了解如何整合网络访问控制解决方案与网络安全工具,并找出失误以便更好发展。
扩展NAC:伪程序的网络访问控制
试想目前你的网络中所部署的大量的网络和安全设备——它们之间有何共同点,以及它们在NAC方面有哪些类似之处呢?
这些设备都收集用户在网络上的操作信息。这些信息量很大,而且这些信息都是直接存入日志文件存档,没有人会再看一次。正确的利用这些信息可以让你查看用户网络的行为,并允许你使用这些信息来快速更改访问控制决策。
这些收集用户行为信息的设备都是为实现最佳可视性而在你的网络中有策略性地放置的。大多数情况下,你可以使用这个安置作为附加的覆盖实施方案以便允许你在网络中的每个策略使用用户和主机身份认证信息。
在本文中,我们将探讨如何在制造商提供的功能基础上扩展多个NAC系统,从而在网络中实现NAC与更广泛的系统、设备和应用相配合。
了解网络
NAC事实上是第一个能将所有的网络和安全元素上的信息协调到一个位置的方案,这样你就可以根据用户身份和终端安全状态以及每个用户登录到网络上的行为来建立访问控制政策。
新的标准,如TNC的IF-MAP协议,已经实现了这个级别的协调。而随着这些标准的出现并不断被越来越多的供应商所采用,你将可以使用这些新的措施和政策来从其它产品的扩展得到NAC实现的附加价值。接下来将举例探讨NAC部署是如何在其它产品扩展中受益。
IDP/IPS整合
入侵检测防御(IDP),或入侵防御系统(IPS),最近几年越来越受欢迎,特别是当供应商应对NAC市场的早期挑战时,如感知部署和可用性难点。目前,大多数大型的组织都全面部署了IDP/IPS,但是在使用NAC之前,这些解决方案都被一定程度的限制以防止公司网络中发生新的攻击。你可以配置所有的IPS探测器来中断网络中恶意或其它不需要的流量。比如,假设一个特定的终端发起一个针对公司数据中心的应用服务器的攻击,并且IPS检测到该流量是恶意的,那么IDP/IPS可以通过所配置的策略来中断流量。虽然这个响应是充分的,但是,在某些情况下,你可能想进一步阻止网络以后的攻击。NAC可以帮助你从IDP/IPS设备中获取信息,并在被攻击或发生意外事件时使用这些信息来处理终端用户的访问。
如果你实现了IDP设备与NAC解决方案全面的整合(市场上有些解决方案能够达到这个级别的整合),那么IDP将继续执行它的核心功能——检测网络流量和中断无用的数据包。然而,在NAC整合允许IDP/IPS发送无用流量的明细(包括严重性、用户IP地址和攻击特征)到NAC解决方案。当接受到该信息时,NAC可以对相关的终端用户或终端采取措施。NAC可以通过将用户进行隔离、失效用户的会话,或者甚至失效用户的帐号(根据管理员所设置的政策)来处理这个事件。图1描述了在公司网络中一个NAC和IDP/IPS混合解决方案。
图1所显示的整合类型允许一个有大量用户和设备认证信息的NAC解决方案和一个有大量流量和行为信息的IDP/IPS解决方案之间的全面协调。
图1:一个NAC/IPS整合例子
安全故障和事件管理整合
近几年来,安全故障/信息和事件管理(SIEM)产品越来越受到欢迎,许多供应商也开始涉足这个市场。这些产品可以协调网络设备上丰富的信息,并让SIEM产品在NAC部署中成为一个非常合理的整合或扩展。
技术资料
SIEM产品可以收集不同设备的日志并关连相关的信息,这样它就可以有效地确定网络中的事件、攻击或者其它的异常现象。SIEM产品所提供的信息允许IT管理员审查这些事件和潜在漏洞,从而可以在黑客利用这些问题之前采取相应的操作来解决这些问题。SIEM产品利用诸如流和事件相互关系的工具来提供风险和漏洞分析给网络管理员和安全人员。
和IDP/IPS类似(在前面已经讨论过),SIEM产品的局限在于在产品发现了攻击之后,它们如何阻止所检测到的攻击继续发生。NAC可以通过防御后续恶意的行为来弥补这个缺点,从而可以使SIEM发挥更大的作用和价值。通过正确的整合,你可以将SIEM上的事件直接引导到NAC策略服务器。通过组合NAC,你可以对SIEM采取与IDP/IPS的相似操作。根据攻击的严重性和类型,你可能采取包括从临时隔离终端用户到失效终端用户帐户的操作,这样他或她只有在管理员进行了进一步的调查之后才能够重新登录。这个组合的解决方案比两个单独的解决方案的简单相加更强大。
整合方案的完整范围是取决于SIEM和NAC供应商一起努力支持相同标准或API来进行该信息的交换的意愿有多强烈的。由于NAC正变得越来越流行,很多SIEM供应商很可能都意识到这些类型整合的可能性,并且开始开发支持这些标准的产品。
图2:一个整合SIEM的NAC策略
网络反病毒整合
由于反病毒在公司网络中很受重视,因此,将NAC扩展到网络反病毒网关对组织而言很有意义。在必要的情况下,网络反病毒应用会不断地查看网络中的流量、扫描病毒和执行清理。
小贴士!扩展NAC到你的网络反病毒网关都会有独立的网关以及整合到其它多功能网络的网关和在垂直产业中受到顾客欢迎的安全设备。
但是,如果反病毒网关的反应并不只是中断流量,而且还能发送信号到NAC实现,那么你的组织可以完成一个能快速反应的基础架构,它能知道如何应对用户和机器行为:
比如,NAC系统可能隔离或者断开用户,如图2所示
NAC系统可以采用更加敏锐的方法,如在终端启动反病毒扫描
NAC系统同时还可以确保来自该终端的后续流量在直接到达目的地之前通过网络反病毒网关
网络清单/设备分类整合
网络清单是很多NAC部署的主要部分,这主要是因为在特定的公司网络中的许多设备并不需要运行所要求的NAC软件或者NAC环境的认证。
图3显示网络清单或者设备分类解决方案是如何适应典型的NAC部署的。如图3所显示,在大多数NAC解决方案中的策略服务器足够处理大多数管理的设备。这些设备一般都可以运行某种形式的NAC软件,同时NAC系统能够正确地扫描和认证它们,如802.1X。这个范畴的设备一般包括:
•运行各种操作系统的台式和笔记本电脑
•智能手机
•PDA
•激活802.1X的VoIP电话
图3:一个带有NAC的清单和设备分类示例
当你的组织需要处理还没有整合NAC解决方案的设备时,就可以使用网络清单解决方案。根据不同的组织类型,这些设备甚至比你的网络中的管理多得多。这些设备类型包括较老的和低端的设备
•VoIP电话和PDA
•打印机
•扫描仪
•安全摄影机
•视频会议设备
•HVAC系统
•医疗设备
在大型的公司网络中,很多激活IP的设备并不具备恰当的软件来激活全面的NAC身份认证。
记住!网络清单解决方案必须了解这些设备,并将它们归档以便确定它们实际的类型,并将它们报告给NAC解决方案,这样NAC才可以决定它们将在网络中获得哪种访问级别。
详细目录系统绝对必须能够确定一个真正的未管理设备和一个看似为未管理设备的已管理设备之间的不同。比如,如果用户知道NAC授权打印机访问网络,那么一个不择手段的用户可能尝试通过伪装为网络上的打印机绕过NAC策略。例如,该用户可能通过克隆一个已知的打印机MAC地址来伪装成为一个打印机。一个好的网络清单系统具备监控主机行为和将其分辨为笔记本电脑而非打印机的功能,这意味着只有用户具备正确的身份认证,设备才可以连接到网络上,这样就断绝了用户绕过NAC策略的风险或跳过重要的身份认证和设备分类的步骤。
