NAC 状态评估:确保受管理设备在入网前符合合规性要求
本技术参考指南深入探讨了 NAC 状态评估,详细介绍了执行受管理设备合规性所需的架构、标准和部署策略。它为 IT 经理和网络架构师提供了可操作的见解,以降低风险并确保跨多站点企业环境的安全网络访问。
收听本指南
查看播客转录
- এক্সিকিউটিভ সামারি
- টেকনিক্যাল ডিপ-ডাইভ
- Posture Assessment-এর আর্কিটেকচার
- IEEE 802.1X এবং EAP-TLS-এর ভূমিকা
- Posture Check ক্যাটাগরি
- WPA3-Enterprise এবং ক্রিপ্টোগ্রাফিক স্ট্রেংথ
- ইমপ্লিমেন্টেশন গাইড
- পর্যায় ১: ইনফ্রাস্ট্রাকচার রেডিনেস এবং PKI ডিজাইন
- পর্যায় ২: মনিটর মোড (ভিসিবিলিটি ফেজ)
- পর্যায় ৩: সেগমেন্টেড এনফোর্সমেন্ট
- পর্যায় ৪: রিমিডিয়েশন আর্কিটেকচার
- বেস্ট প্র্যাকটিস
- ট্রাবলশুটিং এবং রিস্ক মিটিগেশন
- সাধারণ ফেইলিওর মোড
- ROI এবং বিজনেস ইমপ্যাক্ট

এক্সিকিউটিভ সামারি
জটিল এবং মাল্টি-সাইট এনভায়রনমেন্ট পরিচালনাকারী এন্টারপ্রাইজ আইটি লিডারদের জন্য, নেটওয়ার্ক অ্যাক্সেসের ক্ষেত্রে শুধুমাত্র আইডেন্টিটি বা পরিচয় আর যথেষ্ট মেট্রিক নয়। কে কানেক্ট করছে তা জানার চেয়ে তারা যে ডিভাইসটি ব্যবহার করছে তার সিকিউরিটি স্টেট বা নিরাপত্তার অবস্থা জানা বেশি জরুরি। Network Access Control (NAC) posture assessment হলো সেই মেকানিজম যা এই শূন্যস্থান পূরণ করে এবং নিশ্চিত করে যে, প্রোডাকশন ট্রাফিকের একটি প্যাকেট ট্রান্সমিট করার আগেই শুধুমাত্র ম্যানেজড এবং কমপ্লায়েন্ট ডিভাইসগুলো কর্পোরেট ইনফ্রাস্ট্রাকচারে অ্যাক্সেস পায়।
এই গাইডটি NAC posture assessment ডিজাইন, ডিপ্লয় এবং ম্যানেজ করার বিষয়ে একটি বিস্তৃত টেকনিক্যাল রেফারেন্স প্রদান করে। আমরা 802.1X, RADIUS এবং EAP-TLS সহ এর অন্তর্নিহিত আর্কিটেকচার নিয়ে আলোচনা করেছি, এজেন্ট-বেসড এবং এজেন্টলেস ইন্টারোগেশনের সুবিধা-অসুবিধা মূল্যায়ন করেছি এবং অপারেশনাল ব্যাঘাত কমায় এমন একটি পর্যায়ক্রমিক ডিপ্লয়মেন্ট স্ট্র্যাটেজির রূপরেখা দিয়েছি। আপনি কোনো কর্পোরেট হেডকোয়ার্টার, ডিস্ট্রিবিউটেড রিটেইল এস্টেট, অথবা হসপিটালিটি খাতের ব্যাক-অফিস অপারেশন সুরক্ষিত করুন না কেন, ঝুঁকি কমানো এবং কমপ্লায়েন্স প্রয়োগের ক্ষেত্রে একটি শক্তিশালী posture assessment বাস্তবায়ন করা অত্যন্ত গুরুত্বপূর্ণ পদক্ষেপ।
মূল কনসেপ্ট এবং ডিপ্লয়মেন্টের সাধারণ ত্রুটিগুলোর একটি এক্সিকিউটিভ ওভারভিউ পেতে নিচে আমাদের ১০ মিনিটের টেকনিক্যাল ব্রিফিং পডকাস্টটি শুনুন।
টেকনিক্যাল ডিপ-ডাইভ
Posture Assessment-এর আর্কিটেকচার
Network Access Control ডিভাইসের কানেক্টিভিটি নিয়ন্ত্রণ করে, কিন্তু posture assessment হলো ডিভাইসের সিকিউরিটি হেলথ বা নিরাপত্তার অবস্থার নির্দিষ্ট ইন্টারোগেশন। এর আর্কিটেকচার মূলত একসাথে কাজ করা তিনটি প্রধান উপাদানের ওপর নির্ভর করে:
১. Policy Enforcement Point (PEP): এটি হলো ফিজিক্যাল বা লজিক্যাল গেটকিপার—সাধারণত একটি ওয়্যারলেস অ্যাক্সেস পয়েন্ট, সুইচ পোর্ট, অথবা ওয়্যারলেস ল্যান কন্ট্রোলার। পলিসি ইঞ্জিনের নির্দেশনার ওপর ভিত্তি করে PEP ফিজিক্যালি ট্রাফিকের প্রবাহ নিয়ন্ত্রণ করে। ২. Policy Decision Point (PDP): প্রায়শই RADIUS বা AAA সার্ভারের সাথে ইন্টিগ্রেটেড থাকা PDP হলো NAC আর্কিটেকচারের মস্তিষ্ক। এটি posture ডেটা গ্রহণ করে, নির্ধারিত কমপ্লায়েন্স পলিসির বিপরীতে তা মূল্যায়ন করে এবং PEP-কে এনফোর্সমেন্ট ডিরেক্টিভ বা নির্দেশিকা প্রদান করে। ৩. Posture Assessment Engine: এই উপাদানটি এন্ডপয়েন্ট থেকে প্রকৃত হেলথ ডেটা সংগ্রহ করে। এটি ডিভাইসে লোকালি চলা কোনো এজেন্ট হতে পারে, অথবা নেটওয়ার্ক প্রোটোকল (যেমন, SNMP, WMI) বা Mobile Device Management (MDM) প্ল্যাটফর্মের সাথে API ইন্টিগ্রেশন ব্যবহার করা কোনো এজেন্টলেস মেকানিজম হতে পারে।

IEEE 802.1X এবং EAP-TLS-এর ভূমিকা
এন্টারপ্রাইজ NAC-এর ভিত্তি হলো IEEE 802.1X স্ট্যান্ডার্ড, যা পোর্ট-বেসড নেটওয়ার্ক অ্যাক্সেস কন্ট্রোল সংজ্ঞায়িত করে। এই ফ্রেমওয়ার্কের মধ্যে তিনটি ভূমিকা সংজ্ঞায়িত করা হয়েছে:
- Supplicant: কানেক্ট করার চেষ্টা করা এন্ডপয়েন্ট ডিভাইস।
- Authenticator: কানেকশনে সহায়তা করা PEP (সুইচ বা অ্যাক্সেস পয়েন্ট)।
- Authentication Server: ক্রেডেনশিয়াল যাচাইকারী RADIUS সার্ভার।
Supplicant এবং Authentication Server-এর মধ্যে যোগাযোগ Extensible Authentication Protocol (EAP)-এর মাধ্যমে ঘটে, যা Authenticator-এর মধ্য দিয়ে টানেল করা থাকে। ম্যানেজড কর্পোরেট ডিভাইসের জন্য EAP-TLS হলো গোল্ড স্ট্যান্ডার্ড। এটি X.509 ডিজিটাল সার্টিফিকেট ব্যবহার করে মিউচুয়াল অথেনটিকেশন বাধ্যতামূলক করে, যা নিশ্চিত করে যে ডিভাইস এবং নেটওয়ার্ক উভয়ই ক্রিপ্টোগ্রাফিকভাবে একে অপরের পরিচয় যাচাই করে। এটি ক্রেডেনশিয়াল চুরি এবং রগ (rogue) অ্যাক্সেস পয়েন্ট অ্যাটাক প্রতিরোধ করে।
Posture Check ক্যাটাগরি
যখন কোনো ডিভাইস কানেক্ট করার চেষ্টা করে, তখন posture assessment ইঞ্জিন বেশ কয়েকটি গুরুত্বপূর্ণ ভেক্টর মূল্যায়ন করে:
- OS ও প্যাচ ম্যানেজমেন্ট: অপারেটিং সিস্টেমটি সাপোর্টেড কিনা এবং নির্ধারিত SLA-এর মধ্যে ক্রিটিক্যাল প্যাচগুলো অ্যাপ্লাই করা হয়েছে কিনা তা যাচাই করা।
- এন্ডপয়েন্ট সিকিউরিটি (AV/EDR): অনুমোদিত অ্যান্টি-ভাইরাস বা Endpoint Detection and Response এজেন্ট ইনস্টল করা, সক্রিয় এবং আপডেটেড ডেফিনিশন ধারণ করছে কিনা তা নিশ্চিত করা।
- ফায়ারওয়াল স্ট্যাটাস: হোস্ট-বেসড ফায়ারওয়াল এনাবল করা আছে এবং এর পলিসিতে কোনো পরিবর্তন করা হয়নি তা নিশ্চিত করা।
- ডিস্ক এনক্রিপশন: ফুল-ডিস্ক এনক্রিপশন (যেমন, BitLocker, FileVault) সক্রিয় আছে এবং সাসপেন্ডেড অবস্থায় নেই তা যাচাই করা।
- সার্টিফিকেট ভ্যালিডেশন: প্রয়োজনীয় মেশিন সার্টিফিকেটের উপস্থিতি এবং বৈধতা পরীক্ষা করা।
- কনফিগারেশন কমপ্লায়েন্স: ডিভাইসের সিকিউরিটি বেসলাইন কর্পোরেট পলিসির সাথে মিলে কিনা তা নিশ্চিত করা (যেমন, স্ক্রিন লক টাইমার, ডিজেবল করা USB মাস স্টোরেজ)।

WPA3-Enterprise এবং ক্রিপ্টোগ্রাফিক স্ট্রেংথ
নেটওয়ার্ক সিকিউরিটির উন্নতির সাথে সাথে এর অন্তর্নিহিত ক্রিপ্টোগ্রাফিক স্ট্যান্ডার্ডগুলোও উন্নত হয়। WPA3-Enterprise, বিশেষ করে যখন এটি 192-বিট মোডে কাজ করে, তখন এটি WPA2-এর তুলনায় উল্লেখযোগ্য উন্নতি প্রদান করে। এটি এনক্রিপশনের জন্য GCMP-256 এবং ইন্টিগ্রিটির জন্য HMAC-SHA-384 ব্যবহার বাধ্যতামূলক করে। সংবেদনশীল ডেটা নিয়ে কাজ করা প্রতিষ্ঠানগুলোর জন্য—যেমন PCI DSS-এর আওতাভুক্ত রিটেইল এনভায়রনমেন্ট বা কঠোর ডেটা গভর্ন্যান্সের অধীনে থাকা হেলথকেয়ার সুবিধাগুলো—নেটওয়ার্ক ইনফ্রাস্ট্রাকচারকে ফিউচার-প্রুফ করার জন্য WPA3-Enterprise-এ ট্রানজিশন করা একটি প্রয়োজনীয় পদক্ষেপ।
ইমপ্লিমেন্টেশন গাইড
ব্যাপক নেটওয়ার্ক আউটেজ এড়াতে NAC posture assessment ডিপ্লয় করার জন্য সতর্ক পরিকল্পনার প্রয়োজন। এন্টারপ্রাইজ এনভায়রনমেন্টের জন্য নিচের পর্যায়ক্রমিক পদ্ধতিটি সুপারিশ করা হলো:
পর্যায় ১: ইনফ্রাস্ট্রাকচার রেডিনেস এবং PKI ডিজাইন
Posture check এনাবল করার আগে, আপনার অন্তর্নিহিত ইনফ্রাস্ট্রাকচার এই আর্কিটেকচারকে সাপোর্ট করতে পারে কিনা তা নিশ্চিত করুন। EAP-TLS ডিপ্লয় করলে, একটি শক্তিশালী Public Key Infrastructure (PKI) থাকা অপরিহার্য। আপনার MDM বা গ্রুপ পলিসির মাধ্যমে সার্টিফিকেটগুলো স্বয়ংক্রিয়ভাবে প্রভিশন এবং রিনিউ হতে হবে। ম্যানুয়াল সার্টিফিকেট ম্যানেজমেন্টের ফলে সার্টিফিকেট মেয়াদোত্তীর্ণ হলে অনিবার্যভাবেই কানেক্টিভিটি ফেইলিওর দেখা দেবে।
পর্যায় ২: মনিটর মোড (ভিসিবিলিটি ফেজ)
যেকোনো NAC ডিপ্লয়মেন্টের সবচেয়ে গুরুত্বপূর্ণ পর্যায় হলো মনিটর মোড। এই পর্যায়ে, NAC সিস্টেম ডিভাইসের posture মূল্যায়ন করে এবং ফলাফলগুলো লগ করে, কিন্তু পলিসি এনফোর্স করে না। Posture-এর ফলাফল যাই হোক না কেন, PEP সম্পূর্ণ অ্যাক্সেসের অনুমতি দেয়。
কমপক্ষে ২-৪ সপ্তাহের জন্য মনিটর মোড রান করুন। এটি আপনার এস্টেটের প্রকৃত কমপ্লায়েন্স অবস্থা সম্পর্কে ধারণা প্রদান করে। ব্রোকেন এজেন্ট, পেন্ডিং রিবুট বা মিসকনফিগারেশনের কারণে চেক ফেইল করা ডিভাইসগুলোকে আপনি শনাক্ত করতে পারবেন। এস্টেটকে প্রোঅ্যাক্টিভভাবে রিমিডিয়েট বা সংশোধন করতে এই ডেটা ব্যবহার করুন।
পর্যায় ৩: সেগমেন্টেড এনফোর্সমেন্ট
কমপ্লায়েন্স বেসলাইন গ্রহণযোগ্য পর্যায়ে পৌঁছালে, এনফোর্সমেন্ট শুরু করুন। পলিসি মূল্যায়নের ওপর ভিত্তি করে ডিভাইসগুলোকে তিনটি অবস্থায় ভাগ করা হয়:
১. Compliant: ডিভাইসটি সমস্ত ক্রিটিক্যাল চেক পাস করে এবং সম্পূর্ণ প্রয়োজনীয় অ্যাক্সেস সহ প্রোডাকশন VLAN-এ অ্যাসাইন করা হয়। ২. Conditional: ডিভাইসটি কোনো নন-ক্রিটিক্যাল চেক ফেইল করে (যেমন, একটি মাইনর OS আপডেট পেন্ডিং আছে)। এটিকে রেস্ট্রিক্টেড অ্যাক্সেস (যেমন, শুধুমাত্র ইন্টারনেট) দেওয়া হতে পারে এবং ব্যবহারকারীকে একটি নির্দিষ্ট সময়সীমার মধ্যে তা সংশোধন করার জন্য নোটিফাই করা হয়। ৩. Non-Compliant: ডিভাইসটি কোনো ক্রিটিক্যাল চেক ফেইল করে (যেমন, AV ডিজেবল করা)। PEP ডিভাইসটিকে একটি কোয়ারেন্টাইন VLAN-এ অ্যাসাইন করে।
পর্যায় ৪: রিমিডিয়েশন আর্কিটেকচার
কোয়ারেন্টাইন VLAN-কে অবশ্যই কঠোরভাবে আইসোলেটেড রাখতে হবে। এটি শুধুমাত্র রিমিডিয়েশন পোর্টাল, প্রয়োজনীয় আপডেট সার্ভার (যেমন, Windows Update, AV ডেফিনিশন সার্ভার) এবং ইন্টারনাল আইটি সাপোর্ট রিসোর্সে ট্রাফিকের অনুমতি দেবে। যদি কোনো কোয়ারেন্টাইন করা ডিভাইস প্রোডাকশন সাবনেটে ট্রাফিক রাউট করতে পারে, তবে বুঝতে হবে NAC আর্কিটেকচার ব্যর্থ হয়েছে।
বেস্ট প্র্যাকটিস
- কন্টিনিউয়াস অ্যাসেসমেন্ট: লিগ্যাসি NAC শুধুমাত্র কানেকশনের সময় posture মূল্যায়ন করে। মডার্ন ডিপ্লয়মেন্টগুলোকে অবশ্যই কন্টিনিউয়াস অ্যাসেসমেন্ট সাপোর্ট করতে হবে, যা নির্দিষ্ট বিরতিতে বা কোনো ইভেন্টের (যেমন, একটি EDR অ্যালার্ট) রেসপন্সে posture পুনরায় মূল্যায়ন করে এবং Change of Authorization (CoA)-এর মাধ্যমে ডায়নামিকভাবে ডিভাইসের অ্যাক্সেস লেভেল আপডেট করে।
- এজেন্ট বনাম এজেন্টলেস: ম্যানেজড কর্পোরেট ডিভাইসের ক্ষেত্রে, এজেন্ট-বেসড পদ্ধতি সবচেয়ে গভীর ভিসিবিলিটি এবং কন্টিনিউয়াস মনিটরিং সক্ষমতা প্রদান করে। আনম্যানেজড ডিভাইস বা এমন এনভায়রনমেন্টের জন্য এজেন্টলেস ইন্টারোগেশন উপযুক্ত, যেখানে এজেন্ট ডিপ্লয় করা অ্যাডমিনিস্ট্রেটিভভাবে নিষিদ্ধ।
- MAC Authentication Bypass (MAB): 802.1X-এ অক্ষম ডিভাইসগুলোর (যেমন, লিগ্যাসি প্রিন্টার, IoT সেন্সর) জন্য MAB প্রয়োজন। তবে, MAB স্বভাবতই অনিরাপদ কারণ MAC অ্যাড্রেস স্পুফ করা যায়। MAB ডিভাইসগুলোকে অবশ্যই গভীরভাবে প্রোফাইল করতে হবে এবং কঠোরভাবে নিয়ন্ত্রিত, আইসোলেটেড VLAN-এ রাখতে হবে।
- স্ট্যান্ডার্ডের সাথে সামঞ্জস্য রাখা: আপনার posture পলিসিগুলোকে CIS বেঞ্চমার্কের মতো প্রতিষ্ঠিত ফ্রেমওয়ার্কের ওপর ভিত্তি করে তৈরি করুন। এটি নিশ্চিত করে যে আপনার কমপ্লায়েন্স চেকগুলো ভেন্ডর-নিউট্রাল এবং ইন্ডাস্ট্রির বেস্ট প্র্যাকটিসের সাথে সামঞ্জস্যপূর্ণ।
- গেস্ট ট্রাফিক আইসোলেট করা: কর্পোরেট NAC posture assessment-এর সাথে পাবলিক অ্যাক্সেস নেটওয়ার্কের কখনোই ইন্টারসেক্ট করা উচিত নয়। যেসব ভেন্যুতে উভয়ই প্রয়োজন, সেখানে সম্পূর্ণ আলাদা ইনফ্রাস্ট্রাকচারে পাবলিক অ্যাক্সেস ম্যানেজ করার জন্য একটি ডেডিকেটেড Guest WiFi প্ল্যাটফর্ম ব্যবহার করুন, যেমন Purple-এর WiFi Analytics সলিউশন।
ট্রাবলশুটিং এবং রিস্ক মিটিগেশন
সাধারণ ফেইলিওর মোড
১. 'বিগ ব্যাং' এনফোর্সমেন্ট: ওপেন অ্যাক্সেস থেকে সরাসরি পুরো এস্টেট জুড়ে একসাথে কঠোর এনফোর্সমেন্টে ট্রানজিশন করা অপারেশনাল ব্যাঘাতের একটি নিশ্চিত কারণ। সর্বদা সাইট বা ডিপার্টমেন্ট অনুযায়ী পর্যায়ক্রমিক রোলআউট ব্যবহার করুন। ২. PKI ফেইলিওর: মেয়াদোত্তীর্ণ রুট বা ইন্টারমিডিয়েট সার্টিফিকেট, অথবা Certificate Revocation List (CRL) / Online Certificate Status Protocol (OCSP) ইনফ্রাস্ট্রাকচারের ফেইলিওর ব্যাপক অথেনটিকেশন ফেইলিওরের কারণ হবে। আপনার PKI-এর জন্য শক্তিশালী মনিটরিং বাস্তবায়ন করুন। ৩. রিমিডিয়েশন লুপ: নিশ্চিত করুন যে কোয়ারেন্টাইন VLAN-এ থাকা ডিভাইসগুলোর কমপ্লায়েন্ট হওয়ার জন্য প্রয়োজনীয় আপডেটগুলো ডাউনলোড করার জন্য পর্যাপ্ত নেটওয়ার্ক অ্যাক্সেস রয়েছে। যদি তারা আপডেট সার্ভারে পৌঁছাতে না পারে, তবে তারা স্থায়ীভাবে কোয়ারেন্টাইনে থেকে যাবে।
ROI এবং বিজনেস ইমপ্যাক্ট
NAC posture assessment বাস্তবায়ন করা সাধারণ সিকিউরিটি মেট্রিক্সের বাইরেও পরিমাপযোগ্য বিজনেস ভ্যালু প্রদান করে:
- রিস্ক মিটিগেশন: শুধুমাত্র হেলদি ডিভাইসগুলো নেটওয়ার্কে অ্যাক্সেস পাচ্ছে তা নিশ্চিত করার মাধ্যমে, ম্যালওয়্যার এবং র্যানসমওয়্যারের ল্যাটারাল স্প্রেড উল্লেখযোগ্যভাবে কমানো যায়, যা ব্যয়বহুল ডেটা ব্রিচের সম্ভাবনা হ্রাস করে।
- কমপ্লায়েন্স ভেরিফিকেশন: হসপিটালিটি এবং ট্রান্সপোর্ট -এর মতো কঠোরভাবে নিয়ন্ত্রিত সেক্টরগুলোর জন্য, অটোমেটেড posture assessment PCI DSS এবং GDPR-এর মতো স্ট্যান্ডার্ডগুলোর সাথে কমপ্লায়েন্সের ধারাবাহিক প্রমাণ প্রদান করে, যা অডিট প্রক্রিয়াকে সহজ করে।
- অপারেশনাল এফিশিয়েন্সি: কোয়ারেন্টাইন এবং রিমিডিয়েশন প্রক্রিয়া অটোমেট করার ফলে আইটি হেল্পডেস্কের ওপর চাপ কমে, যা ইঞ্জিনিয়ারদের ম্যানুয়ালি ইনফেক্টেড এন্ডপয়েন্ট ক্লিন করার পরিবর্তে স্ট্র্যাটেজিক উদ্যোগগুলোতে ফোকাস করতে দেয়।
关键定义
802.1X
一种用于基于端口的网络访问控制的 IEEE 标准,为希望连接到 LAN 或 WLAN 的设备提供身份验证机制。
确保在交换机端口或接入点允许任何 IP 流量通过之前,设备必须进行身份验证的基础协议。
EAP-TLS
可扩展认证协议 - 传输层安全性。一种使用 X.509 数字证书进行双向身份验证的认证框架。
推荐用于企业受管理设备的标准,因为它依赖于加密证书而不是容易被破解的密码。
Posture Assessment
根据定义的公司策略评估端点设备的安全状态和配置的过程。
确保设备在被授予网络访问权限之前不仅通过身份验证,而且是“健康”的(已打补丁、已加密、受保护)。
Policy Enforcement Point (PEP)
根据 NAC 策略实际阻止或允许流量的网络设备(交换机、无线控制器或接入点)。
实际执行 NAC 服务器发出的“允许”或“隔离”命令的组件。
Policy Decision Point (PDP)
中央服务器或引擎(通常是 RADIUS 服务器),用于评估身份验证请求和状态数据以确定访问权限。
运营的大脑,保存规则库并决定特定设备应获得何种级别的访问权限。
MAC Authentication Bypass (MAB)
一种回退身份验证方法,当设备无法执行 802.1X 时,使用设备的 MAC 地址作为其凭据。
用于像打印机或物联网传感器这样的无头设备。它本质上很弱,必须与严格的网络分段结合使用。
Change of Authorization (CoA)
一种 RADIUS 扩展,允许 NAC 服务器动态更改活动会话的授权状态。
对于持续评估至关重要;如果设备在连接时变得不合规,CoA 允许 NAC 服务器立即将其移到隔离 VLAN,而无需断开连接。
Quarantine VLAN
一个严格隔离的网段,旨在容纳不合规的设备,仅提供对修复资源的访问。
防止受感染或易受攻击的设备在下载必要更新或补丁时与生产系统通信。
应用实例
一家拥有 400 间客房的酒店要求公司员工笔记本电脑安全访问后台物业管理系统 (PMS)。然而,该场所还拥有大量无法运行 NAC 代理的非受管理物联网设备(智能恒温器、数字标牌)。
为所有公司员工笔记本电脑实施 802.1X EAP-TLS 策略,强制执行严格的状态检查(防病毒处于活动状态、磁盘已加密、已打补丁)。成功合规后,这些设备将动态分配到公司 VLAN。对于物联网设备,实施 MAC 认证旁路 (MAB),并结合深度设备识别。确保这些 MAB 设备放置在隔离的专用物联网 VLAN 中,并使用 ACL 将其访问权限限制为仅与需要通信的特定控制器通信。在任何情况下,物联网 VLAN 都不应路由到公司 VLAN 或 PMS。
一家零售连锁店正在 50 个地点推出新的销售点 (POS) 终端。IT 团队希望强制执行状态合规性以满足 PCI DSS 要求,但担心在推出过程中中断商店运营。
在监控模式下部署 NAC 架构 30 天。在此期间,NAC 系统将对 POS 终端进行身份验证,并根据 PCI DSS 基线(例如,防火墙处于活动状态、无未经授权的软件)评估其状态,但会记录故障而不阻止访问。IT 团队每周审查日志,识别未通过检查的终端,并通过 MDM 平台进行修复。一旦合规率达到 100%,在维护窗口期间按站点将策略切换为执行模式。
练习题
Q1. 某公司办公室最近部署的 NAC 解决方案导致大面积连接问题。昨天还合规的设备现在被放入隔离 VLAN。IT 服务台报告这些设备看起来是健康的,防病毒软件正在运行,补丁也已应用。最可能的架构故障是什么?
提示:考虑 EAP-TLS 中使用的凭据的生命周期。
查看标准答案
最可能的原因是公钥基础设施 (PKI) 出现故障。如果用于 EAP-TLS 身份验证的机器证书已过期,或者 NAC 服务器无法访问证书吊销列表 (CRL) 或 OCSP 响应程序,则无论设备的实际安全状态如何,身份验证都将失败。NAC 系统默认进入故障关闭或隔离状态。
Q2. 您正在为新 NAC 部署设计 VLAN 架构。安全团队坚持认为隔离 VLAN 必须允许访问公司代理服务器,以便用户在设备修复时可以浏览互联网。这是一个合理的设计吗?
提示:评估允许潜在受感染设备访问共享基础设施的风险。
查看标准答案
不,这是一个有缺陷的设计。允许隔离的设备访问公司代理会带来重大风险。如果设备感染了恶意软件,它可能使用代理建立命令与控制通信,或尝试跳转到可通过代理访问的其他内部系统。隔离 VLAN 必须严格隔离,仅允许访问特定的修复服务器(例如 Windows Update、AV 定义服务器)和修复门户本身。
Q3. 一家医院的 IT 团队需要为一组新的无线医疗输液泵保障网络访问。这些设备不支持 802.1X 请求者,也无法运行状态代理。应如何控制这些设备的网络访问?
提示:考虑替代身份验证方法和最小权限原则。
查看标准答案
这些设备必须使用 MAC 认证旁路 (MAB) 进行身份验证。由于 MAB 本质上很弱(MAC 地址可以被欺骗),网络访问必须受到严格限制。输液泵应放置在专用的隔离医疗物联网 VLAN 中。必须将访问控制列表 (ACL) 应用于此 VLAN,仅允许与操作所需的特定中央管理服务器通信,并阻止所有其他横向移动或互联网访问。
继续阅读本系列
Staff WiFi 对比 Guest WiFi:企业网络分段最佳实践
针对 IT 领导者的全面技术指南,介绍如何对 staff 和 guest WiFi 网络进行分段。内容涵盖 VLAN 架构、802.1X 认证、防火墙策略以及安全网络设计对业务的影响。
公寓 WiFi 解决方案:面向企业的全面指南
本指南涵盖了 BTR(建设出租)和多户住宅物业中公寓 WiFi 解决方案的架构、部署和商业案例。它解释了 Identity Pre-Shared Key (iPSK) 技术如何为每位住户创建安全、隔离的网络气泡,同时支持智能设备和物联网。物业开发商、房东和 BTR 运营商将在此找到具有可行性的部署指导、投资回报率 (ROI) 数据以及实际实施场景。
Cox business managed WiFi:企业综合指南
本指南详细介绍了房地产开发商和 BTR 运营商如何利用 Cox Business 托管 WiFi 部署可扩展且安全的网络。它涵盖了网络架构、独立于厂商的硬件部署,以及将网络连接从运营烦恼转变为可靠基础设施对业务产生的影响。