NAC技术分析

技术与实践、.NAC技术分析江苏省科学技术情报研究所姜玮摘要:分析了NAC的关键技术,包括NAC的控制技术检测技术等.同时论述了NAC在整体安全架构中与其他安全技术的关系和集成。关键词:网络;安全;技术hostsnectworkpolicy server0引言atemptingdccisiondevicespointsaccess按照Forrester Research的定义,NAC (network adnmission❷poliesevendorcontrol或network acess control)是-种软件技术和硬件技术米crcocnn(AAA)Sev的混合体，可根据客户系统符合策略的情况对其访问网络能EAPUDP w RADIUSHTTPS力进行动态控制。EAP/802.1x-..----一个完整的NAC方案需要考虑3个方面的问题:acrs complyMitication●强制(enforcement):如何阻止非授权用户和终端访问网Cisco络,除非他们能够证明自己是安全的;trust .. 检测(esting):如何验证用户、终端以及终端的健康状态;●策略以及与其他安全工具的集成:NAC如何整合其他图1 IEEE802.1x的基本工作流程安全技术,创建-一个层次化的安全模型。移到一个合法VLAN(虚拟局域网)。如果终端被检查出是“不健康"的,那么这台终端将会被转移到一个隔离的VLAN进行1 NAC强制技术分析安全修补，或者将其所在端口关闭，阻止其对网络的访问。NAC的强制技术,主要有以下几种方式。VLAN的切换信息的传递,可以通过RADIUS(远程拨号用户认证服务)协议来实现。1.1 802.1x 强制技术在现有技术中，最适合的强制技术就是1EEE802.1x。.1.2 DHCP强制技术IEEE802.1x的基本工作流程见图1。如中国煤化工的话,那么可以考虑终端的健康信息可以通过EAP(扩展认证协议)传递给服采用 DHY片CNMHG行强制。务器。一旦终端通过健康检查,那么这个终端就会被动态地转使用DHCP技术，叫以为那些不健康的终端分配- -个特湖淋Ai200 45技术与实践定的IP地址.这个IP地址在网关上使用访问控制列表(ACL)SSH( secure sel)服务。系统连接上终端后.就可以对其进行进行限制，从而控制这台终端对网络的访问。各种需要的安全检查。必须注意,用DHCP进行强制时,存在-一定的安全漏洞,当IT系统中有--个集中的用户管理系统时.采用这种方因为DHCP对于那些使用静态IP地址的终端无法进行强制。式是比较好的。否则如何管理所有用户的账号、密码信息,是一个非常令人头疼的问题。1.3 IPSec 健康证书采用无代理方式的好处是不需要在用户的个人电脑上安在微软的NAP( netwoxk aces protrion)方案中.提供了装任何软件, 从而把对用户的影响降至最小。- -种使用IPSec健康证书作为强制手段的技术。在这种技术对于使用Windows域技术的网络也非常适合采用无代理中,健康注册权威(HRA)将为每一一个通过检查的终端颁发方式， 在这种情况下,NAC系统可以使用域管理的账号登录一个X.509证书(健康证书)。当终端之间试图建立IPSec 连用户的个人电脑上,对个人电脑的安全性进行检查。接时,双方使用健康证书来验证对方的健康状态.没有该证书无代理方式与代理方式相比.还是存在很多局限性,无法的终端无法建立与其他终端的IPSee通信。对个人电脑进行更为细致和全面的检查，而且需要知道每台个人电脑的登录账号和密码，因此其使用场合有很大限制。1.4强制网关技术强制网关是一种工作在第二层的网络桥接设备，通常可2.2代理方式以将强制网关部署在VPN(虚拟专用网)设备的后面。强制网所谓代理方式，就是在用户的个人电脑上安装- -个应用关使用内置的防火墙技术来限制被隔离IP地址的访问,强制程序对其进行安全检查。由于代理安装在用户电脑上.因此它网关部署起来比较方便,而且也比较安全。可以充分利用操作系统所提供的各种API (应用编程接口),从而提供更多更灵活的检查能力。1.5 VPN强制技术使用代理方式,有着其他方式无可比拟的优势:对于通过远程接人VPN进行访问的终端，可以使用VPN(1)代理方式只需要极少的网络流量.就可以对个人电脑进行充分的安全检查;强制技术。当计算机每次试图建立一个远程VPN连接时.NAC系统(2)代理可以采用服务方式,在系统后台运行，在安全策对其进行健康状态检查。通过健康检查的计算机可以获得对略或者新的安全威胁出现，代理可以立即对个人电脑进行安网络访问的权限。对于未能通过健康检查的计算机,VPN设备全检查和策略强制;可以通过IP包过滤技术对其进行网络访问的限制,例如限制(3)代理方式可以提供修补能力.可以锁定个人电脑上的- -些关键资源或设置，例如仅允许连接无线SID (系统识别其只能访问修补服务器以完成安全更新等。码)。2 NAC检测技术分析当然，由于需要在用户个人电脑安装代理程序,因此如何除了各种强制措施.NAC还必须具备足够的策略检查技在数最众多的个人电脑上部署代理程序.是- -个考验。术,从而保证能够覆盖到网络中所有的终端。当前叮以使用的另外.如果代理是以服务方式运行的话.那么需要有个人电脑的管理员权限才能安装。检查技术主要有以下几种:. 无代理技术:不需要在终端设备上安装任何软件;2.3控件方式. 代理技术:在终端上安全检查软件;. 控件技术:通过浏览器临时性下载安装到终端设备;在使用代理方式时，一个要解决的问题就是如何有效地●扫描器技术:使用基于IP的网络漏洞扫描技术。在大量的个人电脑上部署安装代理程序。这时,我们可以考虑在如何进行健康检查方面,当前也存在3个不同的框架，采用ActiveX控件的方式进行安装。ActiveX控件是采用运行DL(动态链接库)的方式来实他们分别是:Cisco的NAC .TCG的TNC (trusted network con-neet) .微软的NAP(网络接入保护)。这3种框架在整体架构现的.通常有一个.oex扩展名,它们可用在ActiveX控件的容上是一致的都包含客户端(终端).策略服务、接入控制3个器中，如Visual Basic或Visual C程序中，或者用在MicrosoftIntemet explorer的Web页中。主要层次,只不过在具体执行检查的机制上有所不同。ActiveX插件软件的特点是:一般软件需要用户单独下载2.1 无代理方式然后执行宏背而Ai插性其当出户浏览到特定的网页无代理的检查方式会使用终端上的管理员账号，连接时,IE中国煤化工装。AeiveX插件安.装的一:YHCNMHG认。Windows的RPC(远程过程调用)服务.或者Unix机器上的46 Apil 20汪苏国信技术与实践利用ActiveX控件的特点，我们可以不必实现在终端机此无论在终端接 人网络以前,还是在终端通过安全检查、接人器上安装安全代理，只有当这些机器访问特定的Web网页网络以后 ,都可以IDS对终端的网络流量进行检测,以发现终时,再通过网络动态地安装到终端上,然后对终端进行安全端的异常行为。检查。在终端准入以前,NAC系统可以查询IDS的信息，检查采用控件方式时,浏览器-且关闭,控件程序就会从内是否有来自于该终端的可疑流量。在终端准入以后,如果IDS存中消失.从而减小了内存和CPU的开销。检测到终端的可疑流量.也可以实时通知NAC系统,从而及另外,相对于在电脑上安装一-个代理程序来说, 下载一时将 可疑终端从网络中隔离出去。个插件的方式,对于用户来说更容易接受。由于控件只有在浏览器打开时才能被使用, -旦浏览器被关3.2漏洞评估技术闭,那么这时如果策略有所改变,就无法再对个人电脑进行安全除了与IDS技术集成外,NAC系统还可以和漏洞评估系检查。因此控件方式更适合于用户在接人网络时进行一次性的检统相结合。查,但是无法对个人电脑进行持续的安全检查。在终端准人前,NAC系统可以查询漏洞评估系统，以确认终端是否存在致命的漏洞。在终端准入后，如果漏洞评估2.4扫描器方式系统发现终端上出现了新的致命漏洞,可以及时通知NAC系采用远程漏洞扫描器,例如Nesus扫描器也可以对接统,将该终端从网络中隔离 出去。人的终端设备进行安全检查。通过远程漏洞扫描,可以检查3.3身份管理到终端上存在的一些安全漏洞,但是无法获得一些更详尽的关键信息,例如防病毒软件的版本信息、系统补丁的安装情身份管理(IDM)系统提供了-种更为集中和安全的对用况、本地安全策略等。而且远程扫描通常需要几分钟的时间户进行认证的方式,同时身份管理系统还能够为用户分配网才能完成,所以需要用户等待的时间较长。络访问权限。因此,当NAC系统需要对用户进行认证时,可以使用扫描器方式的好处是:充分利用IDM系统的认证机制。.这是- -种真正的无代理方式,不需要在终端机器上安装任何代理软件;3.4修补技术●可以针对终端上的各种操作系统,不必担心终端操作当终端由于未能通过安全检查而被放入隔离区以后,就系统兼容性的问题;●使用扫描器可以从网络的角度检查终端的安全性。必须尽快地对其安全漏洞进行修补，从而能够从隔离区释放扫描器方式也存在-些问题:扫描器检查的速度通常比出来。当前有多种修补策略可以采用，每种都适用不同的场较慢. .给用户的体验不是很好;无法像代理方式那样方便地景，一个好的NAC解决方案至少要具备2种以上的修补方式,这样才能保证覆盖到网络中所有的终端。检查终端的本地安全策略、安全软件的状态。用户自修复:该方法通过向用户弹出警告窗口或者重定3与其他安全技术的集成向浏览器到特定Web页面的方式,从而告知用户如何修复自己的系统;尽管NAC已经被安全管理人员列为优先考虑对象,但是自动修复:采用这种方式时,NAC系统需要在用户终端其他安全机制同样不能被忽视。一个优秀的NAC解决方案需上下载并执行-一个脚本,从而完成终端的自动修复;要与其他安全技术无缝集成,例如入侵检测、漏洞评估.身份第三方修复:如果网络中已经有了补丁管理系统,那么可管理修补T具等,从而创建一个层次化的安全模型。以采用现有补丁管理系统进行修复。NAC工作在网络的访向控制层面,它必须和安全策略的管理中心保持一致。 为了达到这个目的,NAC系统应该具备4 结论开放的API接口，这些API使得网络中的其他部件可以和现在,NAC已经成为安全业界的-一个热点，许多厂商都NAC集成在-一起。 通过这些API接口,还可以达到以下目的:希望能够在市场获得领导地位,结果在具体实现上造成了一.在特定情况下,能够执行客户化的动作;些混乱和误解。●通过外部的一些设备进行控制;选择一个行之有效的NAC解决方案,关键是要充分理解●对于现有系统进行定制和扩充。各种安全检查和强制.并选择适合于自身网络环境的方式,因3.1 IDS( 入侵检测)IPS(入侵防御)技术为没中国煤化工能做到真正的安全。同时还产品集成的重要性,IDS具有检测网络中异常流量或者攻击行为的功能。因只有这YHCNMH G安全架构。◆泄苏速信Apil 200 47