NAC执法手段功亏一篑
在复杂的网络,需要采用专有方案
在NAC中的“C”代表控制:基于有效的认证和终点定义访问网络资源安全姿势用户。直到在我们的测试这一点上,中航和TCG / TNC很友好同床异梦,有许多在他们的结果相同的高点和低点的提供非常相似的功能。
当我们到了画面的控制部分,我们发现,不只是白色和黄色的奶酪在那里:它更像是有从中选择246升的味道。
在我们的比较中,我们的使用场景并不重要,因为一旦到了控制部分,每个人——员工、访客和无代理设备——都是一样的。所以在这里,我们仔细研究了双方给我们的令人眼花缭乱的选项。
即使思科提供专有的框架,它仍然是世界上最大的网络硬件制造商。因此,强制选择列表在页面上运行。我们从LAN交换机和802.1X身份验证开始,这为我们提供了基于虚拟LAN (VLAN)的访问控制。如果你对vlan感到满意,思科目前大约有6个家庭LAN开关,以及两到三倍于最近退役的硬件,这仍然是完全中航集团的能力。加上所有的思科系统无线设备,从独立接入点,Airespace公司的无线交换机,可以执行点为好。
许多思科交换机还具有包过滤功能,以及中航部署还可以采用包过滤器。即使当我们添加了这些数据包过滤器,我们没有拉伸中航执法的范围。思科有所谓的“二层IP”和“三层IP” NAC客户,这有利于终端安全和执法措施,放弃认证。这些NAC客户端模式与开关以及额外的强制选项IOS路由器工作。我们没有测试二层IP或3层IP客户端模式,因为缺乏验证的,但思科的工程师告诉我们,这些客户端的认证版本正在开发中,但不能说,当他们将被释放。
Cisco的ASA系列火墙/ VPN设备也可以是NAC实施点。我们配置了ASA5100是我们中航部署,这使我们能够要求端点安全评估,我们会允许通过IPSec VPN隧道有人到我们的网络之前的一部分。
政策工具缺乏
虽然不缺乏突出的控制点,但缺乏利用所有这些力量的政策工具。由于CNAC需要Cisco ACS,由于其固有的局限性,我们只能表达最原始的策略。
例如,用户不能被放置在多组和具有重叠资源的访问。试图定义可能结合VLAN的数据包过滤,VPN和端点安全性将是什么几乎是不可能的,但最根本的ACS用户界面的网络政策。而对于我们的网络在每一个不同的安全策略,我们不得不提出四点到10增加的ACS。
好消息是,当我们单独进行各航先进的访问控制的测试都取得了成功。当我们添加数据包过滤器和其他控制,他们从Cisco ACS服务器连接到网络执行点推,而我们,确实锁定。
如果说有什么东西会阻碍先进的CNAC部署,那就是ACS的控制功能。它根本不能胜任作为一个用于控制的通用网络策略工具的任务,因此在这个关键时刻,在CNAC中除了一小组vlan之外,进行任何控制都没有什么意义。
当然,这可能不是问题。在许多网络中,一打vlan可能就是一个非常成功的NAC部署所需的所有分区和访问控制。而且,如果它适合您的网络,您可能会非常满意Cisco ACS和最近几年发布的Cisco硬件(即最近几年发布的任何交换机)。事实上,如果您只是简单地执行基于vlan的访问控制,那么您可能能够非常成功地使用非cisco交换机。也就是说,这些交换机必须设计得非常好,才能具有与思科Catalyst系列相同的功能,比如我们在测试台上使用的Enterasys Matrix C2。
杜松的力量
但是如果你真的想要非常强的访问控制呢?瞻博网络随着UAC设备和Juniper基于屏幕的防火墙产品线之间的集成,NAC进入了下一个阶段,但只在TCG/TNC NAC框架内。使用Juniper的访问控制模型,您不仅可以基于vlan将用户分开,还可以在网络内部分散防火墙,为每个用户提供完整的有状态防火墙规则。
为NAC定义策略既简单又直观。我们发现调试UAC设备和ScreenOS防火墙比必要的更加复杂和困难,但是一旦我们解决了bug,一切都如预期的那样工作了。
Juniper方法非常强大,但它依赖于与Juniper防火墙一起工作的Juniper客户端和Juniper UAC设备——获得所有额外的访问控制功能需要相当多的专有技术。
这一点在当时被反复强调游标网络带着EdgeWall 8800实施点和相应的EdgeWall控制服务器来到我们的实验室。作为一个独立的NAC供应商,Vernier有自己强大的故事足球竞猜app软件网络世界即将对这些产品进行测试),配有状态防火墙,多平台的端点状态评估,并在多千兆机箱集成的入侵预防系统。游标在本次测试作为执法点加入了TCG / TNC阵营,与我们的UAC家电政策和端点安全整合。
作为一个纯粹的TCG/TNC玩家,我们只能使用EdgeWall大约10%的功能,因为所有强大的策略控制都是由Vernier自己的控制服务器专有的,就像Juniper高级访问控制解决方案一样。通过从UAC设备驱动边缘墙,我们不能将策略下推到边缘墙—我们只能将其用作防火墙开关。当然,我们本可以将策略从UAC设备中取出,并将所有控件放在Vernier的控制服务器中——这种策略在使用EdgeWall设备作为主要控制机制的网络中非常有效。
经验教训关于NAC实施
如果你对NAC的访问控制仅限于VLAN分配,你就不会过分强调CNAC或TCG/TNC框架,也不会发现它们有什么不同。
但是,如果你想先进的访问控制,如数据包过滤器或状态防火墙添加到您的NAC部署,你会发现显著差异。虽然思科肯定有最广泛的全球硬件,中航框架正在举行回来所需思科ACS策略引擎,对于任何一种复杂的网络安全策略定义的一个不适合的工具。你可以很容易地下井带TCG / TNC专有的路径,而是要Juniper的UAC控制器显著更好的工具,与各种各样的低端和高端执法点一起。
斯奈德是亚利桑那州图森市咨询公司Opus One的高级合伙人。可以通过joel.snder@opus1.com联系他。
斯奈德也是网络世界实验室联盟的成员,合作在网络业界首屈一指的评足球竞猜app软件审每个带来承受多年的每个复习的实践经验。欲了解更多实验室联盟的信息,包括如何才能成为会员,请m.banksfrench.com/alliance。
请参阅本包其他的故事:
主要事迹:现在NAC能为你做什么?
了解更多关于这个话题
版权©2007足球竞彩网下载