完备的策略定义对NAC的成功部署至关重要。如果定义足够灵活而不给最终用户带来过大的负担、又足够严格从而保护网络的规则,这需要规划和测试。两者当中择其一的策略(如“符合当前策略,否则拒绝访问”)听上去很好,但实际应用时往往行不通。与网络断开的笔记本电脑(比如说用户在外出度假时)其反病毒特征库可能不是最新的,但并不意味着它遭到了感染。你果真希望禁止员工访问网络吗?还是在用户继续工作的同时,在后台为笔记本电脑打上最新补丁比较好?
幸好,NAC策略引擎有助于创建策略。找到一款易用性和细粒度方面适合自己需要的引擎通常至关重要,因为NAC厂商在为各自的产品添加更多功能;策略界面体现了选项功能越来越多的趋势。与复杂系统的任何管理用户界面一样,像群组、构建定制对象的功能和易于读取的规则集这些特性很重要。
如何集成外部系统同样重要。举例说,如果你的NAC系统使用活动目录来验证用户,那么管理系统应当能够对来自活动目录内部的对象如用户和用户组进行同步,而不是非得重新创建。同样,反病毒产品、管理防火墙和补丁管理系统也应当为管理用户界面无缝提供信息。
提醒一下:IT人员在为高层管理人员制订策略决策时要谨慎行事。尽量不要区别对待主管人员。首席财务官的笔记本电脑与现场代表的笔记本电脑一样容易受到攻击。向他们介绍可靠的安全做法;可能的话,提到遵从法规带来的影响在这方面会有所帮助。
执行
执行是策略中针对主机的状况所定义的响应动作。它可能什么都不做,也可能记录事件,或者禁止计算机访问网络。典型的访问控制执行使用802.1X、DHCP和ARP管理、DNS重定向至“围墙花园”(walled garden)、系统更新以及速率调整从而改变流量或者用户的网络访问权。全面的执行方法介绍如下:
|
NAC执行方法 | |||
|
执行方法是作用于计算机的动作。在许多情况下,执行是自动的。许多厂商同时支持多种执行方法,所以你可以为每种情况选择最合适的方法。 | |||
|
方法 |
工作原理 |
优点 |
缺点 |
|
802.1X |
这是第2层协议,意味着分配IP地址之前进行验证。端口开始处于未授权状态。名为请求者(supplicant)的客户端发送证书到交换机。交换机通过RADIUS把证书发送到服务器。一旦验证成功,交换机端口被启用。 |
主机访问网络之前先进行验证和授权。支持多种验证方案,802.1X旨在出现新技术后,仍具有扩展性。 |
所有主机都要合理配置请求者;用户或者计算机要有帐户。许多交换机让端口处于某一种状态,所以如果某端口上连接多个主机,它们会得到同样的对待。 |
|
VLAN转向 |
VLAN把网络分段成多个逻辑区,转向机制可把主机转移到特定的VLAN上。转向利用了交换机的本机VLAN管理系统或者通过其他协议,比如SNMP。 |
VLAN广为人知,许多公司已经在使用它。几乎任何端口都可以连接任何VLAN,所以移动性很容易实现。 |
VLAN架构可能很复杂;动态的VLAN分配可能加大了故障检测及排除的难度。有些交换机容易受到针对交换机、导致VLAN不稳定的攻击。 |
|
主机执行 |
这大概是原始的NAC系统,通过主机防火墙进行的评估和主机执行允许或者拒绝访问网络流量。 |
不但有可能控制对网络到主机的流量进行访问,还能控制主机上哪些应用可以访问网络端口。除非主机是邮件服务器,否则应用程序就没有理由接管邮件端口。另外,执行会跟踪主机,哪怕未连接网络的时候,所以可以在符合贵公司策略的前提下保护主机,同时连接到远程网络。 |
主机软件要加以管理;很难为遇到连接问题的远程用户排除故障。 |
|
DHCP管理 |
DHCP负责为主机分配IP地址。DHCP管理方案截获DHCP请求后,分配IP地址。因而,NAC执行基于子网和IP分配在IP层进行。 |
易于安装及配置。因为DHCP得到广泛支持,它有望与使用DHCP来请求IP地址的任何主机协同工作。 |
自行静态分配IP地址的主机很容易让DHCP管理失效。 |
|
ARP管理
|
又叫“ARP欺骗”或“中间人攻击”管理。地址解析协议(ARP)用来告诉其他主机哪些IP地址分配给了某个MAC地址。这种地址分配保存在每个主机上的ARP表,可动态更新。这种方法通过把ARP表连同不同的IP到MAC映射一起发送,以此管理主机的ARP表。 |
ARP可用于任何IP主机;始终不用对主机的配置进行任何改动,即可使用。 |
与DHCP管理很相似,静态分配ARP表条目会使这种方法失效。另外,交换机中旨在防止恶意ARP欺骗的新的安全功能可能会导致该方法不稳定。 |
|
通配符DNS |
ARP把IP地址映射成MAC地址。同样,DNS把主机名称映射成IP地址。通配符DNS利用IP地址来响应任何DNS查询,实际上把主机重定向至特定的服务器。 |
与DHCP和ARP管理一样,这种方法可与使用DNS的任何主机协同工作。用户最后常常出现在网页上,他必须在此验证身份或者接受协议。依赖这个事实:用户最终会使用Web浏览器,因而被重定向至网页。 |
与DHCP和ARP管理一样,如果主机从来不使用DNS,那么这种方法就失效。另外,计算机也会有静态的主机条目。 |
|
“围墙花园” |
“围墙花园”迫使用户进入到专有网络上,那样他们就能访问有限的资源,比如接受协议、更新系统及执行其他功能的网页。一旦主机获得通过,就允许他们连接到另一个网络上。 |
如果主机被拒绝访问网络,它们如何得到更新?“围墙花园”常常结合另一种执行方法使用。 |
你不得不维护“围墙花园”里面的更新服务器及其他设备。 |
|
嵌入式阻塞 |
嵌入式阻塞类似网络防火墙,只不过访问控制是针对每台主机,而且动态分配。另外,嵌入式系统可以监控网络流量,并对恶意活动采取行动。 |
嵌入式阻塞的粒度一般相当细,因为可以控制端口;在某些情况下,甚至还可以控制流量有效载荷。其他方法主要单单基于主机。 |
嵌入式阻塞常常出现在交换层之间,这意味着恶意主机有可能攻击能访问得到的其他主机,而不必透过嵌入式设备。必须在每个阻塞点部署嵌入式设备。 |
|
TCP重置/ICMP消息 |
NAC系统可以通过向客户机和服务器发送TCP重置命令,来终止TCP连接。一旦主机接到TCP重置命令,TCP连接就被关闭。可使用ICMP消息来管理非TCP协议。 |
类似其他被动执行方法,TCP重置可与具有TCP功能的任何计算机协同工作,可透过任何防火墙或者安全网关。非TCP协议使用ICMP消息,但不能保证两边的主机都认可ICMP消息。 |
非TCP协议很难得到支持。使用UDP的单一数据包攻击如SQL Slammer完全可以长驱直入。 |
|
补丁、更新及配置变更 |
也结合其他执行方法使用,可以自动或者人工给主机打补丁,从而使它符合策略、准备重新评估。 |
对公司拥有的计算机而言,这是很好的措施,可确保主机得到更新及合理配置。 |
你不能总是迫使外部用户(如承包商)更新他们的计算机或者安装软件。另外,网络访问之前迫使进行更新会影响工作效率。 |
| 共4页: 上一页 [1] [2] 3 [4] 下一页 | ||||||
|
|
· 防患于未然 九项不用花.. · 提高警惕 勿让僵尸蚕食.. · NAC安全访问控制 · 企业如何进行计算机取.. · 发现新病毒 ntldr.exe .. · J0ker的CISSP之路:系.. |
· 如何安全运行从网上下.. · 安全专家浅谈面向业务.. · 双击电脑硬盘驱动器无.. · 提升安全性Win XP必禁.. · 信息系统安全技术--安.. · Vista服务安全10大策略 |
|
|||
| 名称:SQL Server数据库管理精品黄皮书 简介:书中文章经过精挑细选,便于用户能根据自己的实际工作和学习,快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息,以及DBA管理人员在数据库管理工作中 |
|||
| 名称:2007路由技术大全 简介:《2007路由技术大全》由51CTO.com网站特别策划制作,该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复,以及广大网友在实践使用中的心得经验和技巧文章,内容注重实用性,适用于初学者入门,也适合多年从业者提高,是一本实践和理论完 |
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|
||||
| · iSCSI应用与发展 · SQL Server 2008/2005.. · SOA 面向服务架构 · SQL Server 2008/2005.. · iSCSI应用与发展 · RAID——磁盘阵列基础 · 中间件应用技术专题 · SQL Server入门到精通 |
· 病毒查杀专题 · 国际文档格式标准开战 · Linux防火墙 · 路由器设置与口令恢复 · 打造安全服务器 · SOA 面向服务架构 · ADSL应用面面俱到 · 入侵防护系统(IPS)初探 |
|||
|
||||
| · iSCSI应用与发展 · 中间件应用技术专题 · SQL Server入门到精通 · SQL Server 2008/2005.. · SOA 面向服务架构 · iSCSI应用与发展 · RAID——磁盘阵列基础 · 身份认证技术 |
· 病毒查杀专题 · 清除流氓软件——51CTO.. · 路由器设置与口令恢复 · SOA 面向服务架构 · 了解统一威胁管理(UTM).. · ADSL应用面面俱到 · ADSL应用面面俱到 · 反垃圾邮件技术应用 |
|||
