整合NAC與網絡安全工具
了解如何整合網絡訪問控制解決方案與網絡安全工具,并找出失誤以便更好發展。
擴展NAC:偽程序的網絡訪問控制
試想目前你的網絡中所部署的大量的網絡和安全設備——它們之間有何共同點,以及它們在NAC方面有哪些類似之處呢?
這些設備都收集用戶在網絡上的操作信息。這些信息量很大,而且這些信息都是直接存入日志文件存檔,沒有人會再看一次。正確的利用這些信息可以讓你查看用戶網絡的行為,并允許你使用這些信息來快速更改訪問控制決策。
這些收集用戶行為信息的設備都是為實現最佳可視性而在你的網絡中有策略性地放置的。大多數情況下,你可以使用這個安置作為附加的覆蓋實施方案以便允許你在網絡中的每個策略使用用戶和主機身份認證信息。
在本文中,我們將探討如何在制造商提供的功能基礎上擴展多個NAC系統,從而在網絡中實現NAC與更廣泛的系統、設備和應用相配合。
了解網絡
NAC事實上是第一個能將所有的網絡和安全元素上的信息協調到一個位置的方案,這樣你就可以根據用戶身份和終端安全狀態以及每個用戶登錄到網絡上的行為來建立訪問控制政策。
新的標準,如TNC的IF-MAP協議,已經實現了這個級別的協調。而隨著這些標準的出現并不斷被越來越多的供應商所采用,你將可以使用這些新的措施和政策來從其它產品的擴展得到NAC實現的附加價值。接下來將舉例探討NAC部署是如何在其它產品擴展中受益。
IDP/IPS整合
入侵檢測防御(IDP),或入侵防御系統(IPS),最近幾年越來越受歡迎,特別是當供應商應對NAC市場的早期挑戰時,如感知部署和可用性難點。目前,大多數大型的組織都全面部署了IDP/IPS,但是在使用NAC之前,這些解決方案都被一定程度的限制以防止公司網絡中發生新的攻擊。你可以配置所有的IPS探測器來中斷網絡中惡意或其它不需要的流量。比如,假設一個特定的終端發起一個針對公司數據中心的應用服務器的攻擊,并且IPS檢測到該流量是惡意的,那么IDP/IPS可以通過所配置的策略來中斷流量。雖然這個響應是充分的,但是,在某些情況下,你可能想進一步阻止網絡以后的攻擊。NAC可以幫助你從IDP/IPS設備中獲取信息,并在被攻擊或發生意外事件時使用這些信息來處理終端用戶的訪問。
如果你實現了IDP設備與NAC解決方案全面的整合(市場上有些解決方案能夠達到這個級別的整合),那么IDP將繼續執行它的核心功能——檢測網絡流量和中斷無用的數據包。然而,在NAC整合允許IDP/IPS發送無用流量的明細(包括嚴重性、用戶IP地址和攻擊特征)到NAC解決方案。當接受到該信息時,NAC可以對相關的終端用戶或終端采取措施。NAC可以通過將用戶進行隔離、失效用戶的會話,或者甚至失效用戶的帳號(根據管理員所設置的政策)來處理這個事件。圖1描述了在公司網絡中一個NAC和IDP/IPS混合解決方案。
圖1所顯示的整合類型允許一個有大量用戶和設備認證信息的NAC解決方案和一個有大量流量和行為信息的IDP/IPS解決方案之間的全面協調。
圖1:一個NAC/IPS整合例子
安全故障和事件管理整合
近幾年來,安全故障/信息和事件管理(SIEM)產品越來越受到歡迎,許多供應商也開始涉足這個市場。這些產品可以協調網絡設備上豐富的信息,并讓SIEM產品在NAC部署中成為一個非常合理的整合或擴展。
技術資料
SIEM產品可以收集不同設備的日志并關連相關的信息,這樣它就可以有效地確定網絡中的事件、攻擊或者其它的異常現象。SIEM產品所提供的信息允許IT管理員審查這些事件和潛在漏洞,從而可以在黑客利用這些問題之前采取相應的操作來解決這些問題。SIEM產品利用諸如流和事件相互關系的工具來提供風險和漏洞分析給網絡管理員和安全人員。
和IDP/IPS類似(在前面已經討論過),SIEM產品的局限在于在產品發現了攻擊之后,它們如何阻止所檢測到的攻擊繼續發生。NAC可以通過防御后續惡意的行為來彌補這個缺點,從而可以使SIEM發揮更大的作用和價值。通過正確的整合,你可以將SIEM上的事件直接引導到NAC策略服務器。通過組合NAC,你可以對SIEM采取與IDP/IPS的相似操作。根據攻擊的嚴重性和類型,你可能采取包括從臨時隔離終端用戶到失效終端用戶帳戶的操作,這樣他或她只有在管理員進行了進一步的調查之后才能夠重新登錄。這個組合的解決方案比兩個單獨的解決方案的簡單相加更強大。
整合方案的完整范圍是取決于SIEM和NAC供應商一起努力支持相同標準或API來進行該信息的交換的意愿有多強烈的。由于NAC正變得越來越流行,很多SIEM供應商很可能都意識到這些類型整合的可能性,并且開始開發支持這些標準的產品。
圖2:一個整合SIEM的NAC策略
網絡反病毒整合
由于反病毒在公司網絡中很受重視,因此,將NAC擴展到網絡反病毒網關對組織而言很有意義。在必要的情況下,網絡反病毒應用會不斷地查看網絡中的流量、掃描病毒和執行清理。
小貼士!擴展NAC到你的網絡反病毒網關都會有獨立的網關以及整合到其它多功能網絡的網關和在垂直產業中受到顧客歡迎的安全設備。
但是,如果反病毒網關的反應并不只是中斷流量,而且還能發送信號到NAC實現,那么你的組織可以完成一個能快速反應的基礎架構,它能知道如何應對用戶和機器行為:
比如,NAC系統可能隔離或者斷開用戶,如圖2所示
NAC系統可以采用更加敏銳的方法,如在終端啟動反病毒掃描
NAC系統同時還可以確保來自該終端的后續流量在直接到達目的地之前通過網絡反病毒網關
網絡清單/設備分類整合
網絡清單是很多NAC部署的主要部分,這主要是因為在特定的公司網絡中的許多設備并不需要運行所要求的NAC軟件或者NAC環境的認證。
圖3顯示網絡清單或者設備分類解決方案是如何適應典型的NAC部署的。如圖3所顯示,在大多數NAC解決方案中的策略服務器足夠處理大多數管理的設備。這些設備一般都可以運行某種形式的NAC軟件,同時NAC系統能夠正確地掃描和認證它們,如802.1X。這個范疇的設備一般包括:
•運行各種操作系統的臺式和筆記本電腦
•智能手機
•PDA
•激活802.1X的VoIP電話
圖3:一個帶有NAC的清單和設備分類示例
當你的組織需要處理還沒有整合NAC解決方案的設備時,就可以使用網絡清單解決方案。根據不同的組織類型,這些設備甚至比你的網絡中的管理多得多。這些設備類型包括較老的和低端的設備
•VoIP電話和PDA
•打印機
•掃描儀
•安全攝影機
•視頻會議設備
•HVAC系統
•醫療設備
在大型的公司網絡中,很多激活IP的設備并不具備恰當的軟件來激活全面的NAC身份認證。
記住!網絡清單解決方案必須了解這些設備,并將它們歸檔以便確定它們實際的類型,并將它們報告給NAC解決方案,這樣NAC才可以決定它們將在網絡中獲得哪種訪問級別。
詳細目錄系統絕對必須能夠確定一個真正的未管理設備和一個看似為未管理設備的已管理設備之間的不同。比如,如果用戶知道NAC授權打印機訪問網絡,那么一個不擇手段的用戶可能嘗試通過偽裝為網絡上的打印機繞過NAC策略。例如,該用戶可能通過克隆一個已知的打印機MAC地址來偽裝成為一個打印機。一個好的網絡清單系統具備監控主機行為和將其分辨為筆記本電腦而非打印機的功能,這意味著只有用戶具備正確的身份認證,設備才可以連接到網絡上,這樣就斷絕了用戶繞過NAC策略的風險或跳過重要的身份認證和設備分類的步驟。
