網(wǎng)絡安全架構兩套標準 微軟與思科“打架”
思科微軟正在網(wǎng)絡安全架構上發(fā)生碰撞,用戶被夾在了中間。
微軟和思科各自都提出了自己的“端對端”(end to end)的安全架構。所謂安
全架構不僅僅是處理諸如病毒掃描這樣的事情,同時也涵蓋對不符合安全協(xié)議的電腦拒絕進
行網(wǎng)絡連接等工作。但目前為止,這兩家公司的網(wǎng)絡安全架構標準并不兼容,這意味著,用
戶需要在這兩家公司的技術之間做出選擇。
這種選擇是艱難的,因為,兩家公司都全面統(tǒng)領著他們各種的市場,微軟在臺
式機操作系統(tǒng)領域稱霸一方,而思科則在企業(yè)網(wǎng)絡路由器市場占領了70%以上的份額。
微軟和思科雖然已經(jīng)表示,他們正在合作,以確保彼此的網(wǎng)絡安全架構標準可
以實現(xiàn)兼容,但到目前為止,我們還很難知道這種合作的進展情況,以及最后的結(jié)果是什
么。
微軟Windows服務器部門的主任Steve Anderson說:“我們也相當清楚,和思
科的標準進行兼容有多么的重要。但我們都是大公司,兼容需要花費相當多的時間。比爾蓋
茨和約翰錢伯斯已經(jīng)就此進行過磋商。我們希望在今年秋天的某個時候宣布我們第一步的處
理方案?!?br />
這種合作決定對用戶來講斯至關重要的,因為他們安全方面的預算已經(jīng)捉襟見
肘了,如果又要經(jīng)歷這種不兼容架構的考驗,情況將相當嚴重。在兩家公司的標準當中,尤
其以“遠程身份驗證撥入用戶服務”(Radius)的沖突最為嚴重,微軟和思科都使用了各自的
Radius標準。
在思科這邊,用戶必須要使用“思科訪問控制服務器”(Cisco Access
Control Server),而微軟這頭,用戶也不得不使用“微軟Windows互聯(lián)網(wǎng)驗證服務”
(IAS)。
目前,這兩種Radius標準無法實現(xiàn)兼容互通。這意味著使用思科網(wǎng)絡設備,微
軟操作系統(tǒng)的用戶將不得不安裝兩套Radius管理器。安全專家對這兩種Radius兼容到底對安
全有多大幫助也表示懷疑。
Sygate市場部的副總裁Bill Scull說:“兩家公司的標準完全不同,我不知道
它們?nèi)绾芜M行互通。”
網(wǎng)絡安全目前面臨來自各方面的安全威脅。惡性病毒以及蠕蟲攻擊越來越厲
害,象 Sobig和MyDoom 這些病毒等等,它們對網(wǎng)絡造成的損害越來越嚴重。企業(yè)正在尋找
結(jié)合了傳統(tǒng)的病毒掃描以及能夠?qū)⒐粽咦钃踉陂T戶以外的網(wǎng)絡安全協(xié)議保障方案。
網(wǎng)絡公司,安全公司以及軟件公司三方正在合力開發(fā)更多的“先發(fā)制人式的方
案”。思科與微軟已經(jīng)走到了這一趨勢的前列,他們的合作計劃的成功與否將對應對攻擊的
反擊戰(zhàn)發(fā)揮至關重要的作用。
去年年底,思科公布了它的“網(wǎng)絡訪問控制方案”(NAC),今年6月,思科宣
布,他們已經(jīng)完成NAC 架構的第一階段部署工作,NAC軟件已經(jīng)進入了IP路由器當中。而網(wǎng)
關的部署工作將在2005量年初開始。 7月,微軟宣布了它的“網(wǎng)絡訪問保護方案”(NAP),
微軟計劃到2005年開始實施這一方案。
這兩種方案背后的架構概念都非常的類似。在一個用戶登陸到一個網(wǎng)絡之前,
他的計算機必須先連接進入一臺第三方的機器當中,這臺機器由網(wǎng)絡管理員所掌控,以確保
用戶的電腦滿足安全規(guī)范的要求。如果用戶的電腦符合規(guī)范要求,他就能夠進入網(wǎng)絡,反
之,用戶的網(wǎng)絡訪問就要受到限制,他只能接入虛擬專用網(wǎng),在這里,他可以對自己的電腦
進行安全設置,直至滿足網(wǎng)絡安全規(guī)范提出的標準。
差異
盡管兩種方案的總體思路有接近的地方,但它們解決問題的途徑卻各不相同。
NAC方案,思科試圖全面的解決相關的問題,也就是端對端的解決。通過與三大病毒防治廠
商,McAfee,,Symantec,Trend Micro的合作以及自己收購的Okena技術,思科已經(jīng)開發(fā)出
了自己的安全處理機制。思科將這些病毒防治廠商的產(chǎn)品稱為“ 受信賴廠商產(chǎn)品”,這些
產(chǎn)品將和思科的其他產(chǎn)品,比如以太網(wǎng)網(wǎng)關交換機,IP路由器以及防火墻等產(chǎn)品一同部署。
中央政策服務器將溝通各個產(chǎn)品,以確保終端用戶在接入網(wǎng)絡之前能夠升級自己的電腦,滿
足安全規(guī)范。
思科安全網(wǎng)絡部門的首席技術官Bob Gleichauf說:“我們認為,從端對端的
層面上提出一個全面的方案相當重要?!?br />
相反,微軟則將其NAP架構的重點放在了“核心部件”:也就是主機和服務器
軟件上。微軟計劃將安全軟件整合進入操作系統(tǒng)當中,因此,今后每臺安裝了 Windows XP
和 Windows Server 2003的臺式機,服務器都將滿足NAP規(guī)范。微軟目前的架構還沒有包含
網(wǎng)絡元素,但它已經(jīng)在和一系列的網(wǎng)絡設備廠商進行合作,以確保NAP規(guī)范進入網(wǎng)絡設備當
中。但思科還沒有就NAP和微軟達成一致,另外幾家網(wǎng)絡設備廠商已經(jīng)在和微軟進行合作,
象Juniper網(wǎng)絡,Enterasys和Extreme網(wǎng)絡。
開放標準是關鍵
到最后,可能只有用戶才能推動兩家公司進行合作,因為,微軟和思科對在銷
售他們自己的安全產(chǎn)品以及Radius服務器方面都已經(jīng)有各自的即得利益?!翱尚刨囉嬎懵?lián)
盟”組織正在致力于一種開放標準的制定工作,使用這種標準,用戶可以使用Radius服務
器,安全軟件以及網(wǎng)絡設備,而不必考慮廠商的差異。今年6月,可信賴計算聯(lián)盟宣布了自
己的計劃,包括McAfee,英特爾,Sygate,Juniper網(wǎng)絡,惠普, Sun在內(nèi)的廠商都已經(jīng)加
入了這一組織。微軟也是可信賴計算聯(lián)盟的成員,但思科沒有參加這一組織。
可信賴計算聯(lián)盟的支持者們抱怨說,盡管思科與微軟已經(jīng)表示將進行合作,但
他們似乎更愿意各自為政。
Scull說:“很顯然,微軟和思科都愿意自己的架構占主導地位。堅持自己的
方案就意味著能夠保證用戶繼續(xù)購買他們的產(chǎn)品?!?br />
比如,思科6月宣布它將擴展和殺毒軟件廠商的合作關系,但它卻沒有說要公
開自己的NAC架構標準給其它網(wǎng)絡設備廠商。微軟這邊,即使它所創(chuàng)建的平臺有超過30家的[!--empirenews.page--]
廠商支持,但它的NAP架構只能夠在純微軟軟件環(huán)境中才能運轉(zhuǎn),這其中包括客戶端軟件以
及服務器軟件。
Scull說:“臺式機市場,微軟的Windows無疑已經(jīng)占領了絕大部分份額,但
Windows 2003服務器軟件的普及卻并不廣,我以為,微軟正在有意找出機會讓用戶來使用
Windows 2003?!?br />
思科的Gleichauf則否認了有意各自為政的說法。
他說:“我們正在盡可能快的部署這一架構,這樣,用戶就可以盡快獲得它帶
來的好處,我們?nèi)ツ?1月宣布了NAC計劃,第一批相關產(chǎn)品于今年6月上市。要和其他廠商的
標準進行接軌,需要一定的時間。一旦時機成熟,我們會開放NAC的?!?br />
Gleichauf認為,在對接其他廠商的標準之前,將自己的技術進一步完善顯得
相當?shù)闹匾H绻麉⑴c的廠商越多,一旦產(chǎn)品出現(xiàn)問題,用戶麻煩就越多。
微軟的Anderson也反復表示他們將開放自己的標準。
他說:“我們知道,廠商在這個市場中將選擇最好的標準,我們希望他們選擇
微軟的,但如果他們不選擇我們的標準,我們想和其他的架構標準進行合作?!?br />
他認為,兩種標準的互通需要時日。
他說:“每個廠商都在和病毒防治公司進行合作,這是目前最簡單的方法。其
他方面的合作,比如同網(wǎng)絡設備商的合作今后將陸續(xù)展開。這方面的構架相當?shù)膹碗s,無人
能夠在一夜之間就讓所有問題得到解決?!?
摘自 ZDNet China