NAC早期采用者说,安全技术是远远超过端点扫描
早网络访问控制采用者被吸引到技术,往往不包括主要原因NAC技术被首先带来了非常具体的原因:端点检查。
当它是首先定义在2004年,NAC的目的是作为一个装置,用于确定所述安全姿势网络端点 - 笔记本电脑,台式机,服务器- 活出自己的政策,但南汽的很多用户买别的东西。
例如,房屋和社区发展马萨诸塞部门,自2005年以来已经使用幻影网络NAC齿轮,具有连接到两个由一个10Gbps的光纤链路连接的极端黑钻石1Gbps的开关约250桌面。约翰Kupchaunis,IT部门的主任说,幻影箱插在交换机在那里可以看到所有的网络流量的一个监控端口。
该部门使用的原因有两个幻影设备,Kupchaunis说。首先是保持谁被允许进入从获得网络接入,基于身份的访问控制的形式建设未经授权的用户。二是使被允许访问不胡作非为,一旦他们在网络上确保设备。
“我的个人经验,我可以进入数据插孔的任何地方使用笔记本电脑和插头[机构内],我可以访问整个网络,”他说。“我不希望有人进入我的网络,并且具有的钥匙王国”。NAC与这一目标帮助,他说。
而对于设备的行为持续监控,他想跟踪他们从事服务桌面上运行什么,什么活动。“他们在做网络的扫描?人们是否有Web服务器,FTP服务器上运行,SMPT服务器运行起来,即时通讯我不知道?”Kupchaunis问。
“我不太关心补丁和杀毒软件因为我更严格地管理台式机。”他说。“但我不希望有人来下载一些大量带毒邮件。该实施NAC设备将阻止,因为他们不允许有自己的桌面上的一个邮件。它会看到它,它会孤立他们的业务。”
中医药在休斯敦贝勒医学院采用思科的NAC设备,但使用端点扫描只能作为备份到其他工具,贝勒的IT项目经理Eric Johnson说。
学校先后与超过20,000端口16,000设备的网络,所以与所有这些潜在的脆弱开放的端口,它需要一种方法来控制谁获得网络访问,他说。校园也已经被病毒击中,所以它希望检查设备是否符合病毒扫描软件策略以及Windows补丁堵修理漏洞。“这是一些最大的曝光,我们面对的,”约翰逊说。
学校拥有的有线桌面由NAC扫描软件代理商只有每28天一次,因为他相信自动更新安全软件和操作系统补丁保持这些设备兼容。“学院的百分之八十五的Altiris使用[系统管理软件],所以我们知道机器是符合我们推代理之前,”他说。
类似的受在弗洛厄姆公园,新泽西州卫生保健协会,使用游标NAC设备不是其125台有线设备的端点一致性,但guest用户和MHC销售人员的笔记本电脑认证格雷戈里·托马斯,该公司的副总裁说。桌面访问的ProCurve 1Gbps以太网是聚合交换机成10Gbps的核心。
托马斯说,客户需要把重点放在什么NAC什么,不去做。检查设备是否运行的安全软件有一定的好处,但让他们跑不城域网内的设备是干净的。“我们像游标设备和信任它,但我们仍运行防病毒和反间谍软件,”他说。”“你真的需要管理你的系统,并确保你得到你所需要的安全,明智的。”
托马斯说,该公司可能会进一步利用游标设备的,而不是终点检查。该设备可以监控和记录网络流量,因为他说可以帮助显示符合卫生行业法规的方式。随着企业确实是下属于更多的工作健康保险流通与责任法案,它可以使用游标齿轮块访问某些数据和日志访问,他说谁什么资源。
原因之一,这些尝鲜避免端点检查是它可以涉及分发代理,一些可以自动化或每会话下载完成,但他们宁愿避免在桌面上多了一个应用程序。。“我认为无代理NAC是唯一的道路要走,” Kupchaunis说。“否则,你必须去访问这些台式机和安装这些代理和配置规则集的所有代理。在我看来,这是一个很大的工作。”即使他们不介意分发绅士,一些早期采用者关心的是端点扫描会减慢用户登录,这是一个大问题。
例如,戴尔Badore,为牧场加州水区在Temecula,加利福尼亚州的系统管理员说,他担心的帮助台呼叫洪水,如果他打开端点检查。
该网络由115个工作站建立在四个建筑物中展开极进网络开关。“我还没有想过把它变成地方呢,” Badore。“有很多的灵敏度来延迟任何一种缓慢的。如果用户感知上立即任何类型的缓慢或无法登录的是对我们的帮助中心,或直接打电话给我打电话。虽然没有客户,我个人不太确定端点验证不会对过程减慢日志“。
他小心翼翼地在监测模式一年,以此来确定哪些访问策略设置使用ConSentry NAC设备。Badoree说他喜欢的NAC设备可以阻止特定的流量类型,并从特定的机器。如果设备看到可疑流量,它可以在一个特定的TCP端口停止。“因此,在用户的工作站没有被关闭,”他说,“他们可以继续工作。如果恶意软件正在端口161,我们就建立了一个规则,它关闭下来。”
在此期间,他从什么流量的网络上实际运行NAC控制台上的数据值。“的信息,我得到的只是在监听模式下的量轻松的产品支付了。我知道这是怎么回事的时候,”他说。
该NAC设备一直是一个故障排除工具,追查网络放缓的原因。地理信息系统应用的水务机构使用广播每隔一小时几百要求各参与工作站,他说,他能够识别它然后使用NAC策略阻碍交通那次停摆出口712广播。
但是,齿轮需要进行初始调整,以避免错误地识别允许的流量是恶意的。“我有我的一些用户电脑的PCAnywhere [遥控]连接到他们的特定服务器,但[中ConSentry箱]决定了它的恶意软件。我不得不撤销密级这一点,那么它不我的警报屏幕上显示出来,”他说。
Kupchaunis说,他的幻影设备自动学习到的网络,编译所有设备的列表。然后,他必须手动进行归类,因此NAC设备可以决定是否接纳他们。“你告诉它,如果它们是已知设备或未知设备,”他说。由于在初始设置中,设备上的维护已经微乎其微。
托马斯说,他想扩大自己的使用游标的NAC的,由客人和无线用户扩展它给所有用户,但是这意味着每个接入交换机的装置,以及他关心的是不得不付出代价。“它的问题是它的不便宜。我们将需要两个设备,并且它得到昂贵的真的很快。我们正在评估它的成本效益,”他说。
早期采用者建议您尽量降低影响NAC对用户登录体验。在贝勒医学院,从IT的人见了各部门约半小时来形容NAC将如何影响他们。
他们跟进的电子邮件时,NAC代理正在Altiris公司部署,描述了登录过程会是什么时,NAC被打开一样,他说。他说,他送这些电子邮件至经理,并要求他们将其转发给自己的员工,这样他们就觉得该项目投入。
学校用积分来进行部署的帮助,他建议大家这样做,以避免潜在故障。“关键是让别人谁在做之前和理解的影响,”他说。