没有哪个网络是无懈可击的:恶意软件不断潜入,无论是通过移动员工、访客或者承包商的笔记本电脑,还是通过下载可疑内容的最终用户。网关处或者桌面电脑上的反病毒软件有助于你控制计算机,但访客和没有得到管理的服务器仍然问题重重。
咱们还是实话实说吧:有时候,攻击者就是比我们聪明。可不,连遵循最佳实践的公司同样遭到袭击。我们所指的不仅仅需要安全方面的最佳实践。保护网络远离恶意主机最终是一项桌面管理功能。NAC的作用就是强制实施你的安全策略,提供一种执行机制,有助于确保计算机配置合理。如果IT人员权衡了众多因素,比如用户是否登录、他所用计算机的补丁级别;反恶意软件或者桌面防火墙软件是否安装、运行、版本最新,就能确定要不要根据情况来限制对网络资源的访问。如果某主机没有符合你定义的策略,就被引导到补救服务器,或者放到访客虚拟局域网(VLAN)上。
还记得Slammer病毒吗?假若企业采取如下策略——一旦发现运行MSDE 2000的主机未打上补丁,就拒绝其访问网络,那么Slammer病毒带来的可怕后果就会小得多。
虽然NAC大有希望,但它并非灵丹妙药。解决Slammer病毒的方案是要么给易受攻击的系统及时打上补丁,要么从网络上移除访问MSDE的权限。但如果你的NAC系统没有检查MSDE等应用系统及其补丁级别,就无法阻止易受攻击的节点访问网络。
总体架构
所有NAC产品都有三个基本部分:访问请求者(AR)、策略决策点(PDP)和策略执行点(PEP)。请参阅下面的“总体NAC框架”图。厂商们对这些部分使用各自的名称,但我们使用可信计算组织(Trusted Computing Group)下属可信网络连接(Trusted Network Connect)工作组定义的术语,因为它们相当清楚。
框架总结
|
思科网络准入控制 |
微软的网络准入保护(NAP) |
可信计算组织的可信网络连接(TNC) | |
|
主机评估 |
思科可信代理(Cisco Trust Agent)将用于Longhorn之前的Windows和Vista以及Red Hat企业版3/4 |
微软的NAP代理和802.1X请求者是Windows Longhorn和Vista的一个部分。其他厂商可以使用微软的应用编程接口(API)来创建系统健康代理(SHA),并集成到NAP框架。该厂商负责SHA与NAP客户端如何进行通信、传送什么。举例说,不需要自我评估和实时变更通知。 |
TNC规范可处理AR和PDP之间的通信,还能处理软件与TNC AR如何通信。另一个系统负责进行评估。 |
|
验证 |
证书和评估数据发送到访问控制服务器(ACS)以便验证。ACS把它们发送到微软的网络策略服务器。ACS根据来自网络策略服务器(NPS)的响应来选择策略。 |
NPS与外部策略服务器(如反病毒和补丁管理系统)进行集成,评估主机的健康状况。 |
TNC开发的协议和API指定了各组件如何通信。 |
|
执行 |
思科硬件负责执行访问控制服务器发送的访问策略。 |
允许或者拒绝主机访问虚拟专有网(VPN),或者与外部系统进行集成,可能同时会有隔离机制。 |
TNC开发的协议和API指定了各组件如何通信。 |
|
合作伙伴计划 |
思科有庞大的合作伙伴计划,许多知名的产品厂商参与其中。思科和微软都声称,除了NAC/NAP计划外,它们还将支持各自的合作伙伴计划。微软计划让合作伙伴迁移到Longhorn和Vista的新API。 |
微软有庞大的合作伙伴计划;与思科不同,它还拉拢了许多基础设施厂商。微软还似乎是思科和可信网络连接工作组的强大合作伙伴。 |
规范现在可供下载。TCG的成员可以参与该工作组。微软发布了面向TNC规范的健康状况(Statement of Health)协议。 |
|
互操作性测试 |
思科的NAC计划借助收购了KeyLabs的AppLabs进行互操作性测试。预计NAC合作伙伴会开发及测试各自的产品。 |
微软还没有互操作性测试计划方面的打算。 |
TNC正在规划将来的兼容计划,但它在这个问题上却保持了沉默。 |
PDP和PEP的单独功能可包含在一台服务器上,也可分散在多台服务器之间,这取决于厂商的实施方案;不过一般而言,AR负责请求访问,PDP负责指定策略,而PEP负责执行策略。
AR是试图访问网络的节点,它可以是由NAC系统管理的任何设备,包括工作站、服务器、打印机、照相机及具有IP功能的其他设备。 ARM可能自行执行主机评估,也有可能由另外某个系统来评估主机。不管在什么情况下,AR的评估结果发送到PDP。PDP是核心部分。根据AR的状况和公司定义的策略,PDP确定应当授予哪种访问权。在许多情况下,NAC产品管理系统可能充当PDP。PDP常常依赖后端系统(包括反病毒、补丁管理或者用户目录),以便帮助确定主机的条件。举例说,反病毒软件管理器会确定主机的反病毒软件和特征版本是不是最新,然后通知PDP。
一旦PDP确定运用哪个策略,就会把访问控制决策传送给PEP以便执行。PEP可能是网络设备,比如交换机、防火墙或者路由器;可能是管理动态主机配置协议(DHCP)或者地址解析协议(ARP)的带外设备;也可能是AR上的代理本身。
更多内容请看访问控制列表(ACL)介绍、网络管理实用手册、网络故障手册专题,或进入讨论组讨论。
相关专题
- 无需防火墙 一招保你电脑安全! (166次浏览)
- 格式化都没用 如何清除不可杀病毒? (118次浏览)
- 数据安全:数据丢失的恢复大法 (86次浏览)
- 运用Windows命令 识别木马蛛丝马迹 (80次浏览)
- 内容过滤技术详解 (37次浏览)
- 网管经验:轻松解决ARP病毒引发的断网问题 (37次浏览)
- 网络攻击技术与攻击工具六大趋势 (31次浏览)
- 安装程序出现NSIS ERROR错误解决思路 (30次浏览)
- 安全专家:真实的网络攻击取证纪实 (23次浏览)
- 网络访问控制NAC简介 (21次浏览)
