整合網(wǎng)絡(luò)訪問(wèn)控制（NAC）解決方案到其它網(wǎng)絡(luò)安全工具將有助于擴(kuò)展用戶(hù)和主機(jī)身份認(rèn)證，同時(shí)也可以增強(qiáng)網(wǎng)絡(luò)上的安全策略?！秱纬绦虻木W(wǎng)絡(luò)訪問(wèn)控制》的“擴(kuò)展NAC”的第一部分闡述了網(wǎng)絡(luò)訪問(wèn)控制解決方案如何與入侵檢測(cè)預(yù)防工具、防病毒網(wǎng)關(guān)和網(wǎng)絡(luò)詳細(xì)目錄/設(shè)備分類(lèi)應(yīng)用整合來(lái)增強(qiáng)這些功能。

了解如何整合網(wǎng)絡(luò)訪問(wèn)控制解決方案與網(wǎng)絡(luò)安全工具，并找出失誤以便更好發(fā)展。

擴(kuò)展NAC：偽程序的網(wǎng)絡(luò)訪問(wèn)控制

試想目前你的網(wǎng)絡(luò)中所部署的大量的網(wǎng)絡(luò)和安全設(shè)備——它們之間有何共同點(diǎn)，以及它們?cè)贜AC方面有哪些類(lèi)似之處呢？

這些設(shè)備都收集用戶(hù)在網(wǎng)絡(luò)上的操作信息。這些信息量很大，而且這些信息都是直接存入日志文件存檔，沒(méi)有人會(huì)再看一次。正確的利用這些信息可以讓你查看用戶(hù)網(wǎng)絡(luò)的行為，并允許你使用這些信息來(lái)快速更改訪問(wèn)控制決策。

這些收集用戶(hù)行為信息的設(shè)備都是為實(shí)現(xiàn)最佳可視性而在你的網(wǎng)絡(luò)中有策略性地放置的。大多數(shù)情況下，你可以使用這個(gè)安置作為附加的覆蓋實(shí)施方案以便允許你在網(wǎng)絡(luò)中的每個(gè)策略使用用戶(hù)和主機(jī)身份認(rèn)證信息。

在本文中，我們將探討如何在制造商提供的功能基礎(chǔ)上擴(kuò)展多個(gè)NAC系統(tǒng)，從而在網(wǎng)絡(luò)中實(shí)現(xiàn)NAC與更廣泛的系統(tǒng)、設(shè)備和應(yīng)用相配合。

了解網(wǎng)絡(luò)

NAC事實(shí)上是第一個(gè)能將所有的網(wǎng)絡(luò)和安全元素上的信息協(xié)調(diào)到一個(gè)位置的方案，這樣你就可以根據(jù)用戶(hù)身份和終端安全狀態(tài)以及每個(gè)用戶(hù)登錄到網(wǎng)絡(luò)上的行為來(lái)建立訪問(wèn)控制政策。

新的標(biāo)準(zhǔn)，如TNC的IF-MAP協(xié)議，已經(jīng)實(shí)現(xiàn)了這個(gè)級(jí)別的協(xié)調(diào)。而隨著這些標(biāo)準(zhǔn)的出現(xiàn)并不斷被越來(lái)越多的供應(yīng)商所采用，你將可以使用這些新的措施和政策來(lái)從其它產(chǎn)品的擴(kuò)展得到NAC實(shí)現(xiàn)的附加價(jià)值。接下來(lái)將舉例探討NAC部署是如何在其它產(chǎn)品擴(kuò)展中受益。

IDP/IPS整合

入侵檢測(cè)防御（IDP），或入侵防御系統(tǒng)（IPS），最近幾年越來(lái)越受歡迎，特別是當(dāng)供應(yīng)商應(yīng)對(duì)NAC市場(chǎng)的早期挑戰(zhàn)時(shí)，如感知部署和可用性難點(diǎn)。目前，大多數(shù)大型的組織都全面部署了IDP/IPS，但是在使用NAC之前，這些解決方案都被一定程度的限制以防止公司網(wǎng)絡(luò)中發(fā)生新的攻擊。你可以配置所有的IPS探測(cè)器來(lái)中斷網(wǎng)絡(luò)中惡意或其它不需要的流量。比如，假設(shè)一個(gè)特定的終端發(fā)起一個(gè)針對(duì)公司數(shù)據(jù)中心的應(yīng)用服務(wù)器的攻擊，并且IPS檢測(cè)到該流量是惡意的，那么IDP/IPS可以通過(guò)所配置的策略來(lái)中斷流量。雖然這個(gè)響應(yīng)是充分的，但是，在某些情況下，你可能想進(jìn)一步阻止網(wǎng)絡(luò)以后的攻擊。NAC可以幫助你從IDP/IPS設(shè)備中獲取信息，并在被攻擊或發(fā)生意外事件時(shí)使用這些信息來(lái)處理終端用戶(hù)的訪問(wèn)。

如果你實(shí)現(xiàn)了IDP設(shè)備與NAC解決方案全面的整合（市場(chǎng)上有些解決方案能夠達(dá)到這個(gè)級(jí)別的整合），那么IDP將繼續(xù)執(zhí)行它的核心功能——檢測(cè)網(wǎng)絡(luò)流量和中斷無(wú)用的數(shù)據(jù)包。然而，在NAC整合允許IDP/IPS發(fā)送無(wú)用流量的明細(xì)（包括嚴(yán)重性、用戶(hù)IP地址和攻擊特征）到NAC解決方案。當(dāng)接受到該信息時(shí)，NAC可以對(duì)相關(guān)的終端用戶(hù)或終端采取措施。NAC可以通過(guò)將用戶(hù)進(jìn)行隔離、失效用戶(hù)的會(huì)話，或者甚至失效用戶(hù)的帳號(hào)（根據(jù)管理員所設(shè)置的政策）來(lái)處理這個(gè)事件。圖1描述了在公司網(wǎng)絡(luò)中一個(gè)NAC和IDP/IPS混合解決方案。

圖1所顯示的整合類(lèi)型允許一個(gè)有大量用戶(hù)和設(shè)備認(rèn)證信息的NAC解決方案和一個(gè)有大量流量和行為信息的IDP/IPS解決方案之間的全面協(xié)調(diào)。

圖1：一個(gè)NAC/IPS整合例子

　　安全故障和事件管理整合

　　近幾年來(lái)，安全故障/信息和事件管理（SIEM）產(chǎn)品越來(lái)越受到歡迎，許多供應(yīng)商也開(kāi)始涉足這個(gè)市場(chǎng)。這些產(chǎn)品可以協(xié)調(diào)網(wǎng)絡(luò)設(shè)備上豐富的信息，并讓SIEM產(chǎn)品在NAC部署中成為一個(gè)非常合理的整合或擴(kuò)展。

　　技術(shù)資料

　　SIEM產(chǎn)品可以收集不同設(shè)備的日志并關(guān)連相關(guān)的信息，這樣它就可以有效地確定網(wǎng)絡(luò)中的事件、攻擊或者其它的異?，F(xiàn)象。SIEM產(chǎn)品所提供的信息允許IT管理員審查這些事件和潛在漏洞，從而可以在黑客利用這些問(wèn)題之前采取相應(yīng)的操作來(lái)解決這些問(wèn)題。SIEM產(chǎn)品利用諸如流和事件相互關(guān)系的工具來(lái)提供風(fēng)險(xiǎn)和漏洞分析給網(wǎng)絡(luò)管理員和安全人員。

　　和IDP/IPS類(lèi)似（在前面已經(jīng)討論過(guò)），SIEM產(chǎn)品的局限在于在產(chǎn)品發(fā)現(xiàn)了攻擊之后，它們?nèi)绾巫柚顾鶛z測(cè)到的攻擊繼續(xù)發(fā)生。NAC可以通過(guò)防御后續(xù)惡意的行為來(lái)彌補(bǔ)這個(gè)缺點(diǎn)，從而可以使SIEM發(fā)揮更大的作用和價(jià)值。通過(guò)正確的整合，你可以將SIEM上的事件直接引導(dǎo)到NAC策略服務(wù)器。通過(guò)組合NAC，你可以對(duì)SIEM采取與IDP/IPS的相似操作。根據(jù)攻擊的嚴(yán)重性和類(lèi)型，你可能采取包括從臨時(shí)隔離終端用戶(hù)到失效終端用戶(hù)帳戶(hù)的操作，這樣他或她只有在管理員進(jìn)行了進(jìn)一步的調(diào)查之后才能夠重新登錄。這個(gè)組合的解決方案比兩個(gè)單獨(dú)的解決方案的簡(jiǎn)單相加更強(qiáng)大。

　　整合方案的完整范圍是取決于SIEM和NAC供應(yīng)商一起努力支持相同標(biāo)準(zhǔn)或API來(lái)進(jìn)行該信息的交換的意愿有多強(qiáng)烈的。由于NAC正變得越來(lái)越流行，很多SIEM供應(yīng)商很可能都意識(shí)到這些類(lèi)型整合的可能性，并且開(kāi)始開(kāi)發(fā)支持這些標(biāo)準(zhǔn)的產(chǎn)品。

圖2：一個(gè)整合SIEM的NAC策略

　　網(wǎng)絡(luò)反病毒整合

　　由于反病毒在公司網(wǎng)絡(luò)中很受重視，因此，將NAC擴(kuò)展到網(wǎng)絡(luò)反病毒網(wǎng)關(guān)對(duì)組織而言很有意義。在必要的情況下，網(wǎng)絡(luò)反病毒應(yīng)用會(huì)不斷地查看網(wǎng)絡(luò)中的流量、掃描病毒和執(zhí)行清理。

　　小貼士！擴(kuò)展NAC到你的網(wǎng)絡(luò)反病毒網(wǎng)關(guān)都會(huì)有獨(dú)立的網(wǎng)關(guān)以及整合到其它多功能網(wǎng)絡(luò)的網(wǎng)關(guān)和在垂直產(chǎn)業(yè)中受到顧客歡迎的安全設(shè)備。

　　但是，如果反病毒網(wǎng)關(guān)的反應(yīng)并不只是中斷流量，而且還能發(fā)送信號(hào)到NAC實(shí)現(xiàn)，那么你的組織可以完成一個(gè)能快速反應(yīng)的基礎(chǔ)架構(gòu)，它能知道如何應(yīng)對(duì)用戶(hù)和機(jī)器行為：

　　比如，NAC系統(tǒng)可能隔離或者斷開(kāi)用戶(hù)，如圖2所示

　　NAC系統(tǒng)可以采用更加敏銳的方法，如在終端啟動(dòng)反病毒掃描

　　NAC系統(tǒng)同時(shí)還可以確保來(lái)自該終端的后續(xù)流量在直接到達(dá)目的地之前通過(guò)網(wǎng)絡(luò)反病毒網(wǎng)關(guān)

　　網(wǎng)絡(luò)清單/設(shè)備分類(lèi)整合

　　網(wǎng)絡(luò)清單是很多NAC部署的主要部分，這主要是因?yàn)樵谔囟ǖ墓揪W(wǎng)絡(luò)中的許多設(shè)備并不需要運(yùn)行所要求的NAC軟件或者NAC環(huán)境的認(rèn)證。

　　圖3顯示網(wǎng)絡(luò)清單或者設(shè)備分類(lèi)解決方案是如何適應(yīng)典型的NAC部署的。如圖3所顯示，在大多數(shù)NAC解決方案中的策略服務(wù)器足夠處理大多數(shù)管理的設(shè)備。這些設(shè)備一般都可以運(yùn)行某種形式的NAC軟件，同時(shí)NAC系統(tǒng)能夠正確地掃描和認(rèn)證它們，如802.1X。這個(gè)范疇的設(shè)備一般包括：

　　•運(yùn)行各種操作系統(tǒng)的臺(tái)式和筆記本電腦

　　•智能手機(jī)

　　•PDA

　　•激活802.1X的VoIP電話

圖3：一個(gè)帶有NAC的清單和設(shè)備分類(lèi)示例

　　當(dāng)你的組織需要處理還沒(méi)有整合NAC解決方案的設(shè)備時(shí)，就可以使用網(wǎng)絡(luò)清單解決方案。根據(jù)不同的組織類(lèi)型，這些設(shè)備甚至比你的網(wǎng)絡(luò)中的管理多得多。這些設(shè)備類(lèi)型包括較老的和低端的設(shè)備

　　•VoIP電話和PDA

　　•打印機(jī)

　　•掃描儀

　　•安全攝影機(jī)

　　•視頻會(huì)議設(shè)備

　　•HVAC系統(tǒng)

　　•醫(yī)療設(shè)備

　　在大型的公司網(wǎng)絡(luò)中，很多激活I(lǐng)P的設(shè)備并不具備恰當(dāng)?shù)能浖?lái)激活全面的NAC身份認(rèn)證。

　　記?。【W(wǎng)絡(luò)清單解決方案必須了解這些設(shè)備，并將它們歸檔以便確定它們實(shí)際的類(lèi)型，并將它們報(bào)告給NAC解決方案，這樣NAC才可以決定它們將在網(wǎng)絡(luò)中獲得哪種訪問(wèn)級(jí)別。

　　詳細(xì)目錄系統(tǒng)絕對(duì)必須能夠確定一個(gè)真正的未管理設(shè)備和一個(gè)看似為未管理設(shè)備的已管理設(shè)備之間的不同。比如，如果用戶(hù)知道NAC授權(quán)打印機(jī)訪問(wèn)網(wǎng)絡(luò)，那么一個(gè)不擇手段的用戶(hù)可能?chē)L試通過(guò)偽裝為網(wǎng)絡(luò)上的打印機(jī)繞過(guò)NAC策略。例如，該用戶(hù)可能通過(guò)克隆一個(gè)已知的打印機(jī)MAC地址來(lái)偽裝成為一個(gè)打印機(jī)。一個(gè)好的網(wǎng)絡(luò)清單系統(tǒng)具備監(jiān)控主機(jī)行為和將其分辨為筆記本電腦而非打印機(jī)的功能，這意味著只有用戶(hù)具備正確的身份認(rèn)證，設(shè)備才可以連接到網(wǎng)絡(luò)上，這樣就斷絕了用戶(hù)繞過(guò)NAC策略的風(fēng)險(xiǎn)或跳過(guò)重要的身份認(rèn)證和設(shè)備分類(lèi)的步驟。