1. 網路準入控制(NAC)的需求與挑戰
思科網路準入控制 (NAC) 是一項由思科發起、多家廠商參加的計畫,其宗旨是防止病毒和蠕蟲等新興黑客技術對企業安全造成危害。藉助NAC,客戶可以只允許合法的、值得信任的端點設備(例如PC、伺服器、PDA)接入網路,而不允許其它設備接入。
IBNS能夠在用戶訪問網路訪問之前確保用戶的身份是信任關係。但是,識別用戶的身份僅僅是問題的一部分。儘管依照總體安全策略,用戶有權進入網路,但是他們所使用的計算機可能不適合接入網路,為什麼會出現這種情況?因為筆記本電腦等移動計算設備在今天的工作環境中的普及提高了用戶的生產率,但是,這也會產生一定的問題:這些計算設備很容易在外部感染病毒或者蠕蟲,當它們重新接入企業網路的時候,就會將病毒等惡意代碼在不經意之間帶入企業環境。
瞬間病毒和蠕蟲侵入將繼續干擾企業業務的正常運作,造成停機,業務中斷和不斷地打補丁。利用思科網路準入控制,企業能夠減少病毒和蠕蟲對企業運作的干擾,因為它能夠防止易損主機接入正常網路。在主機接入正常網路之前,NAC能夠檢查它是否符合企業最新制定的防病毒和作業系統補丁策略。可疑主機或有問題的主機將被隔離或限制網路接入範圍,直到它經過修補或採取了相應的安全措施為止,這樣不但可以防止這些主機成為蠕蟲和病毒攻擊的目標,還可以防止這些主機成為傳播病毒的源頭。
IBNS 的作用是驗證用戶的身份,而 NAC 的作用是檢查設備的“狀態”。交換平台上的 NAC 可以與思科信任代理 (CTA) 共同構成一個系統。思科信任代理(CTA) 可以從多個安全軟體客戶端――例如防病毒客戶端――蒐集安全狀態信息,並將這些信息傳送到相連的、制定訪問控制決策的思科網路。套用和作業系統的狀態――例如防病毒和作業系統補丁等級或者身份證明――可以被用於制定相應的網路準入決策。思科和 NAC 合作夥伴將會把思科信任代理與它們的安全軟體客戶端集成到一起。思科正在與 McAfee Security、Symantec、Trend Micro、IBM 和國內的瑞星、金山合作,將它們的防病毒軟體集成到思科信任代理(CTA)中。
NAC的主要優點包括:
1. 控制範圍大——它能夠檢測主機用於與網路連線的所有接入方法,包括園區網交換、無線接入、路由器WAN鏈路、IPSec遠程接入和撥號接入;
2. 多廠商解決方案 —— NAC 是一項由思科發起、多家防病毒廠商參加的項目,包括Network Associates、Symantec和Trend Micro;
3. 現有技術和標準的擴展 ——NAC擴展了現有通信協定和安全技術的用途,例如可擴展認證協定 (EAP) 、 802.1X和RADIUS服務;
4. 利用網路和防病毒投資——NAC將網路基礎設施中的現有投資與防病毒技術結合在一起,提供了準入控制設施。
2. 網路準入控制(NAC)技術介紹
a. NAC系統組件
wk_ad_begin({pid : 21});wk_ad_after(21, function(){$('.ad-hidden').hide();}, function(){$('.ad-hidden').show();});
如下圖所示,NAC系統共包括四個組件:
NAC系統組件
網路準入控制主要組件:
端點安全軟體(Cisco Security Agent/防病毒軟體)
Cisco Trust Agent
網路接入設備(接入交換機和無線訪問點)
策略/AAA伺服器
防病毒伺服器
管理系統
端點安全軟體——包括AntiVirus防病毒軟體,個人防火牆軟體或Cisco Security Agent-思科安全代理,這些軟體負責端點安全,並與 Cisco Trust Agent (思科信任代理)通訊,共同決定對終端的信任關係。
Cisco Trust Agent——Cisco Trust Agent 負責收集多個安全軟體客戶端的安全狀態信息,例如Anti-Virus 和Cisco Security Agent軟體客戶端,然後將信息傳送到思科網路,在那裡實施準入控制決策。對於未運行防病毒軟體,或者沒有適當版本的主機,按照預定策略,可以限制它對網路的接入範圍,也可以其拒絕接入網路。
網路接入設備 ——實施準入控制的網路設備包括路由器、交換機、無線接入點和安全設備。這些設備接受主機委託,然後將信息傳送到策略伺服器,在那裡實施網路準入控制決策。網路將按照客戶制定的策略實施相應的準入控制決策:允許、拒絕、隔離或限制。
策略伺服器——策略伺服器負責評估來自網路設備的端點安全信息,並決定應該使用哪種接入策略(接入、拒絕、隔離或打補丁)。Cisco Secure ACS伺服器是一種認證、授權和審計RADIUS伺服器,它構成了策略伺服器系統的基礎。它可以與NAC合作商的套用伺服器配合使用,提供更強的委託審核功能,例如防病毒策略伺服器。
防病毒伺服器——防病毒伺服器對防病毒軟體客戶端傳送的狀態報告進行檢查,並將檢查的結果返回策略伺服器,對於感染病毒或防病毒軟體設定不符合安全策略的客戶端提供病毒庫升級服務。
管理伺服器——思科管理解決方案將提供相應的思科NAC組件,以及監控和報告操作工具。CiscoWorks VPN/安全管理解決方案 (CiscoWorks VMS) 和CiscoWorks安全信息管理器解決方案 (CiscoWorks SIMS) 形成了此功能的基礎。思科的NAC合作商將為其端點安全軟體提供管理解決方案。
NAC通過了兩項最嚴格的兼容性測試:防病毒軟體狀況和作業系統信息。它不但包括防病毒廠商的軟體版本、機器等級和簽名檔案等級,還包括作業系統類型、補丁和熱修復。以後還將繼續擴大安全保護范
圍以及工作地點套用檢查的範圍。
b. NAC系統基本工作原理
上圖是NAC的示意圖,當運行NAC時,首先由網路接入設備發出訊息,從主機請求委託書。然後,AAA伺服器Cisco Trust Agent (CTA) 與主機上的Cisco Trust Agent (CTA) 建立安全的EAP對話。此時,CTA對AAA伺服器執行檢查。委託書可以通過主機套用、CTA或網路設備傳遞,由思科ACS接收後進行認證和授權。某些情況下,ACS可以作為防病毒策略伺服器的代理,直接將防病毒軟體套用委託書傳送到廠商的AV伺服器接收檢查。
委託書通過審查後,ACS將為網路設備選擇相應的實施策略。例如,ACS可以向路由器傳送準入控制表,對此主機實施特殊策略。
對於非回響性設備,可以對主動運行CTA(網路或ACS)的設備實施默認策略。在以後的各階段,還將通過掃描或其它機制對主機系統執行進一步檢查,以便收集其他端點安全信息。
3. 網路準入控制(NAC)部署方案
要部署NAC方案,需要安裝上面提到的所有NAC系統組件,這包括由思科提供的產品以及思科的合作夥伴提供的產品。
思科提供的產品包括
執行準入控制的網路設備――包括路由器、交換機、無線接入點和安全設備。各種功能通過軟體增強集成到新老平台中。
Cisco Secure ACS――AAA RADIUS伺服器,是用於確定接入許可權的策略決策點。為支持NAC,正在增強ACS功能。
Cisco Trust Agent――主機代理,由思科開發,將通過多種方式分發:作為獨立代理直接從思科或NAC合作商分發,與Cisco Security Agent一起分發,或者嵌入到NAC防病毒廠商的更新軟體中。
Cisco Security Agent ――可以在主機上使用,同時為防止蠕蟲和病毒提供零天保護,並為NAC提供作業系統補丁和熱修覆信息。
CiscoWorks VMS可用於在路由器上批量配置NAC設定。
防病毒廠商將為主機和AV策略伺服器提供系統的防病毒組件,目前加入NAC計畫的防病毒廠商包括:IBM、趨勢科技、McAfee、賽門鐵克、CA、瑞星和金山等15家安全領域主要廠商。
為了部署NAC,我們一般需要建議以下的具體步驟:
升級網路設備上的的IOS
升級主機上的防病毒軟體
安裝主機上的Cisco Trust Agent (可以包含在防病毒軟體升級過程中)
安裝Cisco Secure ACS 伺服器(在實施基於802.1x的IBNS時已經部署)
安裝用於配置、監控和報告NAC環境的管理工具Cisco Works VMS
另外,還需要考慮以下操作問題:
確定管理許可權模式,妥善管理系統,並相應調整管理組件
確定和實施網路準入控制策略
確定可擴展性和性能要求,保證系統可以應付高峰狀況(尤其是ACS等策略決策基礎設施)
確定和實施隔離和修復環境
思科網路準入控制(NAC)是一項由思科發起、多家廠商參加的計畫,其宗旨是防止病毒和蠕蟲等新興黑客技術對企業安全造成危害。藉助NAC,客戶可以只允許合法的、值得信任的端點設備(例如Pc 、伺服器、PDA )接入網路,而不允許其它設備接人。在初始階段,當端點設備進入網路時,NAC 能夠幫助思科路由器實施訪問許可權。此項決策可以根據端點設備的信息制定,例如設備的當前防病毒狀況以及作業系統補丁等。