NAC技術(shù)分析

技術(shù)與實(shí)踐、.NAC技術(shù)分析江蘇省科學(xué)技術(shù)情報研究所姜瑋摘要:分析了NAC的關(guān)鍵技術(shù),包括NAC的控制技術(shù)檢測技術(shù)等.同時(shí)論述了NAC在整體安全架構中與其他安全技術(shù)的關(guān)系和集成。關(guān)鍵詞:網(wǎng)絡(luò );安全;技術(shù)hostsnectworkpolicy server0引言atemptingdccisiondevicespointsaccess按照Forrester Research的定義,NAC (network adnmission?poliesevendorcontrol或network acess control)是-種軟件技術(shù)和硬件技術(shù)米crcocnn(AAA)Sev的混合體，可根據客戶(hù)系統符合策略的情況對其訪(fǎng)問(wèn)網(wǎng)絡(luò )能EAPUDP w RADIUSHTTPS力進(jìn)行動(dòng)態(tài)控制。EAP/802.1x-..----一個(gè)完整的NAC方案需要考慮3個(gè)方面的問(wèn)題:acrs complyMitication●強制(enforcement):如何阻止非授權用戶(hù)和終端訪(fǎng)問(wèn)網(wǎng)Cisco絡(luò ),除非他們能夠證明自己是安全的;trust .. 檢測(esting):如何驗證用戶(hù)、終端以及終端的健康狀態(tài);●策略以及與其他安全工具的集成:NAC如何整合其他圖1 IEEE802.1x的基本工作流程安全技術(shù),創(chuàng )建-一個(gè)層次化的安全模型。移到一個(gè)合法VLAN(虛擬局域網(wǎng))。如果終端被檢查出是“不健康"的,那么這臺終端將會(huì )被轉移到一個(gè)隔離的VLAN進(jìn)行1 NAC強制技術(shù)分析安全修補，或者將其所在端口關(guān)閉，阻止其對網(wǎng)絡(luò )的訪(fǎng)問(wèn)。NAC的強制技術(shù),主要有以下幾種方式。VLAN的切換信息的傳遞,可以通過(guò)RADIUS(遠程撥號用戶(hù)認證服務(wù))協(xié)議來(lái)實(shí)現。1.1 802.1x 強制技術(shù)在現有技術(shù)中，最適合的強制技術(shù)就是1EEE802.1x。.1.2 DHCP強制技術(shù)IEEE802.1x的基本工作流程見(jiàn)圖1。如中國煤化工的話(huà),那么可以考慮終端的健康信息可以通過(guò)EAP(擴展認證協(xié)議)傳遞給服采用 DHY片CNMHG行強制。務(wù)器。一旦終端通過(guò)健康檢查,那么這個(gè)終端就會(huì )被動(dòng)態(tài)地轉使用DHCP技術(shù)，叫以為那些不健康的終端分配- -個(gè)特湖淋Ai200 45技術(shù)與實(shí)踐定的IP地址.這個(gè)IP地址在網(wǎng)關(guān)上使用訪(fǎng)問(wèn)控制列表(ACL)SSH( secure sel)服務(wù)。系統連接上終端后.就可以對其進(jìn)行進(jìn)行限制，從而控制這臺終端對網(wǎng)絡(luò )的訪(fǎng)問(wèn)。各種需要的安全檢查。必須注意,用DHCP進(jìn)行強制時(shí),存在-一定的安全漏洞,當IT系統中有--個(gè)集中的用戶(hù)管理系統時(shí).采用這種方因為DHCP對于那些使用靜態(tài)IP地址的終端無(wú)法進(jìn)行強制。式是比較好的。否則如何管理所有用戶(hù)的賬號、密碼信息,是一個(gè)非常令人頭疼的問(wèn)題。1.3 IPSec 健康證書(shū)采用無(wú)代理方式的好處是不需要在用戶(hù)的個(gè)人電腦上安在微軟的NAP( netwoxk aces protrion)方案中.提供了裝任何軟件, 從而把對用戶(hù)的影響降至最小。- -種使用IPSec健康證書(shū)作為強制手段的技術(shù)。在這種技術(shù)對于使用Windows域技術(shù)的網(wǎng)絡(luò )也非常適合采用無(wú)代理中,健康注冊權威(HRA)將為每一一個(gè)通過(guò)檢查的終端頒發(fā)方式， 在這種情況下,NAC系統可以使用域管理的賬號登錄一個(gè)X.509證書(shū)(健康證書(shū))。當終端之間試圖建立IPSec 連用戶(hù)的個(gè)人電腦上,對個(gè)人電腦的安全性進(jìn)行檢查。接時(shí),雙方使用健康證書(shū)來(lái)驗證對方的健康狀態(tài).沒(méi)有該證書(shū)無(wú)代理方式與代理方式相比.還是存在很多局限性,無(wú)法的終端無(wú)法建立與其他終端的IPSee通信。對個(gè)人電腦進(jìn)行更為細致和全面的檢查，而且需要知道每臺個(gè)人電腦的登錄賬號和密碼，因此其使用場(chǎng)合有很大限制。1.4強制網(wǎng)關(guān)技術(shù)強制網(wǎng)關(guān)是一種工作在第二層的網(wǎng)絡(luò )橋接設備，通?？?.2代理方式以將強制網(wǎng)關(guān)部署在VPN(虛擬專(zhuān)用網(wǎng))設備的后面。強制網(wǎng)所謂代理方式，就是在用戶(hù)的個(gè)人電腦上安裝- -個(gè)應用關(guān)使用內置的防火墻技術(shù)來(lái)限制被隔離IP地址的訪(fǎng)問(wèn),強制程序對其進(jìn)行安全檢查。由于代理安裝在用戶(hù)電腦上.因此它網(wǎng)關(guān)部署起來(lái)比較方便,而且也比較安全?？梢猿浞掷貌僮飨到y所提供的各種API (應用編程接口),從而提供更多更靈活的檢查能力。1.5 VPN強制技術(shù)使用代理方式,有著(zhù)其他方式無(wú)可比擬的優(yōu)勢:對于通過(guò)遠程接人VPN進(jìn)行訪(fǎng)問(wèn)的終端，可以使用VPN(1)代理方式只需要極少的網(wǎng)絡(luò )流量.就可以對個(gè)人電腦進(jìn)行充分的安全檢查;強制技術(shù)。當計算機每次試圖建立一個(gè)遠程VPN連接時(shí).NAC系統(2)代理可以采用服務(wù)方式,在系統后臺運行，在安全策對其進(jìn)行健康狀態(tài)檢查。通過(guò)健康檢查的計算機可以獲得對略或者新的安全威脅出現，代理可以立即對個(gè)人電腦進(jìn)行安網(wǎng)絡(luò )訪(fǎng)問(wèn)的權限。對于未能通過(guò)健康檢查的計算機,VPN設備全檢查和策略強制;可以通過(guò)IP包過(guò)濾技術(shù)對其進(jìn)行網(wǎng)絡(luò )訪(fǎng)問(wèn)的限制,例如限制(3)代理方式可以提供修補能力.可以鎖定個(gè)人電腦上的- -些關(guān)鍵資源或設置，例如僅允許連接無(wú)線(xiàn)SID (系統識別其只能訪(fǎng)問(wèn)修補服務(wù)器以完成安全更新等。碼)。2 NAC檢測技術(shù)分析當然，由于需要在用戶(hù)個(gè)人電腦安裝代理程序,因此如何除了各種強制措施.NAC還必須具備足夠的策略檢查技在數最眾多的個(gè)人電腦上部署代理程序.是- -個(gè)考驗。術(shù),從而保證能夠覆蓋到網(wǎng)絡(luò )中所有的終端。當前叮以使用的另外.如果代理是以服務(wù)方式運行的話(huà).那么需要有個(gè)人電腦的管理員權限才能安裝。檢查技術(shù)主要有以下幾種:. 無(wú)代理技術(shù):不需要在終端設備上安裝任何軟件;2.3控件方式. 代理技術(shù):在終端上安全檢查軟件;. 控件技術(shù):通過(guò)瀏覽器臨時(shí)性下載安裝到終端設備;在使用代理方式時(shí)，一個(gè)要解決的問(wèn)題就是如何有效地●掃描器技術(shù):使用基于IP的網(wǎng)絡(luò )漏洞掃描技術(shù)。在大量的個(gè)人電腦上部署安裝代理程序。這時(shí),我們可以考慮在如何進(jìn)行健康檢查方面,當前也存在3個(gè)不同的框架，采用ActiveX控件的方式進(jìn)行安裝。ActiveX控件是采用運行DL(動(dòng)態(tài)鏈接庫)的方式來(lái)實(shí)他們分別是:Cisco的NAC .TCG的TNC (trusted network con-neet) .微軟的NAP(網(wǎng)絡(luò )接入保護)。這3種框架在整體架構現的.通常有一個(gè).oex擴展名,它們可用在A(yíng)ctiveX控件的容上是一致的都包含客戶(hù)端(終端).策略服務(wù)、接入控制3個(gè)器中，如Visual Basic或Visual C程序中，或者用在MicrosoftIntemet explorer的Web頁(yè)中。主要層次,只不過(guò)在具體執行檢查的機制上有所不同。ActiveX插件軟件的特點(diǎn)是:一般軟件需要用戶(hù)單獨下載2.1 無(wú)代理方式然后執行宏背而Ai插性其當出戶(hù)瀏覽到特定的網(wǎng)頁(yè)無(wú)代理的檢查方式會(huì )使用終端上的管理員賬號，連接時(shí),IE中國煤化工裝。AeiveX插件安.裝的一:YHCNMHG認。Windows的RPC(遠程過(guò)程調用)服務(wù).或者Unix機器上的46 Apil 20汪蘇國信技術(shù)與實(shí)踐利用ActiveX控件的特點(diǎn)，我們可以不必實(shí)現在終端機此無(wú)論在終端接 人網(wǎng)絡(luò )以前,還是在終端通過(guò)安全檢查、接人器上安裝安全代理，只有當這些機器訪(fǎng)問(wèn)特定的Web網(wǎng)頁(yè)網(wǎng)絡(luò )以后 ,都可以IDS對終端的網(wǎng)絡(luò )流量進(jìn)行檢測,以發(fā)現終時(shí),再通過(guò)網(wǎng)絡(luò )動(dòng)態(tài)地安裝到終端上,然后對終端進(jìn)行安全端的異常行為。檢查。在終端準入以前,NAC系統可以查詢(xún)IDS的信息，檢查采用控件方式時(shí),瀏覽器-且關(guān)閉,控件程序就會(huì )從內是否有來(lái)自于該終端的可疑流量。在終端準入以后,如果IDS存中消失.從而減小了內存和CPU的開(kāi)銷(xiāo)。檢測到終端的可疑流量.也可以實(shí)時(shí)通知NAC系統,從而及另外,相對于在電腦上安裝一-個(gè)代理程序來(lái)說(shuō), 下載一時(shí)將 可疑終端從網(wǎng)絡(luò )中隔離出去。個(gè)插件的方式,對于用戶(hù)來(lái)說(shuō)更容易接受。由于控件只有在瀏覽器打開(kāi)時(shí)才能被使用, -旦瀏覽器被關(guān)3.2漏洞評估技術(shù)閉,那么這時(shí)如果策略有所改變,就無(wú)法再對個(gè)人電腦進(jìn)行安全除了與IDS技術(shù)集成外,NAC系統還可以和漏洞評估系檢查。因此控件方式更適合于用戶(hù)在接人網(wǎng)絡(luò )時(shí)進(jìn)行一次性的檢統相結合。查,但是無(wú)法對個(gè)人電腦進(jìn)行持續的安全檢查。在終端準人前,NAC系統可以查詢(xún)漏洞評估系統，以確認終端是否存在致命的漏洞。在終端準入后，如果漏洞評估2.4掃描器方式系統發(fā)現終端上出現了新的致命漏洞,可以及時(shí)通知NAC系采用遠程漏洞掃描器,例如Nesus掃描器也可以對接統,將該終端從網(wǎng)絡(luò )中隔離 出去。人的終端設備進(jìn)行安全檢查。通過(guò)遠程漏洞掃描,可以檢查3.3身份管理到終端上存在的一些安全漏洞,但是無(wú)法獲得一些更詳盡的關(guān)鍵信息,例如防病毒軟件的版本信息、系統補丁的安裝情身份管理(IDM)系統提供了-種更為集中和安全的對用況、本地安全策略等。而且遠程掃描通常需要幾分鐘的時(shí)間戶(hù)進(jìn)行認證的方式,同時(shí)身份管理系統還能夠為用戶(hù)分配網(wǎng)才能完成,所以需要用戶(hù)等待的時(shí)間較長(cháng)。絡(luò )訪(fǎng)問(wèn)權限。因此,當NAC系統需要對用戶(hù)進(jìn)行認證時(shí),可以使用掃描器方式的好處是:充分利用IDM系統的認證機制。.這是- -種真正的無(wú)代理方式,不需要在終端機器上安裝任何代理軟件;3.4修補技術(shù)●可以針對終端上的各種操作系統,不必擔心終端操作當終端由于未能通過(guò)安全檢查而被放入隔離區以后,就系統兼容性的問(wèn)題;●使用掃描器可以從網(wǎng)絡(luò )的角度檢查終端的安全性。必須盡快地對其安全漏洞進(jìn)行修補，從而能夠從隔離區釋放掃描器方式也存在-些問(wèn)題:掃描器檢查的速度通常比出來(lái)。當前有多種修補策略可以采用，每種都適用不同的場(chǎng)較慢. .給用戶(hù)的體驗不是很好;無(wú)法像代理方式那樣方便地景，一個(gè)好的NAC解決方案至少要具備2種以上的修補方式,這樣才能保證覆蓋到網(wǎng)絡(luò )中所有的終端。檢查終端的本地安全策略、安全軟件的狀態(tài)。用戶(hù)自修復:該方法通過(guò)向用戶(hù)彈出警告窗口或者重定3與其他安全技術(shù)的集成向瀏覽器到特定Web頁(yè)面的方式,從而告知用戶(hù)如何修復自己的系統;盡管NAC已經(jīng)被安全管理人員列為優(yōu)先考慮對象,但是自動(dòng)修復:采用這種方式時(shí),NAC系統需要在用戶(hù)終端其他安全機制同樣不能被忽視。一個(gè)優(yōu)秀的NAC解決方案需上下載并執行-一個(gè)腳本,從而完成終端的自動(dòng)修復;要與其他安全技術(shù)無(wú)縫集成,例如入侵檢測、漏洞評估.身份第三方修復:如果網(wǎng)絡(luò )中已經(jīng)有了補丁管理系統,那么可管理修補T具等,從而創(chuàng )建一個(gè)層次化的安全模型。以采用現有補丁管理系統進(jìn)行修復。NAC工作在網(wǎng)絡(luò )的訪(fǎng)向控制層面,它必須和安全策略的管理中心保持一致。 為了達到這個(gè)目的,NAC系統應該具備4 結論開(kāi)放的API接口，這些API使得網(wǎng)絡(luò )中的其他部件可以和現在,NAC已經(jīng)成為安全業(yè)界的-一個(gè)熱點(diǎn)，許多廠(chǎng)商都NAC集成在-一起。 通過(guò)這些API接口,還可以達到以下目的:希望能夠在市場(chǎng)獲得領(lǐng)導地位,結果在具體實(shí)現上造成了一.在特定情況下,能夠執行客戶(hù)化的動(dòng)作;些混亂和誤解?！裢ㄟ^(guò)外部的一些設備進(jìn)行控制;選擇一個(gè)行之有效的NAC解決方案,關(guān)鍵是要充分理解●對于現有系統進(jìn)行定制和擴充。各種安全檢查和強制.并選擇適合于自身網(wǎng)絡(luò )環(huán)境的方式,因3.1 IDS( 入侵檢測)IPS(入侵防御)技術(shù)為沒(méi)中國煤化工能做到真正的安全。同時(shí)還產(chǎn)品集成的重要性,IDS具有檢測網(wǎng)絡(luò )中異常流量或者攻擊行為的功能。因只有這YHCNMH G安全架構?！粜固K速信Apil 200 47