSL或IPSec VPN通过Cisco齿轮附接设备。
还有来自其他供应商是做更多其他的家电,如果思科的设备稍微欠缺一些,这些人可以填补该法案。
思科还具有构建NAC到其网络架构,设计用于大型卷展栏尺度更好的方案。其中一个问题的所有NAC客户面对的就是NAC设备一般不大规模足以容纳大型企业级部署,而不依赖于许多家电Forrester Research的分析师Rob怀特利说。
思科的基于网络的NAC需要一定的开关规格,这可能意味着对某些客户升级。其结果是,一些人持观望态度,直到他们需要升级。
一个问题的客户提供思科NAC看到的是,它不具有可互换的零件两个独立的设计。目前,思科NAC设备和基于网络的NAC框架有单独的客户来评估网络端点的安全状态。
此外,NAC Framework利用思科访问控制服务器(ACS)上,以确定哪些访问策略应用,而NAC设备依靠自身管理服务器,以确定是否终结点都符合规定。
思科有一项名为OneNAC的迁移策略,旨在通过可互换的客户端和一台服务器,简化设备和基于网络的NAC之间的转换。但该计划仍有一些细节有待敲定。
不管它比较优劣,思科的NAC拥有忠实的客户了坚实的基础,根据Current Analysis的最新年度NAC研究。报告说,目前思科NAC设备的客户67%和思科NAC框架的客户68%的人会考虑购买更多思科NAC设备。
另一面是,这些数字意味着大约三分之一的这些客户不会考虑更多的Cisco NAC产品,但调查并没有说明他们的理由。
这两个答案都不是对的。
最终为大型部署,进行带外NAC使用某种形式的边缘执法中,如接入交换机,因为这能更好地伸缩会更实用,怀特利说。在带外NAC需要为部署的增长越来越多的设备。
但是对于较小的网络或有针对性的NAC执行,在线NAC设备也可以起到同样的作用,Joel Snyder说,他是Opus One的高级合伙人,也是网络世界测试联盟的成员。足球竞猜app软件“在带内,我认为更多的是为了偶尔的客人访问——放下一个盒子在你的客人之间,让它处理负载,”Snyder说最近的网络世界足球竞猜app软件在线聊天南汽。
出带外NAC依赖于现有的网络的机制来执行策略,如802.1X验证,ARP和MAC表格和DHCP分配。它得名于一个事实,即NAC设备不会在交通流直接坐 - 通常它挂接在交换机端口 - 没有任何直接的手段来限制交通。
带内NAC包括通信必须通过的设备,通常位于访问层设备和分布层设备之间,尽管有些可以位于网络的分布层和核心层之间。在某些情况下,供应商已经将NAC功能集成到访问交换机中。
有许多人赞成这两种方法。足球竞猜app软件问两个供应商 -最畅销的直列齿轮,一个销售带外- 拿出了自己的立场的最佳理由。
NAC供应商Mirage Networks的CTO Grant Hartine认为,带外部署的优点是能够在不中断网络业务使用的情况下快速部署,没有单点故障,降低造成网络延迟的风险。
他还说,带外的NAC齿轮发现设备时,他们发送ARP包可能被错过的在线设备,取决于他们的位置。
相比之下,在带外NAC提供了交通的更好的控制,并可以监控和之后,如果他们违反使用政策的设备被录取到网络流量限制杰夫王子,NAC厂商ConSentry网络的CTO说。带内部署还支持什么资源用户特定的策略规则,而无需创建大量的虚拟局域网,以解决各一个人可以访问执法,他说。
“Out -of-band is what I like to call ‘edge enforcement," Snyder says. “It scales, it handles the load and it doesn't depend on a single point to do enforcement. [In-line] is really where I think we want to go for big enterprise deployments.
“当然,这并不意味着在带内的人不能处理负荷,但你真的想要目标的边缘加强,如果它适合,并争取在带内,如果它不适合。”
没有什么是完美的,NAC实施包括在内。
有多种方法可供选择,其选择取决于可接受的工作量、成本和破坏程度,以及该方法是否被认为足够安全。
NAC策略可以通过接入交换机、防火墙和VPN网关在网络边缘实施,也可以通过在网络内部使用防火墙以及接入和分配交换机之间的内线设备实施。它们也可以通过操作DHCP IP地址分配和重设设备的ARP表来阻止网络访问来强制执行。
一个执法方法的批判在通过的Insightix的首席技术官一黑帽会议上提出的帮助把这些方法的安全性的观点。
例如,在DHCP的情况下,代理DHCP服务器来执行安全策略不能寻址以某种方式获得静态IP地址的设备,因此不需要处理DHCP服务器。Innsightix的首席技术官Ofir Akin表示,这可以使一些网络的很大一部分免受NAC的强制执行。
在另一个例子中,通过开关依靠802.1X实施NAC策略可以提供紧缩政策控制,但仅适用于通过客户端软件支持802.1x的设备。没有设备 - 比如打印机的手机 - 可能被欺骗,完全绕过NAC和给访问未经授权的机器,那么,可以做伤害。
他说,这番评论是为了提醒潜在的NAC用户,让他们意识到可能存在的漏洞,并采取措施填补存在的空白。Arkin说:“只要用户明白这些解决方案并不完美,并采取其他措施,那么我就做对了。”
使用者应在执行NAC产品的安全方法与所需的金钱和时间之间取得平衡。例如,如果对客户来说最好的方法是802.1X认证,那就需要在每个将要被筛选的设备上都有一个802.1X客户端。用户必须问分发客户机和升级执行策略的交换机是否值得。
谁还需要NAC呢?
威尔NAC帮助满足合规性?
我不应该只是等待微软?
了解有关此主题的更多信息
无线网络:燃烧的问题07年6月11日
SOA的6个迫切的问题07年7月19日
六个燃烧的VoIP问题07/05/07