Symantec 年会内部稿件_5-网络准入控制的顺利实施

网络准入控制揭密-分阶段部署徐亮,高级系统工程师日程1.信息安全图景–NAC可以帮助你解决的问题2.网络准入控制基础3.不同类型的网络准入控制–正面与反面4.网络准入控制实现要面临的挑战5.分阶段的NAC–一步一个脚印企业网络不断对外暴露无线网络Web应用访客顾问IPsecVPN在家工作的员工广域网与外延网SSLVPNInternet信息亭和共享的计算机随着威胁的变化，技术也必需相应变化•从黑客和间谍…到小偷寂静大量的变种高度地目标性很少,确定的变种不加选择嘈杂并可见从中断正常操作发展到损害信誉一切都从终端开始…•不安全以及不遵从安全规定的终端危及网络和数据•没有连接到受NAC保护的网络时，终端本身也处于风险之中•NAC的策略是终端策略的一部分–NAC正在向终端上收敛(Forrester)–网络依然是强制和隔离的重要工具•有效的修复从终端上发起•以终端为中心使得使用基于场所的策略成为可能–更有弹性和有效地检查和修复，而不管终端在那里我如何确保网络中所有节点都受到防护并遵从策略?对终端授权而不只是对用户授权•通过创造一个封闭系统来控制谁可以访问你的网络•在终端连接到网络之前确保其具有必需的补丁、配置和特征文件•执行自动化的终端修复–在取得访问权之前强制策略的执行授权的用户授权的终端+受保护的网络防病毒软件已经安装并更新?9防火墙已经安装并运行?9必需的补丁和服务包?9必需的配置?9Symantec端点策略遵从流程对照策略检查终端配置的遵从性第二步□终端连接到网络配置已经确定第一步监控终端以确保对策略的持续遵从第四步基于策略检查的结果采取动作第三步补丁隔离虚拟桌面NAC解决方案分类•网络中心设备–产品以硬件方式投放市场–通常通过设备“在线”部署代理程序–有些没有客户端–使用多种强制方式•交换机替换或其它在线设备–必需在通讯流的中间位置–通常结合网络流量分析使用无客户端扫描的方式–通常是昂贵的–必需更换接入层交换机或到处都部署•以代理程序为中心–使用专用代理程序–始终掌握终端的遵从状态–即使当终端离开网络时–拥有执行自动化修复的必要权限–与网络交换机及设备结合来强制NAC策略网络“检测并响应”准入控制1.不合规的系统连接到网络2.硬件设备得知有设备接入流量发生•SNMPtrap,mirrorport….3.设备询问客户端•要求提供信任状•或–被动地观测通讯4.硬件做出响应阻断客户端•关闭端口•TCP重置•Arp压制□•Reactive–威胁可以在被发现以前扩散•Inconsistent–不保证一定能封堵违规终端•Notscalable–需要太多的设备•Value–网络审计，入侵检测网络“运行时重配置”访问控制1.设备使用SNMP或CLI重新配置交换机2.客户端出现并被硬件阻挡3.硬件询问客户端•有代理、可分发代理•信任状扫描4.硬件重新配置交换机•不再在线•可能执行基于用户的VLAN分配□•常常打断Windows登录过程•Complex–不同固件版本间的SNMP不同•Notscalable–需要太多硬件•Value–小公司或小规模部署网络“买个新的”访问控制1.将所有接入交换机更新成NAC交换机•昂贵•复杂•疯狂•Value–如果你喜欢交换机以外所有东西….代理为中心的方式具有昀好的效果•专用代理是精确评估终端所必需的–昀快的策略评估–昀快的网络恢复–代理程序具有评估及修复“闭环”所必需的所有权限–外部扫描太慢，并且需要管理员权限才能有效•解决方案必需提供在访问前主动阻断（或和使用802.1x同等的）的功能–否则不能阻止问题扩散•必需为访客访问提供“可分发”的解决方案–需要多平台支持–Macs正变得越来越常见您已经为NAC做好准备了么?•是否有一套想要强制的标准安全工具?–对于一些方案而言使用超过一个版本/厂商的产品没有问题，但是太多的差异会带来太多的复杂性•是否有一个标准的桌面镜像?•当前已经部署的桌面机是否使用的是那个镜像?•用户群体是否是“组织上复杂”的?–许多的部门,职责,标准•网络是否为802.1x准备好了?大多伴随着固件升级.不必为准备NAC而解决所有的问题!分阶段着手确保成功Complexity/SophisticationLevelofSecurity从受管理的终端开始!监控及/或修复在终端上强制执行策略爬受管理的终端限制访客、无线和会议室走不受管理的终端锁定WAN以及无线网络全面网络锁定跑网络锁定SymantecNetworkAccessControl11.0架构概述企业级NAC的需求普遍的终端覆盖•受管理设备•笔记本•服务器•台式机•未管理的设备•访客•合同工•家庭计算机和公共终端•打印机及其它设备全面强制•在所有企业环境中都可部署:•LAN•802.1x•DHCP•WLAN•VPN•SSL•IPSec•Webportal对集成的支持•标准•802.1x•TCGTNC•框架•MicrosoftNAP自动化修复•与现有工具和工作流程紧密结合•不要终端用户干预•可配置的延期修复选项企业级管理•集中管理•可扩充•灵活、有弹性•冗余•多层级“Automatedremediationwillminimizeproductivitylossandhelpdesklaborcostsfordeploymentsthatencompassalargenumberofmanagedendpoints.”UnderstandingBenefitsofInstalledEndpointAgentsforNAC,GartnerID#G00140811学习模式•在补丁周期中保持生产力SymantecEndpointProtectionManagerSymantecNetworkAccessControl:系统组件SymantecEndpointProtectionClientMicrosoftSQLServerDatabaseEndpointEnforcementManagementSymantecLANEnforcer802.1xEnabledSwitchSymantecGatewayEnforcerDHCPServerSymantecDHCPEnforcer端点评估技术可分发代理:用于未受管理的终端包括访客永续代理:用于受管理的客户端例外策略:用于不可管理的终端，如打印机带可分发代理的访客接入•可分发代理支持Java,ActiveX,Mozilla以及可执行文件下载•支持MacOSX及Windows•通过SEPM配置统一的策略•On-Demand802.1xsupplicant•集成用户认证并向访客提供基于身份的网络访问SymantecEndpointProtection管理服务器修复资源受保护的网络带可分发代理的GatewayEnforcer访客或未受管理的终端接入层交换机网络强制服务器（NetworkEnforcers）SymantecLANEnforcer-802.1xSymantecDHCPEnforcerSymantecGatewayEnforcerSymantec自强制以及对等强制（peer-to-peer）基于主机SymantecNAC技术综述•802.1xstandards-basedapproach用于LAN以及无线网络–独特的透明模式用昀小的实施成本提供了健壮的NAC•DHCP-basedapproach适与任何结构的LAN和无线网络•Gateway适用于任何网络的在线强制•GuestAccess适用与接入本地网络的未受管理客户端•On-Demand代理程序用于通过SSLVPNs，基于WEB的应用程序以及无线交换机进行连接的未受管理的终端•Self-enforcement(w/Peer-to-Peer)易于部署并确保持续遵从•API-basedintegration与VPNs及拨号服务器整合•Agentlessnetworkscan使用SNACScanner•比其他厂商提供更多的解决方案以适合更多的应用场景!SymantecNAC:易于部署防护级别DHCPApplianceGatewayApplianceLAN(802.1X)Appliance=Host-Based=Network-Based图例Self-EnforcementandP2PSymantecNAC终端自强制:如何工作OnsiteorRemoteLaptopSymantecEndpointProtectionManager修复资源客户端连接到网络并验证策略SEP代理程序执行终端遵从性检查遵从检查失败:应用“Quarantine”防火墙策略遵从检查通过:应用“Office”防火墙策略主机完整性规则状态Anti-Virus启用9Anti-Virus更新9PersonalFirewall启用9ServicePackUpdated9PatchUpdated9SymantecEndpointProtectionAgentwithNAC受保护网络隔离网络PatchUpdated8Symantec对等强制NAC:如何工作OnsiteorRemoteLaptop客户端发起到对端系统的连接对端向客户端询问遵从性状态遵从检查失败:防火墙阻断终端访问遵从检查通过:允许连接主机完整性规则状态Anti-VirusOn9Anti-VirusUpdated9PersonalFirewallOn9ServicePackUpdated9PatchUpdated9SymantecEndpointProtectionAgentwithNACOnsiteorRemoteLaptopSymantecEndpointProtectionAgentwithNAC客户端必需是同一个SEPM的成员自强制准备检查清单9已经建立分组和场所策略9在策略管理服务器上启用了SNAC功能9已决定了修复策略9已创建初始的网络准入控制策略9从只进行审计开始9在所有终端上部署了SNAC代理程序(自动从SEP升级)9为每个组创建合适的隔离处所策略9激活策略并查看日志SymantecNetworkAccessControlEnforcer6100系列硬件SymantecNetworkAccessControlEnforcer6100系列硬件•Enforcer硬件是SNAC的一个组件–不是一个独立的NAC解决方案–和Symantec管理服务器以及Symantec强制代理联合工作•快速部署•简化管理并降低总体拥有成本•高性能–GatewayEnforcer:25,000并发连接(1Gbps吞吐量)–DHCPEnforcer:50,000并发连接–LANEnforcer:10,000并发连接SymantecNACGatewayEnforcement:如何工作RemoteUserSymantecEndpointProtectionManager修复资源受保护网络客户端试图连接网络GatewayEnforcer询问策略和遵从性数据Enforcer验证策略并检查遵从性状态主机完整性规则状态Anti-Virus启用9Anti-Virus更新9防火墙启用9ServicePackUpdated9PatchUpdated9SymantecNACEnforcementAgent网关强制选项阻断客户端HTTP重定向在客户端显示弹出消息重定向网络访问客户端存在并遵从性检查通过:允许访问IPSecVPNGatewayEnforcerPatchUpdated8边界强制检查清单9完成所有自强制检查的项目9在合适的位置部署Enforcer硬件9配置硬件，使之连接到策略管理服务器9创建初始的硬件策略9仅审计或配置可信IP列表以允许修复9确保在隔离访问的情况下修复能正常工作9审计日志，发现问题SymantecNACDHCPEnforcement:DHCPEnforcerPlug-In–如何工作LANDesktoporOnsiteWirelessClientSymantecEndpointProtectionManager修复资源DHCPSer