妙用NAC改善網絡安全
近來,NAC(即網絡準入控制:Network Admission Control)是一個非常流行的網絡安全主題。雖然有許多人聽說過這個詞,不過仍有許多人并沒有完全理解NAC是什么,以及如何利用它來改善其網絡安全。
什么是NAC?
NAC是一種允許對某個網絡進行訪問的方法,它通過遵循安全團隊幫助構建的一套標準而實現。它可以被用于多種設備上,從桌面設備到手持式PDA。它不是像防火墻那樣盲目地限制訪問,NAC試圖將智能集成到網絡訪問中。現在可以選擇的NAC方案種類很多,實施一個NAC解決方案的原因也很多。本文將簡潔地討論NAC的要領,并向你展示一個NAC方案如何有助于改善網絡的安全性。不過,記住下面一點是很重要的:對于多數方案,正確地計劃對于成功實施是極端重要的。
一個NAC方案的組成部分有哪些?
一個NAC方案有三個主要的組成部分:
終端用戶設備
認證系統
策略服務器
當然,根據所選擇的方案不同,組成部分也相應地有所變化。終端用戶設備典型情況下會安裝一個代理。終端用戶設備上的NAC代理能夠與策略服務器會話,這是一個方案的關鍵。下圖顯示了思科NAC設備(CNACA)的通信流快照:
上圖描述了一個帶內(in-band)和帶外(out-of-band)設備服務器。這種方法確保了安全執行標準的最大化執行,不管你試圖在何處登錄網絡,這是因為這個設備位于你和所需要的資源之間。沒有什么方法可以繞過它。
NAC如何改善網絡安全?
一個NAC方案能夠幫助你改善網絡安全的方法有好幾種。事實上,通過使用NAC,你可以得到更高的效率。
強制遵從
網絡和Windows系統管理員花費大量時間來解決如何強制終端用戶設備遵循必要的Windows補丁、反病毒更新、防火墻設置等。幾年來,使用過各種方法來保持病毒定義文件的最新,保障病毒掃描的運行,并且運用了最新的補丁集等。所有的這些努力都已經改進了網絡的安全性,不過總有一些人為的因素會損害這個過程。例如,安全管理員可以使病毒定義文件的更新自動化,但是終端用戶可以取消掃描或者禁用其代理。一個NAC方案能夠保障保障用戶必須遵循反病毒軟件的更新。
隔離
除了強制用戶執行、遵循安全策略,一個NAC方案還可以檢測和隔離一個“不安全的”設備。如果你曾經以人工方式利用訪問控制列表解決過蠕蟲問題,你就會理解將某個設備隔離到一個預定義的VLAN中的重要性。這是從一個中心點執行的。
但效率并非只能從集中化中獲得。一個NAC解決方案不但能夠檢測和隔離,而且還能夠用恰當的病毒定義文件和補丁來更新設備,這樣就能在允許訪問設備訪問你的網絡之前,用一種最高最強的安全標準來設置設備,病毒和蠕蟲將沒有機會訪問你的資源。如果你正確地設置了NAC方案,根據代理所報告的有關用戶身份,用戶將只能訪問所需要的資源。 #p#
提供臨時用戶(來賓)訪問
廠商和臨時用戶(來賓)訪問是許多公司頗感頭疼的一個問題。在無線網絡中這更是成為一個較難對付的問題。對這個問題的解決方案有很多,如隔離的客戶訪問VLAN,基于WEB的展示等,或者來賓根本就不能訪問你的站點等等。采用NAC之后,就不用為臨時用戶的訪問而苦惱了,臨時用戶只是需要順從有關策略。以前這個過程完全是手工完成的,在設備被允許連接到網絡上之前,通常需要花費幾個小時。所有這一切都是為了避免顯而易見的風險,不過對那些不太明顯的風險該怎么辦呢?
避免風險
在可實現的情況下,避免風險毫無疑問是一個巨大的改進。很明顯,防止蠕蟲的傳播可以避免風險,不過如何對待日常的風險性操作?VoIP給安全團隊人員帶來的極大的壓力,因為他們既要滿足其需要,又要保護其安全。防火墻策略的一個錯誤就能夠將整個組織的電話系統搞垮。一旦你的訪問策略與NAC方案結合起來,你的防火墻將會少操一份心。
在購買一個NAC方案之前需要考慮的問題
對那些考慮采用某種方案的組織來說,不了解問題的方方面面對任何考慮采用某個解決方案的組織來說始終是一個問題。銷售人員喜歡利用這一點。不要成為某些大肆宣傳廣告品的犧牲品。在向一個NAC解決方案投資之前,有幾個問題需要考慮。
一個NAC解決方案假使你已經定義了一套高級策略集,如驗證、安全、網絡訪問,等等。在預算的范圍內,專業服務始終是有幫助的。
如果你考慮將身份驗證與NAC方案結合起來,一定要理解你的身份驗證方案的限制問題。例如,一個UNIX服務器之上的LDAP或NIS可能與桌面及微軟服務器的活動目錄方案無關。你的銷售團隊和內部技術團隊需要團結起來討論這些限制的影響。關于總體上的身份驗證,驗證策略在所要保護的網絡的各個部分中保持一致性是很重要的。此外,你編寫一些你的組織培訓所依賴的文檔資料也很重要。這些資料包括用戶ID的終結時間、跨平臺的功能性、或者已通過驗證機制定義的訪問,等等。
安全策略的制定是一場永遠不可能終結的戰爭。其訣竅是在不損害業務關鍵過程的前提下執行操作。在實施一個NAC方案之前需要考慮的一個問題是一個NAC設備和防火墻的交互: NAC認為某次訪問應該可用,而防火墻卻阻止之,這會發生什么事情?很好地定義這些安全策略能夠避免處理這些問題。
網絡訪問策略與你的網絡是如何設計的有很大關系。隨著企業的增長,那些沒有細心設計的網絡將產生許多網絡訪問策略有關的問題。
反過來說,設計糟糕的策略和增長處理過程將給網絡的設計帶來困難。為了正確實施一個NAC方案,需要設計一個祥細的最新的網絡結構圖。這雖然看起來很明顯,不過千萬不要過分低估一個銷售團隊的勤奮和執著。記住,多數銷售團隊會設法賣給你一個產品,然后快速地轉到下一個客戶。因此,購買專業性服務是保持其興趣的好方法。此外,你可以從工程師那里得到大量實用的、特定領域的知識和經驗,這可以為你節省許多時間。否則,另請高明。
用NAC保障網絡安全
總體而言,一個NAC方案能夠極大地改善網絡的安全性。我們不應該低估實施一個方案的計劃數量。你不但需要需要豐富的網絡資源,還需要Windows、安全、桌面、公司策略創建團隊的緊密協作。
實施一個NAC并不是簡單地安裝一個設備:必須對身份驗證實現標準化,必須設置最小的桌面標準,后端的防火墻規則和網絡設備必須與你的NAC方案保持一致,以允許策略服務器試圖許可的訪問。這些正是所有的組織奮力解決的問題。如果你的組織還沒有最后確定這些問題,那么至少需要將其放到你的NAC項目計劃中。一個NAC解決方案能夠保持終端用戶設備遵循策略,為臨時用戶提供一個安全簡易的方法,使其能夠訪問你的網絡,還使你可以審核網絡中的用戶訪問活動,并使你更有效率。NAC還可以禁止蠕蟲和病毒等惡意代碼在網絡中漫延擴展,從而有助于減少風險管理任務。
【編輯推薦】
