整合網(wǎng)絡訪問控制（NAC）解決方案到其它網(wǎng)絡安全工具將有助于擴展用戶和主機身份認證，同時也可以增強網(wǎng)絡上的安全策略?！秱纬绦虻木W(wǎng)絡訪問控制》的“擴展NAC”的第一部分闡述了網(wǎng)絡訪問控制解決方案如何與入侵檢測預防工具、防病毒網(wǎng)關和網(wǎng)絡詳細目錄/設備分類應用整合來增強這些功能。

了解如何整合網(wǎng)絡訪問控制解決方案與網(wǎng)絡安全工具，并找出失誤以便更好發(fā)展。

擴展NAC：偽程序的網(wǎng)絡訪問控制

試想目前你的網(wǎng)絡中所部署的大量的網(wǎng)絡和安全設備——它們之間有何共同點，以及它們在NAC方面有哪些類似之處呢？

這些設備都收集用戶在網(wǎng)絡上的操作信息。這些信息量很大，而且這些信息都是直接存入日志文件存檔，沒有人會再看一次。正確的利用這些信息可以讓你查看用戶網(wǎng)絡的行為，并允許你使用這些信息來快速更改訪問控制決策。

這些收集用戶行為信息的設備都是為實現(xiàn)最佳可視性而在你的網(wǎng)絡中有策略性地放置的。大多數(shù)情況下，你可以使用這個安置作為附加的覆蓋實施方案以便允許你在網(wǎng)絡中的每個策略使用用戶和主機身份認證信息。

在本文中，我們將探討如何在制造商提供的功能基礎上擴展多個NAC系統(tǒng)，從而在網(wǎng)絡中實現(xiàn)NAC與更廣泛的系統(tǒng)、設備和應用相配合。

了解網(wǎng)絡

NAC事實上是第一個能將所有的網(wǎng)絡和安全元素上的信息協(xié)調(diào)到一個位置的方案，這樣你就可以根據(jù)用戶身份和終端安全狀態(tài)以及每個用戶登錄到網(wǎng)絡上的行為來建立訪問控制政策。

新的標準，如TNC的IF-MAP協(xié)議，已經(jīng)實現(xiàn)了這個級別的協(xié)調(diào)。而隨著這些標準的出現(xiàn)并不斷被越來越多的供應商所采用，你將可以使用這些新的措施和政策來從其它產(chǎn)品的擴展得到NAC實現(xiàn)的附加價值。接下來將舉例探討NAC部署是如何在其它產(chǎn)品擴展中受益。

IDP/IPS整合

入侵檢測防御（IDP），或入侵防御系統(tǒng)（IPS），最近幾年越來越受歡迎，特別是當供應商應對NAC市場的早期挑戰(zhàn)時，如感知部署和可用性難點。目前，大多數(shù)大型的組織都全面部署了IDP/IPS，但是在使用NAC之前，這些解決方案都被一定程度的限制以防止公司網(wǎng)絡中發(fā)生新的攻擊。你可以配置所有的IPS探測器來中斷網(wǎng)絡中惡意或其它不需要的流量。比如，假設一個特定的終端發(fā)起一個針對公司數(shù)據(jù)中心的應用服務器的攻擊，并且IPS檢測到該流量是惡意的，那么IDP/IPS可以通過所配置的策略來中斷流量。雖然這個響應是充分的，但是，在某些情況下，你可能想進一步阻止網(wǎng)絡以后的攻擊。NAC可以幫助你從IDP/IPS設備中獲取信息，并在被攻擊或發(fā)生意外事件時使用這些信息來處理終端用戶的訪問。

如果你實現(xiàn)了IDP設備與NAC解決方案全面的整合（市場上有些解決方案能夠達到這個級別的整合），那么IDP將繼續(xù)執(zhí)行它的核心功能——檢測網(wǎng)絡流量和中斷無用的數(shù)據(jù)包。然而，在NAC整合允許IDP/IPS發(fā)送無用流量的明細（包括嚴重性、用戶IP地址和攻擊特征）到NAC解決方案。當接受到該信息時，NAC可以對相關的終端用戶或終端采取措施。NAC可以通過將用戶進行隔離、失效用戶的會話，或者甚至失效用戶的帳號（根據(jù)管理員所設置的政策）來處理這個事件。圖1描述了在公司網(wǎng)絡中一個NAC和IDP/IPS混合解決方案。

圖1所顯示的整合類型允許一個有大量用戶和設備認證信息的NAC解決方案和一個有大量流量和行為信息的IDP/IPS解決方案之間的全面協(xié)調(diào)。

圖1：一個NAC/IPS整合例子

　　安全故障和事件管理整合

　　近幾年來，安全故障/信息和事件管理（SIEM）產(chǎn)品越來越受到歡迎，許多供應商也開始涉足這個市場。這些產(chǎn)品可以協(xié)調(diào)網(wǎng)絡設備上豐富的信息，并讓SIEM產(chǎn)品在NAC部署中成為一個非常合理的整合或擴展。

　　技術資料

　　SIEM產(chǎn)品可以收集不同設備的日志并關連相關的信息，這樣它就可以有效地確定網(wǎng)絡中的事件、攻擊或者其它的異?，F(xiàn)象。SIEM產(chǎn)品所提供的信息允許IT管理員審查這些事件和潛在漏洞，從而可以在黑客利用這些問題之前采取相應的操作來解決這些問題。SIEM產(chǎn)品利用諸如流和事件相互關系的工具來提供風險和漏洞分析給網(wǎng)絡管理員和安全人員。

　　和IDP/IPS類似（在前面已經(jīng)討論過），SIEM產(chǎn)品的局限在于在產(chǎn)品發(fā)現(xiàn)了攻擊之后，它們?nèi)绾巫柚顾鶛z測到的攻擊繼續(xù)發(fā)生。NAC可以通過防御后續(xù)惡意的行為來彌補這個缺點，從而可以使SIEM發(fā)揮更大的作用和價值。通過正確的整合，你可以將SIEM上的事件直接引導到NAC策略服務器。通過組合NAC，你可以對SIEM采取與IDP/IPS的相似操作。根據(jù)攻擊的嚴重性和類型，你可能采取包括從臨時隔離終端用戶到失效終端用戶帳戶的操作，這樣他或她只有在管理員進行了進一步的調(diào)查之后才能夠重新登錄。這個組合的解決方案比兩個單獨的解決方案的簡單相加更強大。

　　整合方案的完整范圍是取決于SIEM和NAC供應商一起努力支持相同標準或API來進行該信息的交換的意愿有多強烈的。由于NAC正變得越來越流行，很多SIEM供應商很可能都意識到這些類型整合的可能性，并且開始開發(fā)支持這些標準的產(chǎn)品。

圖2：一個整合SIEM的NAC策略

　　網(wǎng)絡反病毒整合

　　由于反病毒在公司網(wǎng)絡中很受重視，因此，將NAC擴展到網(wǎng)絡反病毒網(wǎng)關對組織而言很有意義。在必要的情況下，網(wǎng)絡反病毒應用會不斷地查看網(wǎng)絡中的流量、掃描病毒和執(zhí)行清理。

　　小貼士！擴展NAC到你的網(wǎng)絡反病毒網(wǎng)關都會有獨立的網(wǎng)關以及整合到其它多功能網(wǎng)絡的網(wǎng)關和在垂直產(chǎn)業(yè)中受到顧客歡迎的安全設備。

　　但是，如果反病毒網(wǎng)關的反應并不只是中斷流量，而且還能發(fā)送信號到NAC實現(xiàn)，那么你的組織可以完成一個能快速反應的基礎架構(gòu)，它能知道如何應對用戶和機器行為：

　　比如，NAC系統(tǒng)可能隔離或者斷開用戶，如圖2所示

　　NAC系統(tǒng)可以采用更加敏銳的方法，如在終端啟動反病毒掃描

　　NAC系統(tǒng)同時還可以確保來自該終端的后續(xù)流量在直接到達目的地之前通過網(wǎng)絡反病毒網(wǎng)關

　　網(wǎng)絡清單/設備分類整合

　　網(wǎng)絡清單是很多NAC部署的主要部分，這主要是因為在特定的公司網(wǎng)絡中的許多設備并不需要運行所要求的NAC軟件或者NAC環(huán)境的認證。

　　圖3顯示網(wǎng)絡清單或者設備分類解決方案是如何適應典型的NAC部署的。如圖3所顯示，在大多數(shù)NAC解決方案中的策略服務器足夠處理大多數(shù)管理的設備。這些設備一般都可以運行某種形式的NAC軟件，同時NAC系統(tǒng)能夠正確地掃描和認證它們，如802.1X。這個范疇的設備一般包括：

　　•運行各種操作系統(tǒng)的臺式和筆記本電腦

　　•智能手機

　　•PDA

　　•激活802.1X的VoIP電話

圖3：一個帶有NAC的清單和設備分類示例

　　當你的組織需要處理還沒有整合NAC解決方案的設備時，就可以使用網(wǎng)絡清單解決方案。根據(jù)不同的組織類型，這些設備甚至比你的網(wǎng)絡中的管理多得多。這些設備類型包括較老的和低端的設備

　　•VoIP電話和PDA

　　•打印機

　　•掃描儀

　　•安全攝影機

　　•視頻會議設備

　　•HVAC系統(tǒng)

　　•醫(yī)療設備

　　在大型的公司網(wǎng)絡中，很多激活IP的設備并不具備恰當?shù)能浖砑せ钊娴腘AC身份認證。

　　記住！網(wǎng)絡清單解決方案必須了解這些設備，并將它們歸檔以便確定它們實際的類型，并將它們報告給NAC解決方案，這樣NAC才可以決定它們將在網(wǎng)絡中獲得哪種訪問級別。

　　詳細目錄系統(tǒng)絕對必須能夠確定一個真正的未管理設備和一個看似為未管理設備的已管理設備之間的不同。比如，如果用戶知道NAC授權(quán)打印機訪問網(wǎng)絡，那么一個不擇手段的用戶可能嘗試通過偽裝為網(wǎng)絡上的打印機繞過NAC策略。例如，該用戶可能通過克隆一個已知的打印機MAC地址來偽裝成為一個打印機。一個好的網(wǎng)絡清單系統(tǒng)具備監(jiān)控主機行為和將其分辨為筆記本電腦而非打印機的功能，這意味著只有用戶具備正確的身份認證，設備才可以連接到網(wǎng)絡上，這樣就斷絕了用戶繞過NAC策略的風險或跳過重要的身份認證和設備分類的步驟。