技術(shù)與實踐、.NAC技術(shù)分析江蘇省科學(xué)技術(shù)情報研究所姜瑋摘要:分析了NAC的關(guān)鍵技術(shù),包括NAC的控制技術(shù)檢測技術(shù)等.同時論述了NAC在整體安全架構(gòu)中與其他安全技術(shù)的關(guān)系和集成。關(guān)鍵詞:網(wǎng)絡(luò);安全;技術(shù)hostsnectworkpolicy server0引言atemptingdccisiondevicespointsaccess按照Forrester Research的定義,NAC (network adnmission?poliesevendorcontrol或network acess control)是-種軟件技術(shù)和硬件技術(shù)米crcocnn(AAA)Sev的混合體，可根據(jù)客戶系統(tǒng)符合策略的情況對其訪問網(wǎng)絡(luò)能EAPUDP w RADIUSHTTPS力進(jìn)行動態(tài)控制。EAP/802.1x-..----一個完整的NAC方案需要考慮3個方面的問題:acrs complyMitication●強制(enforcement):如何阻止非授權(quán)用戶和終端訪問網(wǎng)Cisco絡(luò),除非他們能夠證明自己是安全的;trust .. 檢測(esting):如何驗證用戶、終端以及終端的健康狀態(tài);●策略以及與其他安全工具的集成:NAC如何整合其他圖1 IEEE802.1x的基本工作流程安全技術(shù),創(chuàng)建-一個層次化的安全模型。移到一個合法VLAN(虛擬局域網(wǎng))。如果終端被檢查出是“不健康"的,那么這臺終端將會被轉(zhuǎn)移到一個隔離的VLAN進(jìn)行1 NAC強制技術(shù)分析安全修補，或者將其所在端口關(guān)閉，阻止其對網(wǎng)絡(luò)的訪問。NAC的強制技術(shù),主要有以下幾種方式。VLAN的切換信息的傳遞,可以通過RADIUS(遠(yuǎn)程撥號用戶認(rèn)證服務(wù))協(xié)議來實現(xiàn)。1.1 802.1x 強制技術(shù)在現(xiàn)有技術(shù)中，最適合的強制技術(shù)就是1EEE802.1x。.1.2 DHCP強制技術(shù)IEEE802.1x的基本工作流程見圖1。如中國煤化工的話,那么可以考慮終端的健康信息可以通過EAP(擴展認(rèn)證協(xié)議)傳遞給服采用 DHY片CNMHG行強制。務(wù)器。一旦終端通過健康檢查,那么這個終端就會被動態(tài)地轉(zhuǎn)使用DHCP技術(shù)，叫以為那些不健康的終端分配- -個特湖淋Ai200 45技術(shù)與實踐定的IP地址.這個IP地址在網(wǎng)關(guān)上使用訪問控制列表(ACL)SSH( secure sel)服務(wù)。系統(tǒng)連接上終端后.就可以對其進(jìn)行進(jìn)行限制，從而控制這臺終端對網(wǎng)絡(luò)的訪問。各種需要的安全檢查。必須注意,用DHCP進(jìn)行強制時,存在-一定的安全漏洞,當(dāng)IT系統(tǒng)中有--個集中的用戶管理系統(tǒng)時.采用這種方因為DHCP對于那些使用靜態(tài)IP地址的終端無法進(jìn)行強制。式是比較好的。否則如何管理所有用戶的賬號、密碼信息,是一個非常令人頭疼的問題。1.3 IPSec 健康證書采用無代理方式的好處是不需要在用戶的個人電腦上安在微軟的NAP( netwoxk aces protrion)方案中.提供了裝任何軟件, 從而把對用戶的影響降至最小。- -種使用IPSec健康證書作為強制手段的技術(shù)。在這種技術(shù)對于使用Windows域技術(shù)的網(wǎng)絡(luò)也非常適合采用無代理中,健康注冊權(quán)威(HRA)將為每一一個通過檢查的終端頒發(fā)方式， 在這種情況下,NAC系統(tǒng)可以使用域管理的賬號登錄一個X.509證書(健康證書)。當(dāng)終端之間試圖建立IPSec 連用戶的個人電腦上,對個人電腦的安全性進(jìn)行檢查。接時,雙方使用健康證書來驗證對方的健康狀態(tài).沒有該證書無代理方式與代理方式相比.還是存在很多局限性,無法的終端無法建立與其他終端的IPSee通信。對個人電腦進(jìn)行更為細(xì)致和全面的檢查，而且需要知道每臺個人電腦的登錄賬號和密碼，因此其使用場合有很大限制。1.4強制網(wǎng)關(guān)技術(shù)強制網(wǎng)關(guān)是一種工作在第二層的網(wǎng)絡(luò)橋接設(shè)備，通?？?.2代理方式以將強制網(wǎng)關(guān)部署在VPN(虛擬專用網(wǎng))設(shè)備的后面。強制網(wǎng)所謂代理方式，就是在用戶的個人電腦上安裝- -個應(yīng)用關(guān)使用內(nèi)置的防火墻技術(shù)來限制被隔離IP地址的訪問,強制程序?qū)ζ溥M(jìn)行安全檢查。由于代理安裝在用戶電腦上.因此它網(wǎng)關(guān)部署起來比較方便,而且也比較安全?？梢猿浞掷貌僮飨到y(tǒng)所提供的各種API (應(yīng)用編程接口),從而提供更多更靈活的檢查能力。1.5 VPN強制技術(shù)使用代理方式,有著其他方式無可比擬的優(yōu)勢:對于通過遠(yuǎn)程接人VPN進(jìn)行訪問的終端，可以使用VPN(1)代理方式只需要極少的網(wǎng)絡(luò)流量.就可以對個人電腦進(jìn)行充分的安全檢查;強制技術(shù)。當(dāng)計算機每次試圖建立一個遠(yuǎn)程VPN連接時.NAC系統(tǒng)(2)代理可以采用服務(wù)方式,在系統(tǒng)后臺運行，在安全策對其進(jìn)行健康狀態(tài)檢查。通過健康檢查的計算機可以獲得對略或者新的安全威脅出現(xiàn)，代理可以立即對個人電腦進(jìn)行安網(wǎng)絡(luò)訪問的權(quán)限。對于未能通過健康檢查的計算機,VPN設(shè)備全檢查和策略強制;可以通過IP包過濾技術(shù)對其進(jìn)行網(wǎng)絡(luò)訪問的限制,例如限制(3)代理方式可以提供修補能力.可以鎖定個人電腦上的- -些關(guān)鍵資源或設(shè)置，例如僅允許連接無線SID (系統(tǒng)識別其只能訪問修補服務(wù)器以完成安全更新等。碼)。2 NAC檢測技術(shù)分析當(dāng)然，由于需要在用戶個人電腦安裝代理程序,因此如何除了各種強制措施.NAC還必須具備足夠的策略檢查技在數(shù)最眾多的個人電腦上部署代理程序.是- -個考驗。術(shù),從而保證能夠覆蓋到網(wǎng)絡(luò)中所有的終端。當(dāng)前叮以使用的另外.如果代理是以服務(wù)方式運行的話.那么需要有個人電腦的管理員權(quán)限才能安裝。檢查技術(shù)主要有以下幾種:. 無代理技術(shù):不需要在終端設(shè)備上安裝任何軟件;2.3控件方式. 代理技術(shù):在終端上安全檢查軟件;. 控件技術(shù):通過瀏覽器臨時性下載安裝到終端設(shè)備;在使用代理方式時，一個要解決的問題就是如何有效地●掃描器技術(shù):使用基于IP的網(wǎng)絡(luò)漏洞掃描技術(shù)。在大量的個人電腦上部署安裝代理程序。這時,我們可以考慮在如何進(jìn)行健康檢查方面,當(dāng)前也存在3個不同的框架，采用ActiveX控件的方式進(jìn)行安裝。ActiveX控件是采用運行DL(動態(tài)鏈接庫)的方式來實他們分別是:Cisco的NAC .TCG的TNC (trusted network con-neet) .微軟的NAP(網(wǎng)絡(luò)接入保護(hù))。這3種框架在整體架構(gòu)現(xiàn)的.通常有一個.oex擴展名,它們可用在ActiveX控件的容上是一致的都包含客戶端(終端).策略服務(wù)、接入控制3個器中，如Visual Basic或Visual C程序中，或者用在MicrosoftIntemet explorer的Web頁中。主要層次,只不過在具體執(zhí)行檢查的機制上有所不同。ActiveX插件軟件的特點是:一般軟件需要用戶單獨下載2.1 無代理方式然后執(zhí)行宏背而Ai插性其當(dāng)出戶瀏覽到特定的網(wǎng)頁無代理的檢查方式會使用終端上的管理員賬號，連接時,IE中國煤化工裝。AeiveX插件安.裝的一:YHCNMHG認(rèn)。Windows的RPC(遠(yuǎn)程過程調(diào)用)服務(wù).或者Unix機器上的46 Apil 20汪蘇國信技術(shù)與實踐利用ActiveX控件的特點，我們可以不必實現(xiàn)在終端機此無論在終端接 人網(wǎng)絡(luò)以前,還是在終端通過安全檢查、接人器上安裝安全代理，只有當(dāng)這些機器訪問特定的Web網(wǎng)頁網(wǎng)絡(luò)以后 ,都可以IDS對終端的網(wǎng)絡(luò)流量進(jìn)行檢測,以發(fā)現(xiàn)終時,再通過網(wǎng)絡(luò)動態(tài)地安裝到終端上,然后對終端進(jìn)行安全端的異常行為。檢查。在終端準(zhǔn)入以前,NAC系統(tǒng)可以查詢IDS的信息，檢查采用控件方式時,瀏覽器-且關(guān)閉,控件程序就會從內(nèi)是否有來自于該終端的可疑流量。在終端準(zhǔn)入以后,如果IDS存中消失.從而減小了內(nèi)存和CPU的開銷。檢測到終端的可疑流量.也可以實時通知NAC系統(tǒng),從而及另外,相對于在電腦上安裝一-個代理程序來說, 下載一時將 可疑終端從網(wǎng)絡(luò)中隔離出去。個插件的方式,對于用戶來說更容易接受。由于控件只有在瀏覽器打開時才能被使用, -旦瀏覽器被關(guān)3.2漏洞評估技術(shù)閉,那么這時如果策略有所改變,就無法再對個人電腦進(jìn)行安全除了與IDS技術(shù)集成外,NAC系統(tǒng)還可以和漏洞評估系檢查。因此控件方式更適合于用戶在接人網(wǎng)絡(luò)時進(jìn)行一次性的檢統(tǒng)相結(jié)合。查,但是無法對個人電腦進(jìn)行持續(xù)的安全檢查。在終端準(zhǔn)人前,NAC系統(tǒng)可以查詢漏洞評估系統(tǒng)，以確認(rèn)終端是否存在致命的漏洞。在終端準(zhǔn)入后，如果漏洞評估2.4掃描器方式系統(tǒng)發(fā)現(xiàn)終端上出現(xiàn)了新的致命漏洞,可以及時通知NAC系采用遠(yuǎn)程漏洞掃描器,例如Nesus掃描器也可以對接統(tǒng),將該終端從網(wǎng)絡(luò)中隔離 出去。人的終端設(shè)備進(jìn)行安全檢查。通過遠(yuǎn)程漏洞掃描,可以檢查3.3身份管理到終端上存在的一些安全漏洞,但是無法獲得一些更詳盡的關(guān)鍵信息,例如防病毒軟件的版本信息、系統(tǒng)補丁的安裝情身份管理(IDM)系統(tǒng)提供了-種更為集中和安全的對用況、本地安全策略等。而且遠(yuǎn)程掃描通常需要幾分鐘的時間戶進(jìn)行認(rèn)證的方式,同時身份管理系統(tǒng)還能夠為用戶分配網(wǎng)才能完成,所以需要用戶等待的時間較長。絡(luò)訪問權(quán)限。因此,當(dāng)NAC系統(tǒng)需要對用戶進(jìn)行認(rèn)證時,可以使用掃描器方式的好處是:充分利用IDM系統(tǒng)的認(rèn)證機制。.這是- -種真正的無代理方式,不需要在終端機器上安裝任何代理軟件;3.4修補技術(shù)●可以針對終端上的各種操作系統(tǒng),不必?fù)?dān)心終端操作當(dāng)終端由于未能通過安全檢查而被放入隔離區(qū)以后,就系統(tǒng)兼容性的問題;●使用掃描器可以從網(wǎng)絡(luò)的角度檢查終端的安全性。必須盡快地對其安全漏洞進(jìn)行修補，從而能夠從隔離區(qū)釋放掃描器方式也存在-些問題:掃描器檢查的速度通常比出來。當(dāng)前有多種修補策略可以采用，每種都適用不同的場較慢. .給用戶的體驗不是很好;無法像代理方式那樣方便地景，一個好的NAC解決方案至少要具備2種以上的修補方式,這樣才能保證覆蓋到網(wǎng)絡(luò)中所有的終端。檢查終端的本地安全策略、安全軟件的狀態(tài)。用戶自修復(fù):該方法通過向用戶彈出警告窗口或者重定3與其他安全技術(shù)的集成向瀏覽器到特定Web頁面的方式,從而告知用戶如何修復(fù)自己的系統(tǒng);盡管NAC已經(jīng)被安全管理人員列為優(yōu)先考慮對象,但是自動修復(fù):采用這種方式時,NAC系統(tǒng)需要在用戶終端其他安全機制同樣不能被忽視。一個優(yōu)秀的NAC解決方案需上下載并執(zhí)行-一個腳本,從而完成終端的自動修復(fù);要與其他安全技術(shù)無縫集成,例如入侵檢測、漏洞評估.身份第三方修復(fù):如果網(wǎng)絡(luò)中已經(jīng)有了補丁管理系統(tǒng),那么可管理修補T具等,從而創(chuàng)建一個層次化的安全模型。以采用現(xiàn)有補丁管理系統(tǒng)進(jìn)行修復(fù)。NAC工作在網(wǎng)絡(luò)的訪向控制層面,它必須和安全策略的管理中心保持一致。 為了達(dá)到這個目的,NAC系統(tǒng)應(yīng)該具備4 結(jié)論開放的API接口，這些API使得網(wǎng)絡(luò)中的其他部件可以和現(xiàn)在,NAC已經(jīng)成為安全業(yè)界的-一個熱點，許多廠商都NAC集成在-一起。 通過這些API接口,還可以達(dá)到以下目的:希望能夠在市場獲得領(lǐng)導(dǎo)地位,結(jié)果在具體實現(xiàn)上造成了一.在特定情況下,能夠執(zhí)行客戶化的動作;些混亂和誤解。●通過外部的一些設(shè)備進(jìn)行控制;選擇一個行之有效的NAC解決方案,關(guān)鍵是要充分理解●對于現(xiàn)有系統(tǒng)進(jìn)行定制和擴充。各種安全檢查和強制.并選擇適合于自身網(wǎng)絡(luò)環(huán)境的方式,因3.1 IDS( 入侵檢測)IPS(入侵防御)技術(shù)為沒中國煤化工能做到真正的安全。同時還產(chǎn)品集成的重要性,IDS具有檢測網(wǎng)絡(luò)中異常流量或者攻擊行為的功能。因只有這YHCNMH G安全架構(gòu)?！粜固K速信Apil 200 47