2的第二部分。在我们的第二部分看重要网络访问控制我们来看看周围的重要问题思科,NAC实施和NAC策略。在这里回顾第1部分。
真的没有必要等待,因为这取决于你想要的NAC什么,思科可能已经拥有了它。
如果思科还没有提供你想要的,还有没有需要等待,因为你可以从其他供应商的选择。
思科NAC设备,可以检查设备他们得到病毒软件的网络访问,这是更新并开启以及是否补丁级别符合政策之前。
这就是说,该设备被一些东西它不能做批评。“思科仍然落后于许多在这个领域,因为不能进行评估检查,超出初始连接的其他厂商,”曼迪·安德丝说,在家电的她最近的一篇综述足球竞猜app软件。
例如,一旦被录取到网络的设备不执行设备的定期复查,以确保他们保持自己的安全姿势。
思科NAC设备确实提供了多种强制方法,包括将设备与流量联机,从而可以直接限制流量,使其与802.1X认证协同工作,或在控制访问开关的带外运行设备。它还可以对通过SSL或IPSec VPN通过思科设备连接的设备执行NAC。
其他供应商的其他设备做得更多,如果思科的设备出现短缺,这些其他设备可以填补这一缺口。
思科也有一个将NAC构建到其网络架构中的计划,这个设计更适合大规模的发布。弗雷斯特研究公司(Forrester Research)的分析师怀特利(Rob Whiteley)说,所有南汽客户面临的一个问题是,在不依赖于多种设备的情况下,南汽的设备总体上规模不够大,无法适应大公司范围的部署。
思科基于网络的NAC要求特定的交换机规格,这可能意味着一些客户需要升级。因此,一些公司在需要升级时才会采取行动。
客户看到的思科NAC的一个问题是,它有两个独立的设计,没有可互换的部件。目前思科的NAC设备及其基于网络的NAC框架有独立的客户端评估网络端点的安全态势。
此外,NAC框架依赖于Cisco的访问控制服务器(ACS)来决定在NAC设备依赖于自己的访问策略时应用哪种访问策略管理服务器来确定端点是否符合。
思科有一个名为OneNAC简化应用和基于网络的NAC可更换客户端和一台服务器之间的过渡迁移策略。但该计划仍然有一些细节需要理顺。
根据Current Analysis的最新年度NAC研究,无论其比较优势如何,思科的NAC都拥有坚实的忠实客户基础。报告称,目前67%的思科NAC家电客户和68%的思科NAC框架客户将考虑购买更多的思科NAC设备。
另一方面,这些数据表明,约三分之一的客户不会考虑更多思科NAC产品,但调查没有说明原因。
这两个答案都不是对的。
Whiteley说,最终对于大型部署来说,带外NAC使用某种形式的边缘强制,如访问交换机,将更加实用,因为它的伸缩性更好。带内NAC需要越来越多的设备,随着推出的增长。
但对于规模较小的网络或者进行有针对性的NAC实施,在线NAC设备可以起到一样好乔尔·斯奈德,在作品的一个资深合伙人兼网络世界测试联盟的成员说。足球竞猜app软件“带我觉得更适用于偶尔的访客访问 - 在你的客人之间的那些箱子降之一,让它处理该负载,”斯奈德在说最近网络世界在足球竞猜app软件线聊天关于NAC。
带外NAC依赖于现有的网络机制来执行策略,如802.1X身份验证、ARP和MAC表以及DHCP分配。它的名字来源于这样一个事实,即NAC设备并不直接位于流量中——通常它挂在交换机端口上——没有任何直接手段来限制流量。
在带外NAC包括装置,其流量必须经过,通常放置接入层设备和分布层设备之间的,尽管一些网络可以分布层和核心层之间坐。在某些情况下,厂商已经将NAC功能,在接入交换机本身。
有利于这两种方法很多争论。足球竞猜app软件两个小贩问。一销售直列齿轮,一个卖出带外——为自己的立场找到最好的理由。
快速部署,而无需中断业务使用网络,不存在单一故障点,并建立网络延迟被列为格兰特Hartine,NAC厂商幻影网络的CTO出带外部署的优势,风险低。
他还表示了带外NAC设备的发现设备时,他们发出可以通过在线设备被遗漏,这取决于它们的位置ARP报文。
NAC供应商consensus try networks的首席技术官杰夫•普林斯(Jeff Prince)说,相比之下,带内NAC对流量提供了更好的控制,如果设备违反了使用政策,在被允许进入网络后,可以监控和限制流量。他说,带内部署还支持实施特定于用户的策略规则,这些规则规定用户可以访问哪些资源,而无需创建大量的虚拟局域网来处理每个情况。
施耐德说:“我喜欢称之为‘边缘强化’。“它可以伸缩,可以处理负载,不依赖于单一点来执行。我认为,在大型企业部署中,[在线]才是我们真正想要达到的目标。
“当然,这并不意味着带人无法处理负载,但真要瞄准边缘执法是否合身,并且去带,如果它不。”
没有什么是完美的,包括NAC的执行。
有多种方法可供选择,与选择取决于多少努力,成本和中断是可以接受的方法是否被认为是足够安全的。
NAC策略可以在网络的边缘由接入交换机,防火墙和VPN网关和网络内部还通过使用防火墙以及强制执行在线访问和分布交换机之间电器。它们也可以通过操纵DHCP分配IP地址,并通过重置设备的ARP表来阻止网络接入执行。
一个执行方法的批判Insightix的CTO在黑帽会议上介绍了这些方法的安全性。
例如,在DHCP的情况下,进行代理的DHCP服务器来执行安全策略无法以某种方式获得静态IP地址,因此地址的设备不需要处理DHCP服务器。可以使一些网络的显著部分免于NAC实施中,奥菲尔阿金,Innsightix的CTO说。
在另一个例子中,通过依赖于802.1X的交换机执行NAC策略可以提供严格的策略控制,但仅适用于通过客户端软件支持802.1X的设备。那些没有被欺骗的设备——比如打印机和电话——可能会被欺骗,完全绕过NAC,让未经授权的机器进入,从而造成损害。
批判意味作为抬头给潜在用户的NAC,使他们意识到可能存在的漏洞,并可以采取措施来填补任何存在差距,他说。“只要用户了解这些解决方案是不完美的,并采取其他措施,然后我做我的工作吧,”阿金说。
用户应的金钱和时间,他们将采取落实额余额NAC产品的执法方法的安全性。例如,如果一个客户最好的方法是802.1X认证,需要每一个将要放映设备上的802.1X客户端。用户可以询问是否分发客户端和升级,这将强制执行政策的交换机是值得的。
谁需要NAC呢?
NAC是否有助于符合法规?
我不应该等着微软吗?
了解更多关于这个话题
无线网络:急需解决的问题06/11/07
SOA的6个棘手问题07/19/07
六个棘手的网络电话问题07/05/07