2的第二部分。在我们的第二部分看重要网络访问控制我们来看看周围的重要问题思科, NAC的实施和NAC政策。在这里回顾第1部分。
真的没有必要再等了,因为这取决于你想从NAC中得到什么,思科可能已经有了。
如果思科还没有提供你想要的产品,也没有必要等待,因为你可以从其他供应商那里得到替代品。
思科拥有NAC设备,可在设备获得网络访问权限之前检查已更新和打开的病毒软件,以及补丁级别是否符合策略。
尽管如此,这款设备还是因为它不能做的事情而受到了一些批评。曼迪•安德里斯(Mandy Andress)在最近的设备评估中表示:“在这个领域,思科仍落后于许多其他供应商,因为除了初始连接之外,思科无法进行评估检查。足球竞猜app软件。
例如,一旦设备被允许进入网络,设备就不会执行定期的重新检查,以确保它们能维护自己的网络安全的姿势。
思科NAC设备确实提供了多种强制方法,包括将设备与流量联机,从而可以直接限制流量,使其与802.1X认证协同工作,或在控制访问开关的带外运行设备。它还可以对通过SSL或IPSec VPN通过思科设备连接的设备执行NAC。
其他供应商的其他设备做得更多,如果思科的设备出现短缺,这些其他设备可以填补这一缺口。
思科也有一个将NAC构建到其网络架构中的计划,这个设计更适合大规模的发布。弗雷斯特研究公司(Forrester Research)的分析师怀特利(Rob Whiteley)说,所有南汽客户面临的一个问题是,在不依赖于多种设备的情况下,南汽的设备总体上规模不够大,无法适应大公司范围的部署。
思科基于网络的NAC要求特定的交换机规格,这可能意味着一些客户需要升级。因此,一些公司在需要升级时才会采取行动。
客户看到的思科NAC的一个问题是,它有两个独立的设计,没有可互换的部件。目前思科的NAC设备及其基于网络的NAC框架有独立的客户端评估网络端点的安全态势。
此外,NAC框架依赖于Cisco的访问控制服务器(ACS)来决定在NAC设备依赖于自己的访问策略时应用哪种访问策略管理服务器来确定端点是否符合。
思科有一项名为OneNAC的迁移策略,旨在通过可互换的客户端和一台服务器,简化设备和基于网络的NAC之间的转换。但该计划仍有一些细节有待敲定。
根据Current Analysis的最新年度NAC研究,无论其比较优势如何,思科的NAC都拥有坚实的忠实客户基础。报告称,目前67%的思科NAC家电客户和68%的思科NAC框架客户将考虑购买更多的思科NAC设备。
另一方面,这些数据表明,约三分之一的客户不会考虑更多思科NAC产品,但调查没有说明原因。
这两个答案都不是对的。
Whiteley说,最终对于大型部署来说,带外NAC使用某种形式的边缘强制,如访问交换机,将更加实用,因为它的伸缩性更好。带内NAC需要越来越多的设备,随着推出的增长。
但是对于较小的网络或有针对性的NAC执行,在线NAC设备也可以起到同样的作用,Joel Snyder说,他是Opus One的高级合伙人,也是网络世界测试联盟的成员。足球竞猜app软件“在带内,我认为更多的是为了偶尔的客人访问——放下一个盒子在你的客人之间,让它处理负载,”Snyder说最近网络世界在足球竞猜app软件线聊天南汽。
带外NAC依赖于现有的网络机制来执行策略,如802.1X身份验证、ARP和MAC表以及DHCP分配。它的名字来源于这样一个事实,即NAC设备并不直接位于流量中——通常它挂在交换机端口上——没有任何直接手段来限制流量。
带内NAC包括通信必须通过的设备,通常位于访问层设备和分布层设备之间,尽管有些可以位于网络的分布层和核心层之间。在某些情况下,供应商已经将NAC功能集成到访问交换机中。
有许多人赞成这两种方法。足球竞猜app软件两个小贩问。一销售直列齿轮,一个销售带外——为自己的立场找到最好的理由。
NAC供应商Mirage Networks的CTO Grant Hartine认为,带外部署的优点是能够在不中断网络业务使用的情况下快速部署,没有单点故障,降低造成网络延迟的风险。
他还说,带外的NAC齿轮发现设备时,他们发送ARP包可能被错过的在线设备,取决于他们的位置。
NAC供应商consensus try networks的首席技术官杰夫•普林斯(Jeff Prince)说,相比之下,带内NAC对流量提供了更好的控制,如果设备违反了使用政策,在被允许进入网络后,可以监控和限制流量。他说,带内部署还支持实施特定于用户的策略规则,这些规则规定用户可以访问哪些资源,而无需创建大量的虚拟局域网来处理每个情况。
施耐德说:“我喜欢称之为‘边缘强化’。“它可以伸缩,可以处理负载,不依赖于单一点来执行。我认为,在大型企业部署中,[在线]才是我们真正想要达到的目标。
“当然,这并不意味着在带内的人不能处理负荷,但你真的想要目标的边缘加强,如果它适合,并争取在带内,如果它不适合。”
没有什么是完美的,包括NAC的执行。
有多种方法可供选择,其选择取决于可接受的工作量、成本和破坏程度,以及该方法是否被认为足够安全。
NAC策略可以通过接入交换机、防火墙和VPN网关在网络边缘实施,也可以通过在网络内部使用防火墙以及接入和分配交换机之间的内线设备实施。它们也可以通过操作DHCP IP地址分配和重设设备的ARP表来阻止网络访问来强制执行。
一个执行方法的批判Insightix的CTO在黑帽会议上介绍了这些方法的安全性。
例如,在DHCP的情况下,代理DHCP服务器来执行安全策略不能寻址以某种方式获得静态IP地址的设备,因此不需要处理DHCP服务器。Innsightix的首席技术官Ofir Akin表示,这可以使一些网络的很大一部分免受NAC的强制执行。
在另一个例子中,通过依赖于802.1X的交换机执行NAC策略可以提供严格的策略控制,但仅适用于通过客户端软件支持802.1X的设备。那些没有被欺骗的设备——比如打印机和电话——可能会被欺骗,完全绕过NAC,让未经授权的机器进入,从而造成损害。
他说,这番评论是为了提醒潜在的NAC用户,让他们意识到可能存在的漏洞,并采取措施填补存在的空白。Arkin说:“只要用户明白这些解决方案并不完美,并采取其他措施,那么我就做对了。”
使用者应在执行NAC产品的安全方法与所需的金钱和时间之间取得平衡。例如,如果对客户来说最好的方法是802.1X认证,那就需要在每个将要被筛选的设备上都有一个802.1X客户端。用户必须问分发客户机和升级执行策略的交换机是否值得。
谁还需要NAC呢?
NAC是否有助于符合法规?
我不应该等着微软吗?
了解有关此主题的更多信息
无线网络:急需解决的问题06/11/07
SOA的6个迫切的问题07/19/07
六个棘手的网络电话问题07/05/07