企業網路新防線NAC

資訊安全已成為今年的熱門話題之一，越來越多的蠕蟲、病毒、間諜程式或是惡意攻擊程式經由各種管道進入企業網路內，造成整體網路效能不佳、甚至是網路癱瘓進而影響企業營運造成慘痛的損失。


網路管理人員常常著重於尋找高效能的防火牆、入侵偵測系統或防毒牆為企業網路對外來的入侵建立起一道嚴密的防線保護網路的安全，然而企業內部的安全控管卻不受重視。其實最大的威脅有可能潛藏於企業內部使用者或連結於企業網路的各種電腦設備。


小心病毒就在你身邊

近年來由於電子科技的進步，電腦設備已化身為各式各樣的形式，例如筆記型電腦、PDA、智慧型手機、甚至是隨身碟，造就了資料的快速傳遞，也幫助病毒、蠕蟲、惡意程式大量快速的傳播。


許多企業配發筆記型電腦給員工，讓員工不受地點及時間限制能夠即時處理業務，由於長時間的連結在公眾網路上，不論是有線網路、無線網路、公司網路、客戶網路、或是Internet，使得這些可攜式電腦成為病毒的溫床，傳染的媒介。當員工返回公司或外來廠商連結上企業網路時，便讓這些病毒或惡意程式有機可乘侵入網路，癱瘓網路及資訊系統。


企業首重於防範由Internet來的入侵威脅，因為以往對於企業網路的攻擊主要來自於企業外部，所以企業先重兵部署防禦外在威脅的安全架構，如防火牆、防毒牆、入侵偵測系統等，但因為成本、網路複雜度及管理層面的考量，無法在企業內部利用相同的設備建置一道防線來確保所有連接企業網路存取資源的終端設備提供足夠的保護，防禦網路安全威脅。


安全的存取

企業建置安全的存取環境首要步驟，必須要先詳細定義公司的網路存取規範、哪些設備是允許連上公司網路、即時評估這些裝置或主機是否符合政策規範，然後才是有效地執行存取規範，並且隔離問題主機。


此外再針對網路使用者進行控管，首先過濾使用者是否可以上網，再進一步控制使用者的上網行為，讓他們的所作所為符合公司的安全規範，最後也就是針對不同屬性的使用者採取資源控管。


Cisco NAC solution建構企業安全存取環境不是一件簡單的事，而建立起一個可運作的用戶端點安全架構，更不是一朝一夕能完成。 網路設備龍頭思科(Cisco)提出了建構在Cisco交換器架構的網路存取控制方案(NAC, Network Admission Control)方案倡導用戶端點安全，協助企業網路管理人員建立安全的機制，唯有符合企業安全規範的設備或主機，才能接上企業內部網路。


由於有網路設備上的優勢與眾多產商的支援，Cisco NAC可說是目前市場上領先的解決方案。NAC藉由Cisco路由器與交換設備的支援，可以有效地維護網路上用戶端點的存取安全，而且不論是Windows或是Linux用戶端，皆能納入保護體制之內。


Cisco NAC Solution的主要三個元件為 ：


1.代理程式 (Agent) – Cisco Trust Agent (CTA) ，安裝於使用者終端設備，收集終端設備系統及安全資訊送交Policy Server判斷是否符合企業安全規範。
2.執行設備 (Enforcer) – Cisco Network Access Devices，Cisco 路由 器(Router)或交換器(Switch)，是強制執行的設備，如同企業網路安全的一道閘門，負責阻擋或隔離不符合企業安全規範的網路行為。
3.Policy Server – Cisco Access Control Server (ACS)，其作用是檢查從端點經由網路存取裝置轉送來的安全資訊，判定是否符合安全政策並給予適當的存取權限 。

 
圖一 Cisco NAC components

NAC 運作流程如下：


 
1. Client sends a packet through a NAC-enabled router.
2. NAD begins posture validation using EOU.
3. Client sends posture credentials using EOU to the NAD.
4. NAD sends posture to Cisco ACS using RADIUS.
5. Cisco Secure ACS requests posture validation using the Host Credential Authorization Protocol (HCAP) inside an HTTPS tunnel.
6. Posture validation/remediation server sends validation response of pass, fail, quarantine, and so on.
7. To permit or deny network access, Cisco Secure ACS sends an accept with ACLs/URL redirect.
8. NAD forwards posture response to client.
9. Client is granted or denied access, redirected, or contained.


結論
NAC是因應企業對網路安全更高的需求所提出的解決方案，是一種更為全面性的安全防衛架構，先確認使用者的身份及設備的安全等級，更進而持續監控使用者的連線，而不是單純假設只要使用者通過網路認証及一開始的安全和惡意軟體檢查，便不會做出其他違反安全規範的行為。


現在的MIS人員開始意識在企業網路內必須在網路效能、建置成本    、及網路安全間取得一較佳的平衡點來維持企業網路正常的運作。 NAC 技術可說是因應此種趨勢發展出來的解決方案，不但可解決目前的終端安全存取的需求，還可能成為企業網路存取控制標準作法，給予企業對於如何保護企業網路及企業重要資產一個全新的思維。


資料來源:http://www.ringline.com.tw/support/techpapers/network-security/132-nac-.html

NAC

NAC大觀園

前言 傳統在設計企業或組織的資訊安全方案時，通常會在網路的邊界建置防火牆，以劃分出內外不同安全等級的區域，並將需要讓外面可以直接存取的資源，規劃放置在所謂的DMZ  (非戰區)  。接下來由於外來的網路攻擊頻繁，還會在防火牆附近建置入侵防禦系統，以及其他的閘道端網路安全設備。然而當組織將成本與精力投注在邊界閘道、DMZ防禦，建構了堅實的城牆時，新的資安威脅卻有如木馬屠城記，讓這些防禦措施無用武之地。例如瀏覽網頁導致自動下載惡意程式到企業內部個人電腦上，或是員工使用USB隨身碟導致感染外來的病毒或蠕蟲都會影響企業營運，造成的損失難以估計。 最新的攻擊傳播速度已經證明，系統安全更新 (Patch) 遠跟不上脆弱的系統被攻擊的速度，而且我們發現，系統經常在安全業者提供最新的更新碼 (Patch、病毒碼) 之前就已經遭受了攻擊。 網路存取控制的發展 有鑑於資訊安全的決戰點已經由網路邊界延伸至企業內部的端點，開始有廠商提出將端點安全與網路運作結合為一的機制，Cisco在2003年底首先提出NAC  (Network Admission Control) ，以提供保證端點設備在存取網路前是完全遵循已建立的安全政策，並可保證不符合安全政策的設備無法存取該網路、並設置可補救的隔離區供端點修正網路政策，或者限制其可存取的資源，待該端點被確認無安全威脅後再予以放行。  NAC在許多廠商通稱為Network Access Control，發展至今包括：Juniper、Extreme、CheckPoint、McAfee、Symantec、以及Microsoft等都陸續提出對應的產品。  許多知名的調查單位的調查報告都指出，隨著來自內部的資安威脅不斷升高，NAC已經成為許多企業考量導入的資安解決方案，臺灣本地也再歷經幾年的教育市場階段，到了今年開始有爆發性的需求產生。 NAC主要元件 在各廠商的產品規劃上，NAC並不算是單一產品，而是結合企業內整體網路架構協防的機制，透過不同的軟體與路由器、交換器等硬體設備的溝通，NAC能讓企業掌握端端主機連上網路的權限，並檢查防毒軟體更新、作業系統更新等電腦的健康狀態。 雖然各廠商所定義的NAC方案中所包括的元件不盡相同，但是基本上可以歸納為以下三種元件  (如圖一)  ： 1.終端軟體  (Agent) Agnet主要負責收集終端主機的訊息，包括病毒碼版本、作業系統patch檔、資產狀況與系統設定  (防毒軟體是否開啟、Windows防火牆是否開啟) 2.政策執行點  (Policy Enforcer或Policy Enforcement Point) Agent會將收集到的資訊傳給Policy Enforcer，Policy Enforcer會根據這些資訊，負責執行阻擋或隔離不符合安全政策的端點，直到該端點已更新病毒碼或系統更新檔，確認符合安全政策後，取得存取網路的權限。 3.政策伺服器  (Policy Server)  或控制器  (Controller) 負責檢查端點使用者的身份認證，可結合企業既有身份認證資料庫，確認是否為合法的使用者，並依據端點使用者的身份與企業的安全政策，給予對應的網路存取權限。例如員工可存取ERP系統，但訪客只能通往Internet。 圖一 NAC的組成元件 NAC部署模式 由於NAC方案需與企業既有內部網路進行整合，為了讓產品能適應各種不同的網路架構，多數NAC產品都能支援1種以上的部署模式，常見的有以下幾種：  (1)  Out-of-Band  (2)  In-line Gateway  (3)  In-line Switch-based  (4)  DHCP  (5)  Agent-based  (6)  Protocol-based 就企業來說，導入NAC方案前需審慎考量，各種方案與既有網路架構的整合性，以找出最適合自身的方案，以下逐一進行說明。 1.Out-of-Band NAC Out-of-Band顧名思義就是流量不會經過NAC設備，常見是與支援802.1x認證功能的交換器結合，端點主機開機或連接上交換器的網路port時，透過802.1x協定，使用者需要輸入身份認證資料，認證成功且端點符合安全政策後，將該網路port修改為正常使用的vlan，若健康檢查失敗則將該port修改為隔離區vlan讓使用者進行更新或修補。目前大多數廠牌的NAC解決方案，包括Juniper、Sophos、Symantec、TippingPoint等廠牌均支援。 另外Cisco的NAC Appliance在設定為Out-of-Band模式時是透過SNMP方式，讓Edge Switch與NAC設備進行溝通，可達成與802.1x相同的效果，依據檢查結果切換網路port。 Out-of-Band with 802.1x 優點 1.使用者流量不經過NAC，對NAC設備的效能衝擊較低 2.若客戶網路環境都支援802.1x時，單就NAC設備的採購較經濟 缺點 1.網路設備需支援802.1x，可能需全面更新Edge Switch 2.NAC設備與不同廠牌間802.1x協定的支援程度需經過驗證，以避免不相容情事發生 適用環境 v 既有網路環境已經是802.1x ready v 新建置的網路，使用支援802.1x功能的交換器 2.In-line Gateway In-line模式是最常見的NAC部署架構，只要把NAC設備放在核心交換器與邊際交換器之間，讓網路流量經過NAC設備，無須整合其他網路設備。部分廠牌的NAC設備在In-line模式運作時可以不需要在端點安裝Agent，改由網路掃瞄方式偵測端點是否符合安全政策，但檢查的精細度會低於使用Agent的方式，比較適合用在訪客網路或有許多無法安裝Agent的環境。 當端點不符合安全政策時，In-line模式可直接在政策執行點 (NAC設備) 進行流量阻擋或隔離，或是像Juniper的UAC可整合自家的防火牆做為政策執行點，依據檢查的結果由防火牆執行放行或隔離的動作。 In-line 優點 1.無須整合其他網路設備 2.可使用網路掃瞄方式進行端點檢查，適合用在不方便安裝Agent的環境 缺點 1.網路流量需經過NAC設備，需考量設備承受能力  (通常小於1Gbps)  2.因處於流量經過的路徑上，需考量是否有Bypass機制或備援架構，以因應設備停擺的狀況 適用環境 v既有網路環境無法支援802.1x時 v既有邊際網路設備不想更換時 v無法安裝Agent的環境，需透過網路掃瞄進行端點檢測時 vVPN或無線網路  (不使用802.1x) 3.In-line Switch-based In-line Switch-based顧名思義就是把NAC功能與交換器合而為一，與前一種In-line Gateway相比最大的差別就是設備硬體的不同，In-line Gateway 一般都是server-based appliance。而不同廠商在這種模式下的建構方式又不一樣，以Consentry的產品為例，可以放置在核心交換器與邊際交換器之間 (如上圖In-line controller) 或取代原有邊際交換器直接與端點界接 (如上圖Secure Switch) 。另外像Fortinet的產品則是把原有的UTM做成switch的形式。 當端點不符合安全政策時，一樣可直接在政策執行點 (In-line Controller) 進行流量阻擋或隔離，或是直接在網路埠進行阻斷 (Secure Switch) 。 In-line Switch 優點 1.無須整合其他網路設備 2.可使用網路掃瞄方式進行端點檢查，適合用在不方便安裝Agent的環境 3.設備效能較In-line Gateway高 缺點 1.建置於核心交換器與邊際交換器間，需考量備援架構以避免設備故障時造成骨幹網路斷線，以及既有骨幹網路備援機制如HSRP等是否可繼續做運作 (In-line Controller) 2.Secure Switch模式需更換邊際交換器，大量佈建時成本高 3.Secure Switch模式，若網路埠下接Hub或Switch可能會無法落實NAC政策。 適用環境 v既有網路環境無法支援802.1x時 v既有邊際網路設備不想更換時 (In-line Controller) v無法安裝Agent的環境，需透過網路掃瞄進行端點檢測時 vVPN或無線網路 4.DHCP 此模式由DHCP伺服器擔任政策執行點，可使用專用硬體擔任DHCP伺服器，或是在既有的DHCP伺服器上安裝外掛程式，使政策伺服器可以控制DHCP伺服器的設定。當端點上線時，DHCP伺服器會給予一組Host IP (遮罩255.255.255.255的IP) ，禁止該端點存取網路。待政策伺服器確認端點安裝終端軟體並符合管理政策需求後，DHCP伺服器會重新指派一組正常的IP，恢復該端點存取網路資源的權限。 導入DHCP模式的好處是成本低，不需採購許多政策執行點設備。但實際上端點只要直接手動設定固定IP就可以逃避NAC政策的執行，因此需邊際交換器支援DHCP snooping與IP Source-guard等進階功能以落實DHCP機制的執行。 DHCP 優點 1.需求預算少 2.對網路架構的變更最少 缺點 1.無法管理手動設定固定IP的端點，需要邊際交換器進階功能支援 (但不是每一部交換器都有支援) 適用環境 v使用DHCP發放IP時 v既有邊際交換器具備進階功能時 5.Agent-based 通常是防毒軟體廠商所推出的產品，將原有的防毒軟體發展成「超級資安軟體」，整合防毒軟體、個人防火牆、主機端入侵防禦以及NAC功能，當端點使用網路時，透過agent與中央政策伺服器的溝通，檢查端點的健康狀態，當不符合資安政策直接控制端點的網路流量進行隔離。 這種模式最大的問題就是無法控管沒有安裝軟體 (可能是安裝不同廠牌的防毒緩體) 端點設備，如員工私人的電腦、PDA，以及訪客的電腦，對於這些狀況往往需搭配其他作法 (如In-line gateway) 來補強。另外就是軟體本身對於作業系統支援程度，是否可支援非Windows的作業系統？ Agent-based 優點 1.具備個人防火牆、主機端入侵防禦等功能，對端點的防禦較完整 2.與任何廠牌網路交換器相容 缺點 1.未安裝軟體的端點無法管理 2.軟體本身可能有資安漏洞 3.軟體本身對於作業系統的支援能力 適用環境 v網路架構不可更動時 v更換或升級防毒軟體解決方案時 6.Protocol-based   這種模式NAC設備需以Layer 2或Layer 3方式直接與端點交互作用，透過監聽網路流量的方式得知端點進入網路，並以搶先回應其ARP request的方式，回應其虛擬的MAC (就是NAC政策執行點的MAC) 將端點的流量導向NAC設備進行檢測，若不符合安全政策亦使用相同方式達到隔離的目的。 Protocol-based 優點 1.不需安裝Agent 2.不需In-line部署，與任何廠牌網路交換器相容，因此不需修改網路架構，也不會是效能瓶頸 3.任何種類端點均可管理 (與作業系統無關) 缺點 1.監聽流量時每個介面小於1Gbps，區域網路流量很大時會發生效能限制 2.以ARP poisoning方式隔離端點，只要端點自行手動設定固定ARP對應即可突破 適用環境 v網路架構不可更動時 v不想安裝Agent時 NAC的未來發展趨勢目前業界並沒有規範NAC產品必須具備哪些功能，也因為如此才會出現如前面所呈現的許多種部署架構，不過大體上來說都具備「認證授權」、「端點檢測」與「隔離更新」等功能。 隨著NAC市場的日趨熱絡，許多廠商近來紛紛在其NAC產品上提出不少新功能，讓產品功能更趨完整，觀察如下： 1.與IPS整合 由於市面上許多NAC產品僅針對端點連線前進行「Pre-Admission」健康檢測，一旦判斷為符合政策並允許其進入網路後，不監控其網路使用使用狀況。雖然端點符合資安政策、OS patch與防毒碼也都是最新，但仍可能有病毒或蠕蟲導致惡意流量，因此最近包括Juniper及TippingPoint等都提出與同廠牌IPS整合的方案，透過IPS偵測哪些端點的網路流量已經違反資安政策，再透過NAC設備採取隔離動作或限制其網路使用權限，以遏止來自內部的惡意行為。 2.訪客與外單位使用者控管     導入NAC方案後，對於訪客或外單位使用者等的管理往往成為新的麻煩，因為： 訪客電腦並非公司資產，通常無法強迫其安裝Agent 訪客電腦的帳號若要建立在既有認證系統內，管理不便 訪客電腦使用網路的權限必須受到限制，需限制無法存取內部網段 因此最近Cisco在其NAC方案中加入「Guest Server」的概念，允許內部有權限的員工可以自行至系統設定訪客使用的帳號，如櫃臺人員有權限幫訪客建立帳號。訪客取得帳號密碼後，登入網路時不需安裝Agent、並將其使用網路的權限與內部網段隔離。訪客帳號具有時效性且系統保留帳號建立的紀錄可供日後稽核。如此一來就可以提供便利的訪客控管機制，不需整合其他3rd party帳號管理系統。 3.與NAP的整合 目前各家NAC產品通常具備自家的Agent軟體，許多客戶覺得部署Agent至端點很麻煩。但自從Microsoft推出自家NAP的解決方案後，NAP agent將內建於Vista SP1及Windows XP SP3中，不需要另行部署，因此目前各家NAC設備廠商無不努力與微軟NAP進行整合測試，包括Cisco、Juniper等都宣布將與NAP相容，未來將可以大幅簡化部署NAC方案的複雜度。 結語 NAC已經帶給我們對於網路防禦的新思維，將資安政策落實在區域網路的邊際，把不健康的端點設備與內部網路分隔開，以確保網路的正常運作，相信未來NAC將會持續精進發展，成為網路安全不可或缺的重要角色。 資料來源:http://www.ringline.com.tw/support/techpapers/network-security/149-nac-.html