技術(shù)與實(shí)踐、.NAC技術(shù)分析江蘇省科學(xué)技術(shù)情報(bào)研究所姜瑋摘要:分析了NAC的關(guān)鍵技術(shù),包括NAC的控制技術(shù)檢測技術(shù)等.同時(shí)論述了NAC在整體安全架構(gòu)中與其他安全技術(shù)的關(guān)系和集成。關(guān)鍵詞:網(wǎng)絡(luò);安全;技術(shù)hostsnectworkpolicy server0引言atemptingdccisiondevicespointsaccess按照Forrester Research的定義,NAC (network adnmission?poliesevendorcontrol或network acess control)是-種軟件技術(shù)和硬件技術(shù)米crcocnn(AAA)Sev的混合體，可根據(jù)客戶系統(tǒng)符合策略的情況對其訪問網(wǎng)絡(luò)能EAPUDP w RADIUSHTTPS力進(jìn)行動(dòng)態(tài)控制。EAP/802.1x-..----一個(gè)完整的NAC方案需要考慮3個(gè)方面的問題:acrs complyMitication●強(qiáng)制(enforcement):如何阻止非授權(quán)用戶和終端訪問網(wǎng)Cisco絡(luò),除非他們能夠證明自己是安全的;trust .. 檢測(esting):如何驗(yàn)證用戶、終端以及終端的健康狀態(tài);●策略以及與其他安全工具的集成:NAC如何整合其他圖1 IEEE802.1x的基本工作流程安全技術(shù),創(chuàng)建-一個(gè)層次化的安全模型。移到一個(gè)合法VLAN(虛擬局域網(wǎng))。如果終端被檢查出是“不健康"的,那么這臺終端將會被轉(zhuǎn)移到一個(gè)隔離的VLAN進(jìn)行1 NAC強(qiáng)制技術(shù)分析安全修補(bǔ)，或者將其所在端口關(guān)閉，阻止其對網(wǎng)絡(luò)的訪問。NAC的強(qiáng)制技術(shù),主要有以下幾種方式。VLAN的切換信息的傳遞,可以通過RADIUS(遠(yuǎn)程撥號用戶認(rèn)證服務(wù))協(xié)議來實(shí)現(xiàn)。1.1 802.1x 強(qiáng)制技術(shù)在現(xiàn)有技術(shù)中，最適合的強(qiáng)制技術(shù)就是1EEE802.1x。.1.2 DHCP強(qiáng)制技術(shù)IEEE802.1x的基本工作流程見圖1。如中國煤化工的話,那么可以考慮終端的健康信息可以通過EAP(擴(kuò)展認(rèn)證協(xié)議)傳遞給服采用 DHY片CNMHG行強(qiáng)制。務(wù)器。一旦終端通過健康檢查,那么這個(gè)終端就會被動(dòng)態(tài)地轉(zhuǎn)使用DHCP技術(shù)，叫以為那些不健康的終端分配- -個(gè)特湖淋Ai200 45技術(shù)與實(shí)踐定的IP地址.這個(gè)IP地址在網(wǎng)關(guān)上使用訪問控制列表(ACL)SSH( secure sel)服務(wù)。系統(tǒng)連接上終端后.就可以對其進(jìn)行進(jìn)行限制，從而控制這臺終端對網(wǎng)絡(luò)的訪問。各種需要的安全檢查。必須注意,用DHCP進(jìn)行強(qiáng)制時(shí),存在-一定的安全漏洞,當(dāng)IT系統(tǒng)中有--個(gè)集中的用戶管理系統(tǒng)時(shí).采用這種方因?yàn)镈HCP對于那些使用靜態(tài)IP地址的終端無法進(jìn)行強(qiáng)制。式是比較好的。否則如何管理所有用戶的賬號、密碼信息,是一個(gè)非常令人頭疼的問題。1.3 IPSec 健康證書采用無代理方式的好處是不需要在用戶的個(gè)人電腦上安在微軟的NAP( netwoxk aces protrion)方案中.提供了裝任何軟件, 從而把對用戶的影響降至最小。- -種使用IPSec健康證書作為強(qiáng)制手段的技術(shù)。在這種技術(shù)對于使用Windows域技術(shù)的網(wǎng)絡(luò)也非常適合采用無代理中,健康注冊權(quán)威(HRA)將為每一一個(gè)通過檢查的終端頒發(fā)方式， 在這種情況下,NAC系統(tǒng)可以使用域管理的賬號登錄一個(gè)X.509證書(健康證書)。當(dāng)終端之間試圖建立IPSec 連用戶的個(gè)人電腦上,對個(gè)人電腦的安全性進(jìn)行檢查。接時(shí),雙方使用健康證書來驗(yàn)證對方的健康狀態(tài).沒有該證書無代理方式與代理方式相比.還是存在很多局限性,無法的終端無法建立與其他終端的IPSee通信。對個(gè)人電腦進(jìn)行更為細(xì)致和全面的檢查，而且需要知道每臺個(gè)人電腦的登錄賬號和密碼，因此其使用場合有很大限制。1.4強(qiáng)制網(wǎng)關(guān)技術(shù)強(qiáng)制網(wǎng)關(guān)是一種工作在第二層的網(wǎng)絡(luò)橋接設(shè)備，通常可2.2代理方式以將強(qiáng)制網(wǎng)關(guān)部署在VPN(虛擬專用網(wǎng))設(shè)備的后面。強(qiáng)制網(wǎng)所謂代理方式，就是在用戶的個(gè)人電腦上安裝- -個(gè)應(yīng)用關(guān)使用內(nèi)置的防火墻技術(shù)來限制被隔離IP地址的訪問,強(qiáng)制程序?qū)ζ溥M(jìn)行安全檢查。由于代理安裝在用戶電腦上.因此它網(wǎng)關(guān)部署起來比較方便,而且也比較安全。可以充分利用操作系統(tǒng)所提供的各種API (應(yīng)用編程接口),從而提供更多更靈活的檢查能力。1.5 VPN強(qiáng)制技術(shù)使用代理方式,有著其他方式無可比擬的優(yōu)勢:對于通過遠(yuǎn)程接人VPN進(jìn)行訪問的終端，可以使用VPN(1)代理方式只需要極少的網(wǎng)絡(luò)流量.就可以對個(gè)人電腦進(jìn)行充分的安全檢查;強(qiáng)制技術(shù)。當(dāng)計(jì)算機(jī)每次試圖建立一個(gè)遠(yuǎn)程VPN連接時(shí).NAC系統(tǒng)(2)代理可以采用服務(wù)方式,在系統(tǒng)后臺運(yùn)行，在安全策對其進(jìn)行健康狀態(tài)檢查。通過健康檢查的計(jì)算機(jī)可以獲得對略或者新的安全威脅出現(xiàn)，代理可以立即對個(gè)人電腦進(jìn)行安網(wǎng)絡(luò)訪問的權(quán)限。對于未能通過健康檢查的計(jì)算機(jī),VPN設(shè)備全檢查和策略強(qiáng)制;可以通過IP包過濾技術(shù)對其進(jìn)行網(wǎng)絡(luò)訪問的限制,例如限制(3)代理方式可以提供修補(bǔ)能力.可以鎖定個(gè)人電腦上的- -些關(guān)鍵資源或設(shè)置，例如僅允許連接無線SID (系統(tǒng)識別其只能訪問修補(bǔ)服務(wù)器以完成安全更新等。碼)。2 NAC檢測技術(shù)分析當(dāng)然，由于需要在用戶個(gè)人電腦安裝代理程序,因此如何除了各種強(qiáng)制措施.NAC還必須具備足夠的策略檢查技在數(shù)最眾多的個(gè)人電腦上部署代理程序.是- -個(gè)考驗(yàn)。術(shù),從而保證能夠覆蓋到網(wǎng)絡(luò)中所有的終端。當(dāng)前叮以使用的另外.如果代理是以服務(wù)方式運(yùn)行的話.那么需要有個(gè)人電腦的管理員權(quán)限才能安裝。檢查技術(shù)主要有以下幾種:. 無代理技術(shù):不需要在終端設(shè)備上安裝任何軟件;2.3控件方式. 代理技術(shù):在終端上安全檢查軟件;. 控件技術(shù):通過瀏覽器臨時(shí)性下載安裝到終端設(shè)備;在使用代理方式時(shí)，一個(gè)要解決的問題就是如何有效地●掃描器技術(shù):使用基于IP的網(wǎng)絡(luò)漏洞掃描技術(shù)。在大量的個(gè)人電腦上部署安裝代理程序。這時(shí),我們可以考慮在如何進(jìn)行健康檢查方面,當(dāng)前也存在3個(gè)不同的框架，采用ActiveX控件的方式進(jìn)行安裝。ActiveX控件是采用運(yùn)行DL(動(dòng)態(tài)鏈接庫)的方式來實(shí)他們分別是:Cisco的NAC .TCG的TNC (trusted network con-neet) .微軟的NAP(網(wǎng)絡(luò)接入保護(hù))。這3種框架在整體架構(gòu)現(xiàn)的.通常有一個(gè).oex擴(kuò)展名,它們可用在ActiveX控件的容上是一致的都包含客戶端(終端).策略服務(wù)、接入控制3個(gè)器中，如Visual Basic或Visual C程序中，或者用在MicrosoftIntemet explorer的Web頁中。主要層次,只不過在具體執(zhí)行檢查的機(jī)制上有所不同。ActiveX插件軟件的特點(diǎn)是:一般軟件需要用戶單獨(dú)下載2.1 無代理方式然后執(zhí)行宏背而Ai插性其當(dāng)出戶瀏覽到特定的網(wǎng)頁無代理的檢查方式會使用終端上的管理員賬號，連接時(shí),IE中國煤化工裝。AeiveX插件安.裝的一:YHCNMHG認(rèn)。Windows的RPC(遠(yuǎn)程過程調(diào)用)服務(wù).或者Unix機(jī)器上的46 Apil 20汪蘇國信技術(shù)與實(shí)踐利用ActiveX控件的特點(diǎn)，我們可以不必實(shí)現(xiàn)在終端機(jī)此無論在終端接 人網(wǎng)絡(luò)以前,還是在終端通過安全檢查、接人器上安裝安全代理，只有當(dāng)這些機(jī)器訪問特定的Web網(wǎng)頁網(wǎng)絡(luò)以后 ,都可以IDS對終端的網(wǎng)絡(luò)流量進(jìn)行檢測,以發(fā)現(xiàn)終時(shí),再通過網(wǎng)絡(luò)動(dòng)態(tài)地安裝到終端上,然后對終端進(jìn)行安全端的異常行為。檢查。在終端準(zhǔn)入以前,NAC系統(tǒng)可以查詢IDS的信息，檢查采用控件方式時(shí),瀏覽器-且關(guān)閉,控件程序就會從內(nèi)是否有來自于該終端的可疑流量。在終端準(zhǔn)入以后,如果IDS存中消失.從而減小了內(nèi)存和CPU的開銷。檢測到終端的可疑流量.也可以實(shí)時(shí)通知NAC系統(tǒng),從而及另外,相對于在電腦上安裝一-個(gè)代理程序來說, 下載一時(shí)將 可疑終端從網(wǎng)絡(luò)中隔離出去。個(gè)插件的方式,對于用戶來說更容易接受。由于控件只有在瀏覽器打開時(shí)才能被使用, -旦瀏覽器被關(guān)3.2漏洞評估技術(shù)閉,那么這時(shí)如果策略有所改變,就無法再對個(gè)人電腦進(jìn)行安全除了與IDS技術(shù)集成外,NAC系統(tǒng)還可以和漏洞評估系檢查。因此控件方式更適合于用戶在接人網(wǎng)絡(luò)時(shí)進(jìn)行一次性的檢統(tǒng)相結(jié)合。查,但是無法對個(gè)人電腦進(jìn)行持續(xù)的安全檢查。在終端準(zhǔn)人前,NAC系統(tǒng)可以查詢漏洞評估系統(tǒng)，以確認(rèn)終端是否存在致命的漏洞。在終端準(zhǔn)入后，如果漏洞評估2.4掃描器方式系統(tǒng)發(fā)現(xiàn)終端上出現(xiàn)了新的致命漏洞,可以及時(shí)通知NAC系采用遠(yuǎn)程漏洞掃描器,例如Nesus掃描器也可以對接統(tǒng),將該終端從網(wǎng)絡(luò)中隔離 出去。人的終端設(shè)備進(jìn)行安全檢查。通過遠(yuǎn)程漏洞掃描,可以檢查3.3身份管理到終端上存在的一些安全漏洞,但是無法獲得一些更詳盡的關(guān)鍵信息,例如防病毒軟件的版本信息、系統(tǒng)補(bǔ)丁的安裝情身份管理(IDM)系統(tǒng)提供了-種更為集中和安全的對用況、本地安全策略等。而且遠(yuǎn)程掃描通常需要幾分鐘的時(shí)間戶進(jìn)行認(rèn)證的方式,同時(shí)身份管理系統(tǒng)還能夠?yàn)橛脩舴峙渚W(wǎng)才能完成,所以需要用戶等待的時(shí)間較長。絡(luò)訪問權(quán)限。因此,當(dāng)NAC系統(tǒng)需要對用戶進(jìn)行認(rèn)證時(shí),可以使用掃描器方式的好處是:充分利用IDM系統(tǒng)的認(rèn)證機(jī)制。.這是- -種真正的無代理方式,不需要在終端機(jī)器上安裝任何代理軟件;3.4修補(bǔ)技術(shù)●可以針對終端上的各種操作系統(tǒng),不必?fù)?dān)心終端操作當(dāng)終端由于未能通過安全檢查而被放入隔離區(qū)以后,就系統(tǒng)兼容性的問題;●使用掃描器可以從網(wǎng)絡(luò)的角度檢查終端的安全性。必須盡快地對其安全漏洞進(jìn)行修補(bǔ)，從而能夠從隔離區(qū)釋放掃描器方式也存在-些問題:掃描器檢查的速度通常比出來。當(dāng)前有多種修補(bǔ)策略可以采用，每種都適用不同的場較慢. .給用戶的體驗(yàn)不是很好;無法像代理方式那樣方便地景，一個(gè)好的NAC解決方案至少要具備2種以上的修補(bǔ)方式,這樣才能保證覆蓋到網(wǎng)絡(luò)中所有的終端。檢查終端的本地安全策略、安全軟件的狀態(tài)。用戶自修復(fù):該方法通過向用戶彈出警告窗口或者重定3與其他安全技術(shù)的集成向?yàn)g覽器到特定Web頁面的方式,從而告知用戶如何修復(fù)自己的系統(tǒng);盡管NAC已經(jīng)被安全管理人員列為優(yōu)先考慮對象,但是自動(dòng)修復(fù):采用這種方式時(shí),NAC系統(tǒng)需要在用戶終端其他安全機(jī)制同樣不能被忽視。一個(gè)優(yōu)秀的NAC解決方案需上下載并執(zhí)行-一個(gè)腳本,從而完成終端的自動(dòng)修復(fù);要與其他安全技術(shù)無縫集成,例如入侵檢測、漏洞評估.身份第三方修復(fù):如果網(wǎng)絡(luò)中已經(jīng)有了補(bǔ)丁管理系統(tǒng),那么可管理修補(bǔ)T具等,從而創(chuàng)建一個(gè)層次化的安全模型。以采用現(xiàn)有補(bǔ)丁管理系統(tǒng)進(jìn)行修復(fù)。NAC工作在網(wǎng)絡(luò)的訪向控制層面,它必須和安全策略的管理中心保持一致。 為了達(dá)到這個(gè)目的,NAC系統(tǒng)應(yīng)該具備4 結(jié)論開放的API接口，這些API使得網(wǎng)絡(luò)中的其他部件可以和現(xiàn)在,NAC已經(jīng)成為安全業(yè)界的-一個(gè)熱點(diǎn)，許多廠商都NAC集成在-一起。 通過這些API接口,還可以達(dá)到以下目的:希望能夠在市場獲得領(lǐng)導(dǎo)地位,結(jié)果在具體實(shí)現(xiàn)上造成了一.在特定情況下,能夠執(zhí)行客戶化的動(dòng)作;些混亂和誤解?！裢ㄟ^外部的一些設(shè)備進(jìn)行控制;選擇一個(gè)行之有效的NAC解決方案,關(guān)鍵是要充分理解●對于現(xiàn)有系統(tǒng)進(jìn)行定制和擴(kuò)充。各種安全檢查和強(qiáng)制.并選擇適合于自身網(wǎng)絡(luò)環(huán)境的方式,因3.1 IDS( 入侵檢測)IPS(入侵防御)技術(shù)為沒中國煤化工能做到真正的安全。同時(shí)還產(chǎn)品集成的重要性,IDS具有檢測網(wǎng)絡(luò)中異常流量或者攻擊行為的功能。因只有這YHCNMH G安全架構(gòu)?！粜固K速信Apil 200 47