NAC的周期
主机试图连接到具有NAC功能的网络时,通常经历三个阶段:准入前后的评估、策略选择和策略执行。负责管理每个步骤的标准取决于贵公司的策略和NAC系统具有的功能。
你在选择产品之前,要明确贵公司的目标到底是什么。举例说,补丁或者反病毒软件的特征过期多久后,主机再也不能访问网络?访客主机的什么条件是可以接受的、从而授予访问权?你是不是希望根据用户ID来授予访问权?
评估
NAC周期从评估开始,到评估结束。授予主机完全访问网络之前进行准入前评估。授予访问权后,准入后评估能够定期重新评估主机,确保它从来没有构成威胁。主机评估可以收集一些信息,比如主机的操作系统、补丁级别、运行或者安装的应用程序、安全状况、系统配置、用户登录以及更多信息,然后传送给PDP。收集哪些信息取决于你定义的策略和NAC产品具有的功能。
NAC评估方法:主机评估是确定主机状态和它应该得到哪种访问权的一个根本方面。以下是如今使用的一些常见评估方法。许多NAC厂商至少支持其中的两种方法。
方法
|
工作原理
|
优点
|
缺点
|
持久性代理
|
软件代理安装后,执行评估。代理可能是更大程序包(如桌面防火墙)的一部分,也可能是类似思科可信代理的代理者。
|
只要在计算机上安装一次。一旦软件安装完毕,用户根本不必再理会它。提供了深度检测主机的功能。
|
不是所有系统、尤其是访客系统都能安装代理。代理需要合理的权限才能评估主机。代理必须支持你的所有操作系统和应用程序。
|
一次性代理
|
类似持久性代理,一次性代理用Java或者ActiveX等移动语言来编写,下载后即可执行。评估一般由代理来执行,而不是卸载到其他源处。
|
可安装到任何主机上,移动代码更可能在多种操作系统上得到支持。这种代理通常很简短,大小不到1MB,所以可以在慢速连接上传送。
|
不是所有系统都支持移动代码。用户需要合适的许可权才可运行代码;在Windows中,这往往是需要本地管理员或者高级用户。
|
远程过程调用(RPC)
|
网络上的服务器使用目标计算机上的RPC或者WMI来进行扫描。除了可以访问主机外,服务器还需要主机的管理员证书才能进行扫描。
|
不需要安装代理,却仍有望比较深入地分析主机。
|
不是所有用户都有本地管理员访问权,而最小用户权限概念会进一步限制这种访问权。访客很难得到支持。检查也不如代理方案来得全面。
|
漏洞扫描
|
服务器对主机执行漏洞评估扫描。反病毒软件扫描试图识别操作系统、运行中的服务以及任何漏洞。
|
不需要安装代理;而且常常不需要证书,从而使得扫描很简单。提供了主机上攻击点的详细信息。
|
如果没有管理员证书,有关主机的信息很有限。扫描要用很长时间,还有可能导致服务崩溃。主机防火墙会干扰扫描功能。误报或者漏报是潜在问题。
|
被动监控
|
不是评估主机的条件,而是监控主机从而查找不良行为,比如扫描或者蠕虫感染。可以执行入侵检测,并监控验证请求和响应。
|
可检测恶意行为,不管主机的条件如何。被动监控可能使用基于特征或者异常的检测。提供了实时检测不符合策略的活动的功能。
|
有关主机状态的惟一数据就是传回到网络上的数据。操作系统和服务检测可能不准确。需要了解网络流量,而这很难实现。
|
评估可以使用持久安装的代理,这在基于主机的NAC中很常见;更有可能使用一次性代理(dissolvable agent),之所以这么叫,是因为这种代理基于Java或者ActiveX;使用后就消失。一次性代理有时又叫无代理NAC,不过这种方法实际上需要使用下载及安装到主机计算机上的代理。
问题在于,Windows、Mac OS X和Linux中的安全模型往往需要代理(持久性代理或者一次性代理)拥有本地管理员权限才可以运行。对不允许笔记本电脑和桌面电脑以本地管理员权限来运行(明智做法)的公司而言,这就成了问题。在有些情况下,代理在第一次安装时才可能需要管理员权限;这让IT人员得以避开这个局限性。
但如果你无法把代理安装到系统上,那该如何是好?这种情况下,就可以通过远程扫描方法来进行无代理评估,比如运行漏洞扫描;或者使用远程过程调用(RPC)或Windows管理工具(WMI)来查询主机。另外,使用入侵检测和网络异常检测技术的被动扫描会根据实际流量来寻找恶意主机。甚至可以这样定义评估:迫使用户签署“可接受使用政策”,之后才授予网络访问权。
主机获得访问权后进行连接后评估。如果忽视了这一步,后果自负,这是由于主机的条件在处于连接时也会变化。蠕虫可能被激活,或者恶意用户可能开始攻击。连接后评估可以在指定的一段时间后自动启动;需要时由管理员来启动;或者根据主机出现的变化来启动,比如桌面防火墙或者反病毒软件被禁用。新的评估与当前策略进行比较,然后采取规定的动作。连接后评估方面值得关注的是,有些产品使用被动网络监控,或者在NAC系统里面;或者与现有的入侵检测或者网络异常检测系统进行集成,报告可疑活动。这些外部监控系统可以报告网络流量,还能检测出基于主机的评估没有发现的问题。