策略选择
完备的策略定义对NAC的成功部署至关重要。如果定义足够灵活而不给最终用户带来过大的负担、又足够严格从而保护网络的规则,这需要规划和测试。两者当中择其一的策略(如“符合当前策略,否则拒绝访问”)听上去很好,但实际应用时往往行不通。与网络断开的笔记本电脑(比如说用户在外出度假时)其反病毒特征库可能不是最新的,但并不意味着它遭到了感染。你果真希望禁止员工访问网络吗?还是在用户继续工作的同时,在后台为笔记本电脑打上最新补丁比较好?
幸好,NAC策略引擎有助于创建策略。找到一款易用性和细粒度方面适合自己需要的引擎通常至关重要,因为NAC厂商在为各自的产品添加更多功能;策略界面体现了选项功能越来越多的趋势。与复杂系统的任何管理用户界面一样,像群组、构建定制对象的功能和易于读取的规则集这些特性很重要。
如何集成外部系统同样重要。举例说,如果你的NAC系统使用活动目录来验证用户,那么管理系统应当能够对来自活动目录内部的对象如用户和用户组进行同步,而不是非得重新创建。同样,反病毒产品、管理防火墙和补丁管理系统也应当为管理用户界面无缝提供信息。
提醒一下:IT人员在为高层管理人员制订策略决策时要谨慎行事。尽量不要区别对待主管人员。首席财务官的笔记本电脑与现场代表的笔记本电脑一样容易受到攻击。向他们介绍可靠的安全做法;可能的话,提到遵从法规带来的影响在这方面会有所帮助。
执行
执行是策略中针对主机的状况所定义的响应动作。它可能什么都不做,也可能记录事件,或者禁止计算机访问网络。典型的访问控制执行使用802.1X、DHCP和ARP管理、DNS重定向至“围墙花园”(walled garden)、系统更新以及速率调整从而改变流量或者用户的网络访问权。全面的执行方法介绍如下:
|
NAC执行方法
|
|||
|
执行方法是作用于计算机的动作。在许多情况下,执行是自动的。许多厂商同时支持多种执行方法,所以你可以为每种情况选择最合适的方法。
|
|||
|
方法
|
工作原理
|
优点
|
缺点
|
|
802.1X
|
这是第2层协议,意味着分配IP地址之前进行验证。端口开始处于未授权状态。名为请求者(supplicant)的客户端发送证书到交换机。交换机通过RADIUS把证书发送到服务器。一旦验证成功,交换机端口被启用。
|
主机访问网络之前先进行验证和授权。支持多种验证方案,802.1X旨在出现新技术后,仍具有扩展性。
|
所有主机都要合理配置请求者;用户或者计算机要有帐户。许多交换机让端口处于某一种状态,所以如果某端口上连接多个主机,它们会得到同样的对待。
|
|
VLAN转向
|
VLAN把网络分段成多个逻辑区,转向机制可把主机转移到特定的VLAN上。转向利用了交换机的本机VLAN管理系统或者通过其他协议,比如SNMP。
|
VLAN广为人知,许多公司已经在使用它。几乎任何端口都可以连接任何VLAN,所以移动性很容易实现。
|
VLAN架构可能很复杂;动态的VLAN分配可能加大了故障检测及排除的难度。有些交换机容易受到针对交换机、导致VLAN不稳定的攻击。
|
|
主机执行
|
这大概是原始的NAC系统,通过主机防火墙进行的评估和主机执行允许或者拒绝访问网络流量。
|
不但有可能控制对网络到主机的流量进行访问,还能控制主机上哪些应用可以访问网络端口。除非主机是邮件服务器,否则应用程序就没有理由接管邮件端口。另外,执行会跟踪主机,哪怕未连接网络的时候,所以可以在符合贵公司策略的前提下保护主机,同时连接到远程网络。
|
主机软件要加以管理;很难为遇到连接问题的远程用户排除故障。
|
|
DHCP管理
|
DHCP负责为主机分配IP地址。DHCP管理方案截获DHCP请求后,分配IP地址。因而,NAC执行基于子网和IP分配在IP层进行。
|
易于安装及配置。因为DHCP得到广泛支持,它有望与使用DHCP来请求IP地址的任何主机协同工作。
|
自行静态分配IP地址的主机很容易让DHCP管理失效。
|
|
ARP管理
|
又叫“ARP欺骗”或“中间人攻击”管理。地址解析协议(ARP)用来告诉其他主机哪些IP地址分配给了某个MAC地址。这种地址分配保存在每个主机上的ARP表,可动态更新。这种方法通过把ARP表连同不同的IP到MAC映射一起发送,以此管理主机的ARP表。
|
ARP可用于任何IP主机;始终不用对主机的配置进行任何改动,即可使用。
|
与DHCP管理很相似,静态分配ARP表条目会使这种方法失效。另外,交换机中旨在防止恶意ARP欺骗的新的安全功能可能会导致该方法不稳定。
|
|
通配符DNS
|
ARP把IP地址映射成MAC地址。同样,DNS把主机名称映射成IP地址。通配符DNS利用IP地址来响应任何DNS查询,实际上把主机重定向至特定的服务器。
|
与DHCP和ARP管理一样,这种方法可与使用DNS的任何主机协同工作。用户最后常常出现在网页上,他必须在此验证身份或者接受协议。依赖这个事实:用户最终会使用Web浏览器,因而被重定向至网页。
|
与DHCP和ARP管理一样,如果主机从来不使用DNS,那么这种方法就失效。另外,计算机也会有静态的主机条目。
|
|
“围墙花园”
|
“围墙花园”迫使用户进入到专有网络上,那样他们就能访问有限的资源,比如接受协议、更新系统及执行其他功能的网页。一旦主机获得通过,就允许他们连接到另一个网络上。
|
如果主机被拒绝访问网络,它们如何得到更新?“围墙花园”常常结合另一种执行方法使用。
|
你不得不维护“围墙花园”里面的更新服务器及其他设备。
|
|
嵌入式阻塞
|
嵌入式阻塞类似网络防火墙,只不过访问控制是针对每台主机,而且动态分配。另外,嵌入式系统可以监控网络流量,并对恶意活动采取行动。
|
嵌入式阻塞的粒度一般相当细,因为可以控制端口;在某些情况下,甚至还可以控制流量有效载荷。其他方法主要单单基于主机。
|
嵌入式阻塞常常出现在交换层之间,这意味着恶意主机有可能攻击能访问得到的其他主机,而不必透过嵌入式设备。必须在每个阻塞点部署嵌入式设备。
|
|
TCP重置/ICMP消息
|
NAC系统可以通过向客户机和服务器发送TCP重置命令,来终止TCP连接。一旦主机接到TCP重置命令,TCP连接就被关闭。可使用ICMP消息来管理非TCP协议。
|
类似其他被动执行方法,TCP重置可与具有TCP功能的任何计算机协同工作,可透过任何防火墙或者安全网关。非TCP协议使用ICMP消息,但不能保证两边的主机都认可ICMP消息。
|
非TCP协议很难得到支持。使用UDP的单一数据包攻击如SQL Slammer完全可以长驱直入。
|
|
补丁、更新及配置变更
|
也结合其他执行方法使用,可以自动或者人工给主机打补丁,从而使它符合策略、准备重新评估。
|
对公司拥有的计算机而言,这是很好的措施,可确保主机得到更新及合理配置。
|
你不能总是迫使外部用户(如承包商)更新他们的计算机或者安装软件。另外,网络访问之前迫使进行更新会影响工作效率。
|
执行方面比较棘手的是处理异常情况。无法使用任何一种定义的方法来评估的主机仍需要某种执行。想想在网络上无法安装软件上去的所有设备,从打印机、网络摄像头、VoIP电话到应用设备,等等。惟一的执行方法通常是把这些设备的MAC地址加入白名单。不过,因为MAC地址容易受到欺骗,应当把基于MAC的安全功能实施到访问交换机上,以便防止这些攻击,或者至少降低这种攻击的可能性。
