工作筆記(三)網路准入控制(NAC)技術簡介
- 1.定義
- 2.發展背景
- 2.1 發展背景
- 2.2 發展原因
- 3.網路准入控制的原理
- 3.1 控制系統的邏輯劃分
- 3.2 控制系統的組成
- 4.網路准入控制的主要優點
- 5.網路准入控制的常見方法
- 5.1 802.1x准入控制
- 5.2 DHCP准入控制
- 5.3 網關型准入控制
- 5.4 MVG准入控制
- 5.5 ARP型准入控制
- 6.企業選用選擇依據
- 6.1高適應性,不驚動網路
- 6.2 框架先進,控制力強
- 6.3 高可靠性,確保業務連續性
- 6.4 配套服務完善,響應及時
1.定義
網路準人控制的宗旨是防止計算機病毒和蠕蟲等黑客攻擊技術對企業安全造成危害。藉助網路准入控制技術,可以控制經過授權的、合法、安全、值得信任的終端設備接入企業網路,而未經授權的終端不能接人。
2.發展背景
2.1 發展背景
隨著計算機技術和網路通信技術的發展、應用的日趨複雜,計算機終端已不再是傳統意義上我們所理解的「終端」,它不僅是網線所連接的PC,還包括手機、PAD等各類新式的移動設備。這些形形色色的終端給信息安全工作帶來了巨大挑戰:類型眾多,以各種方式接入;並且是大部分事物的起點和源頭:是用戶登錄並訪問網路的起點、是用戶訪問Internet的起點、是應用系統訪問和數據產生的起點、更是病毒攻擊、從內部發起惡意攻擊和內部保密數據盜用或失竊的源頭。因此,終端安全管理對每個企業來說都極其重要,只有通過完善的終端安全管理纔能夠真正從源頭上控制各種事件的啟始、遏制由內網發起的攻擊和破壞。
在內網安全管理中,准入控制是所有終端管理功能實現的基礎所在,採用准入控制技術能夠主動監控桌面電腦的安全狀態和管理狀態,將不安全的電腦隔離、進行修復。准入控制技術與傳統的網路安全技術如防火牆、防病毒技術結合,將被動防禦變為主動防禦,能夠有效促進內網合規建設,減少網路事故。
2.2 發展原因
基於身份的網路服務(IBNS)能夠在用戶訪問網路訪問之前確保用戶的身份是信任關係。但是,識別用戶的身份僅僅是其中一部分,儘管依照總體安全策略,用戶有權進入網路,但是其使用的計算機可能不適合接入網路。這種情況是因為筆記本電腦等移動計算設備的普及提高了用戶的生產率,但是同時會產生一定的問題:這些計算設備很容易在外部感染病毒或者蠕蟲,當它們重新人銀行網路時,就會將病毒等惡意代碼在不經意之間帶入銀行工作環境。
瞬間病毒和蠕蟲侵入將繼續幹擾銀行業務的正常運作,造成停機、業務中斷和不斷地打補丁。利用網路准入控制技術,能夠減少病毒和蠕蟲對信息系統運行的幹擾,因為它能夠防止易損主機接人正常網路。在計算機接人正常網路之前,網路準人控制能夠檢查它是否符合銀行最新制定的防病毒和操作系統補丁策略。可疑計算機或有問題的計算機將被隔離或限制網路接入範圍,直到它經過修補或採取了相應的安全措施為止纔可接入網路。這樣不但可以防止這些主機成為蠕蟲和病毒攻擊的目標,還可以防止這些主機成為傳播病毒的源頭。
基於身份的網路服務的作用是驗證用戶的身份,而網路准入控制的作用是檢查設備的「狀態」。交換平臺上的網路准入控制可以與信任代理共同構成一個系統。信任代理可以從多個安全軟體客戶端(例如防病毒客戶端)蒐集安全狀態信息,並將這些信息發送到制定訪問控制決策的網路安全系統。應用和操作系統的狀態(例如防病毒和操作系統補丁等級或者身份證明)可以被用於制定相應的網路準人決策。網路準人控制整體解決方案,將會把信任代理與安全軟體客戶端集成到一起。
3.網路准入控制的原理
當終端接入網路時,首先由終端設備和網路接入設備(如:交換機、無線AP、VPN等)進行交互通訊。然後,網路接入設備將終端信息發給策略/AAA伺服器對接入終端和終端使用者進行檢查。當終端及使用者符合策略/AAA伺服器上定義的策略後, 策略/AAA伺服器會通知網路接入設備,對終端進行授權和訪問控制。
3.1 控制系統的邏輯劃分
網路准入控制系統基於一個全新系統架構,它將整個內網安全防護策略劃分為邏輯上的3個組成部分:
①內網邊界安全防護,對來自網路外部的安全威脅進行安全防護;
②內網安全威脅防護,對來自網路內部的安全威脅進行防護;
③外網移動用戶安全接人防護,用於保證內部移動用戶在不同網路環境中的自身安全及企業網路安全。
因此,只有建立完整的網路准入控制體系纔能有效保護內部網路安全,也只有擁有網路准入控制的終端安全管理體系纔能夠提供終端的全程、縱深終端安全保障體系。
3.2 控制系統的組成
網路准入控制主要組件有如下三種:
終端安全檢查軟體 — 主要負責對接入的終端進行主機健康檢查和進行網路接入認證。當前更傾向於採用輕量級或可溶解的客戶端。以降低終端的部署和使用壓力。
網路接入設備 — 實施准入控制的網路設備包括路由器、交換機、無線接入點和安全設備。這些設備接受主機委託,然後將信息傳送到策略伺服器,在那裡實施網路准入控制決策。網路將按照客戶制定的策略實施相應的准入控制決策:允許、拒絕、隔離或限制。
策略/AAA伺服器——策略伺服器負責評估來自網路設備的端點安全信息,並決定應該使用哪種接入策略(接入、拒絕、隔離或打補丁)。
4.網路准入控制的主要優點
(一)控制範圍大。它能夠檢測計算機用於與網路連接的所有接入方法,包括園區網交換、無線接入、路由器WAN鏈路、IPSee遠程接入和撥號接人。
(二)多廠商解決方案。網路準人控制是一項由思科發起、多家防病毒廠商參加的項目,包括Net—workAssociates、Symantec和TrendMicro。
(三)現有技術和標準的擴展。網路準人控制擴展了現有通信協議和安全技術的用途,例如可擴展認證協議(EAP)、802.IX和RADIUS服務。
(四)利用網路和防病毒投資。網路準人控制將網路基礎設施中的現有投資與防病毒技術結合在一起,提供了準人控制設施。
5.網路准入控制的常見方法
要部署NAC方案,需要安裝上面提到的所有NAC系統組件。在企業中,通常網路已擁有終端和網路接入設備。只需要再部署策略/AAA伺服器。通常有4種准入控制:
5.1 802.1x准入控制
802.1X協議是一種基於埠的網路接入控制協議。基於埠的網路接入控制,是指在區域網接入設備的埠這一級對所接入的用戶設備進行認證和控制。連接在埠上的用戶設備如果能通過認證,就可以訪問區域網中的資源;如果不能通過認證,則無法訪問區域網中的資源,支持多網路廠商,可在網路交換機和無線AP上實現。
802.1X認證系統使用EAP來實現客戶端、設備端和認證伺服器之間認證信息的交換。在客戶端與設備端之間,EAP協議報文使用EAPOL封裝格式,直接承載於LAN環境中;在設備端與RADIUS伺服器之間,可以使用兩種方式來交換信息:一種是EAP協議報文由設備端進行中繼,使用EAPOR封裝格式承載於RADIUS協議中;另一種是EAP協議報文由設備端進行終結,採用包含PAP或CHAP屬性的報文與RADIUS伺服器進行認證交互。 802.1x的准入控制的優點是在交換機支持802.1x協議的時候,802.1x能夠真正做到了對網路邊界的保護。缺點是不兼容老舊交換機,必須重新更換新的交換機;同時,交換機下接不啟用802.1x功能的交換機時,無法對終端進行准入控制。
5.2 DHCP准入控制
終端連接到網路時,DHCP伺服器給終端分配一個臨時的IP和路由,使得終端只能訪問有限的資源,終端通過安全檢查之後,重新獲取一個IP,此時可以正常訪問網路,DHCP類型不是真正意義上的准入控制,Microsoft的NAP最初採用此解決方案,NAP後來又支持802.1x, IPsec等。
DHCP的准入控制的優點是兼容老舊交換機。缺點是不如802.1x協議的控制力度強。
5.3 網關型准入控制
網關型准入控制不是嚴格意義上的准入控制。在接入終端和網路資源(如:伺服器/互聯網出口)之間,設置一個網關,終端只有通過網關的驗證和檢查後,才能訪問網關後面的資源;實際上網關准入控制只是防火牆功能的一個擴展,可以認為是網路准入控制中的一種特殊形式,絕大多少傳統的防火牆廠商都提供該類解決方案。
網關型准入控制沒有對終端接入網路進行控制,而只是對終端出外網進行了控制。同時,網關型准入控制會造成出口宕掉的瓶頸效應。
5.4 MVG准入控制
其前身是思科公司的VG(虛擬網關)技術。但是該技術僅能支持思科公司相關設備。受該技術的啟發,國內某些公司開發了MVG(多廠商虛擬網關)技術。該技術可以支持目前市場上幾乎所有的交換機設備。
5.5 ARP型准入控制
通過ARP幹擾實現准入控制,製造IP地址衝突,技術實現簡單;利用了ARP協議本身的一些缺陷,終端可以通過自行設置本機的路由、ARP映射等繞開ARP准入控制;無需調整網路結構,需要在每個網段設置ARP幹擾器;過多的ARP廣播包會給網路帶來諸多性能、故障問題,國內部分小廠商支持,適合小型網路。
ARP准入控制是通過ARP欺騙實現的。ARP欺騙實際上是一種變相病毒。容易造成網路堵塞。由於越來越多的終端安裝的ARP防火牆,ARP准入控制在遇到這種情況下,則不能起作用。
6.企業選用選擇依據
由於網路准入控制系統本身的複雜性,面對國內外各種准入控制產品,應該從以下四條黃金法則作為選擇依據:
6.1高適應性,不驚動網路
一般考慮到要部署准入控制系統的單位,信息化建設已經達到了一定高度,網路環境已經建設好,存在多種網路設備和複雜終端設備。作為網路准入控制系統的選擇,要考慮產品是否支持多種入網強制技術,是否支持多樣化的異構終端識別(如:智能手機、平板電腦、字元終端、網路印表機等),以適應各種複雜性的網路環境。所以選擇准入控制產品必須能夠適應用戶多種多樣的信息系統環境,准入控制系統廠商應該能夠提供各種環境下的准入控制方案,盡量避免進行大範圍的網路改造。
6.2 框架先進,控制力強
現在各種廠家介紹了很多種網路准入控制的技術解決方案,那麼我們先要了解一下現行的網路准入控制框架都有哪些?他們分別有什麼優缺點?網路准入控制未來的發展趨勢是怎麼樣的?
根據美國著名調研機構Gartner研究,他們把所有的NAC廠家、技術統一做了歸類與分析,提出了三個NAC技術框架的理論:
1、基於端點系統的架構--Software-base NAC;主要是桌麵廠商的產品,採用ARP幹擾、終端代理軟體的軟體防火牆等技術。
2、基於基礎網路設備聯動的架構—Infrastructure-base NAC;主要是各個網路設備廠家和部分桌面管理廠商,採用的是802.1X、PORTAL、EOU等技術。
3、基於應用設備的架構—Appliance-base NAC;主要是專業准入控制廠商,如ForeScout、盈高科技、Sysgate SNAC。採用的是策略路由、MVG、VLAN控制等技術。
綜觀這三種框架的進化與發展,現在完全基於Software-base的架構,範圍及控制力度有限,目前已不被用戶接納;而大多數網路設備廠商現在主要推崇Infrastructure-base的架構,可以促進他們網路設備的市場銷售,但是對網路設備要求高,需要特定型號和廠家的設備。存在互相設置壁壘的問題;現在國外比較新興的是採用Appliance-base 架構的NAC設備,這種NAC設備對網路設備的種類、型號幾乎無要求,在降低部署難度的同時可以達到很好控制力度。
目前市場認可度比較好的NAC方案,是Appliance-base NAC,即第三代准入系統架構。
6.3 高可靠性,確保業務連續性
用戶一旦建成網路准入控制系統後,就意味著所有終端每天進入網路,都依賴於這套網路准入控制系統的解決方案。現在市面上的網路准入控制方案有純軟體、有純硬體也有軟硬體結合的。軟體系統通常安裝在用戶提供的伺服器上,價格相對較便宜,但是性能和穩定性受限於伺服器和操作系統;硬體系統由於採用了專用的硬體和操作系統,穩定性高,性能可控,但是價格通常較高。建議用戶根據自身網路規模和網路重要性,進行合理的選擇。
另外選擇無論哪種方案,一定要求有完善的逃生方案,具備「Fail-Open」模式,不存在單點故障。絕對不能因為網路准入控制系統的建設影響業務連續性,導致正常辦公業務無法開展。
6.4 配套服務完善,響應及時
建設網路准入控制項目不同於部署網關型的產品,只部署在一點,需要進行改動時,僅僅對其一點進行改動就可以了。而網路准入控制系統的部署關係到網路中的每一臺終端、每一個使用者,缺乏部署經驗,盲目的進行部署,勢必造成大範圍的問題。因此要建設好網路准入控制的項目,一定需要有一個相關項目經驗豐富,具有良好風險管理的專業技術服務團隊支撐。
在項目建設前期,需要能夠規劃出適合用戶網路的准入控制解決方案。從安全、管理、項目建設成本、風險控制等方面都要有詳細的計劃。在項目實施時,需要有一套完整的項目建設計劃與配套的項目管理制度。在項目運行後,一定要有及時響應的客服體系。技術服務水平的好壞在准入控制項目中尤為突出。
實現內網安全的基礎在於屏蔽一切不安全的設備和人員接入網路,並且規範用戶接入網路的許可權。只有選對合適的准入控制產品,對終端訪問實行有效控制與管理,才能從源頭上消除內網的安全威脅,讓管理員高枕無憂。
推薦閱讀:
