NAC

NAC大觀園

前言 傳統在設計企業或組織的資訊安全方案時，通常會在網路的邊界建置防火牆，以劃分出內外不同安全等級的區域，並將需要讓外面可以直接存取的資源，規劃放置在所謂的DMZ  (非戰區)  。接下來由於外來的網路攻擊頻繁，還會在防火牆附近建置入侵防禦系統，以及其他的閘道端網路安全設備。然而當組織將成本與精力投注在邊界閘道、DMZ防禦，建構了堅實的城牆時，新的資安威脅卻有如木馬屠城記，讓這些防禦措施無用武之地。例如瀏覽網頁導致自動下載惡意程式到企業內部個人電腦上，或是員工使用USB隨身碟導致感染外來的病毒或蠕蟲都會影響企業營運，造成的損失難以估計。 最新的攻擊傳播速度已經證明，系統安全更新 (Patch) 遠跟不上脆弱的系統被攻擊的速度，而且我們發現，系統經常在安全業者提供最新的更新碼 (Patch、病毒碼) 之前就已經遭受了攻擊。 網路存取控制的發展 有鑑於資訊安全的決戰點已經由網路邊界延伸至企業內部的端點，開始有廠商提出將端點安全與網路運作結合為一的機制，Cisco在2003年底首先提出NAC  (Network Admission Control) ，以提供保證端點設備在存取網路前是完全遵循已建立的安全政策，並可保證不符合安全政策的設備無法存取該網路、並設置可補救的隔離區供端點修正網路政策，或者限制其可存取的資源，待該端點被確認無安全威脅後再予以放行。  NAC在許多廠商通稱為Network Access Control，發展至今包括：Juniper、Extreme、CheckPoint、McAfee、Symantec、以及Microsoft等都陸續提出對應的產品。  許多知名的調查單位的調查報告都指出，隨著來自內部的資安威脅不斷升高，NAC已經成為許多企業考量導入的資安解決方案，臺灣本地也再歷經幾年的教育市場階段，到了今年開始有爆發性的需求產生。 NAC主要元件 在各廠商的產品規劃上，NAC並不算是單一產品，而是結合企業內整體網路架構協防的機制，透過不同的軟體與路由器、交換器等硬體設備的溝通，NAC能讓企業掌握端端主機連上網路的權限，並檢查防毒軟體更新、作業系統更新等電腦的健康狀態。 雖然各廠商所定義的NAC方案中所包括的元件不盡相同，但是基本上可以歸納為以下三種元件  (如圖一)  ： 1.終端軟體  (Agent) Agnet主要負責收集終端主機的訊息，包括病毒碼版本、作業系統patch檔、資產狀況與系統設定  (防毒軟體是否開啟、Windows防火牆是否開啟) 2.政策執行點  (Policy Enforcer或Policy Enforcement Point) Agent會將收集到的資訊傳給Policy Enforcer，Policy Enforcer會根據這些資訊，負責執行阻擋或隔離不符合安全政策的端點，直到該端點已更新病毒碼或系統更新檔，確認符合安全政策後，取得存取網路的權限。 3.政策伺服器  (Policy Server)  或控制器  (Controller) 負責檢查端點使用者的身份認證，可結合企業既有身份認證資料庫，確認是否為合法的使用者，並依據端點使用者的身份與企業的安全政策，給予對應的網路存取權限。例如員工可存取ERP系統，但訪客只能通往Internet。 圖一 NAC的組成元件 NAC部署模式 由於NAC方案需與企業既有內部網路進行整合，為了讓產品能適應各種不同的網路架構，多數NAC產品都能支援1種以上的部署模式，常見的有以下幾種：  (1)  Out-of-Band  (2)  In-line Gateway  (3)  In-line Switch-based  (4)  DHCP  (5)  Agent-based  (6)  Protocol-based 就企業來說，導入NAC方案前需審慎考量，各種方案與既有網路架構的整合性，以找出最適合自身的方案，以下逐一進行說明。 1.Out-of-Band NAC Out-of-Band顧名思義就是流量不會經過NAC設備，常見是與支援802.1x認證功能的交換器結合，端點主機開機或連接上交換器的網路port時，透過802.1x協定，使用者需要輸入身份認證資料，認證成功且端點符合安全政策後，將該網路port修改為正常使用的vlan，若健康檢查失敗則將該port修改為隔離區vlan讓使用者進行更新或修補。目前大多數廠牌的NAC解決方案，包括Juniper、Sophos、Symantec、TippingPoint等廠牌均支援。 另外Cisco的NAC Appliance在設定為Out-of-Band模式時是透過SNMP方式，讓Edge Switch與NAC設備進行溝通，可達成與802.1x相同的效果，依據檢查結果切換網路port。 Out-of-Band with 802.1x 優點 1.使用者流量不經過NAC，對NAC設備的效能衝擊較低 2.若客戶網路環境都支援802.1x時，單就NAC設備的採購較經濟 缺點 1.網路設備需支援802.1x，可能需全面更新Edge Switch 2.NAC設備與不同廠牌間802.1x協定的支援程度需經過驗證，以避免不相容情事發生 適用環境 v 既有網路環境已經是802.1x ready v 新建置的網路，使用支援802.1x功能的交換器 2.In-line Gateway In-line模式是最常見的NAC部署架構，只要把NAC設備放在核心交換器與邊際交換器之間，讓網路流量經過NAC設備，無須整合其他網路設備。部分廠牌的NAC設備在In-line模式運作時可以不需要在端點安裝Agent，改由網路掃瞄方式偵測端點是否符合安全政策，但檢查的精細度會低於使用Agent的方式，比較適合用在訪客網路或有許多無法安裝Agent的環境。 當端點不符合安全政策時，In-line模式可直接在政策執行點 (NAC設備) 進行流量阻擋或隔離，或是像Juniper的UAC可整合自家的防火牆做為政策執行點，依據檢查的結果由防火牆執行放行或隔離的動作。 In-line 優點 1.無須整合其他網路設備 2.可使用網路掃瞄方式進行端點檢查，適合用在不方便安裝Agent的環境 缺點 1.網路流量需經過NAC設備，需考量設備承受能力  (通常小於1Gbps)  2.因處於流量經過的路徑上，需考量是否有Bypass機制或備援架構，以因應設備停擺的狀況 適用環境 v既有網路環境無法支援802.1x時 v既有邊際網路設備不想更換時 v無法安裝Agent的環境，需透過網路掃瞄進行端點檢測時 vVPN或無線網路  (不使用802.1x) 3.In-line Switch-based In-line Switch-based顧名思義就是把NAC功能與交換器合而為一，與前一種In-line Gateway相比最大的差別就是設備硬體的不同，In-line Gateway 一般都是server-based appliance。而不同廠商在這種模式下的建構方式又不一樣，以Consentry的產品為例，可以放置在核心交換器與邊際交換器之間 (如上圖In-line controller) 或取代原有邊際交換器直接與端點界接 (如上圖Secure Switch) 。另外像Fortinet的產品則是把原有的UTM做成switch的形式。 當端點不符合安全政策時，一樣可直接在政策執行點 (In-line Controller) 進行流量阻擋或隔離，或是直接在網路埠進行阻斷 (Secure Switch) 。 In-line Switch 優點 1.無須整合其他網路設備 2.可使用網路掃瞄方式進行端點檢查，適合用在不方便安裝Agent的環境 3.設備效能較In-line Gateway高 缺點 1.建置於核心交換器與邊際交換器間，需考量備援架構以避免設備故障時造成骨幹網路斷線，以及既有骨幹網路備援機制如HSRP等是否可繼續做運作 (In-line Controller) 2.Secure Switch模式需更換邊際交換器，大量佈建時成本高 3.Secure Switch模式，若網路埠下接Hub或Switch可能會無法落實NAC政策。 適用環境 v既有網路環境無法支援802.1x時 v既有邊際網路設備不想更換時 (In-line Controller) v無法安裝Agent的環境，需透過網路掃瞄進行端點檢測時 vVPN或無線網路 4.DHCP 此模式由DHCP伺服器擔任政策執行點，可使用專用硬體擔任DHCP伺服器，或是在既有的DHCP伺服器上安裝外掛程式，使政策伺服器可以控制DHCP伺服器的設定。當端點上線時，DHCP伺服器會給予一組Host IP (遮罩255.255.255.255的IP) ，禁止該端點存取網路。待政策伺服器確認端點安裝終端軟體並符合管理政策需求後，DHCP伺服器會重新指派一組正常的IP，恢復該端點存取網路資源的權限。 導入DHCP模式的好處是成本低，不需採購許多政策執行點設備。但實際上端點只要直接手動設定固定IP就可以逃避NAC政策的執行，因此需邊際交換器支援DHCP snooping與IP Source-guard等進階功能以落實DHCP機制的執行。 DHCP 優點 1.需求預算少 2.對網路架構的變更最少 缺點 1.無法管理手動設定固定IP的端點，需要邊際交換器進階功能支援 (但不是每一部交換器都有支援) 適用環境 v使用DHCP發放IP時 v既有邊際交換器具備進階功能時 5.Agent-based 通常是防毒軟體廠商所推出的產品，將原有的防毒軟體發展成「超級資安軟體」，整合防毒軟體、個人防火牆、主機端入侵防禦以及NAC功能，當端點使用網路時，透過agent與中央政策伺服器的溝通，檢查端點的健康狀態，當不符合資安政策直接控制端點的網路流量進行隔離。 這種模式最大的問題就是無法控管沒有安裝軟體 (可能是安裝不同廠牌的防毒緩體) 端點設備，如員工私人的電腦、PDA，以及訪客的電腦，對於這些狀況往往需搭配其他作法 (如In-line gateway) 來補強。另外就是軟體本身對於作業系統支援程度，是否可支援非Windows的作業系統？ Agent-based 優點 1.具備個人防火牆、主機端入侵防禦等功能，對端點的防禦較完整 2.與任何廠牌網路交換器相容 缺點 1.未安裝軟體的端點無法管理 2.軟體本身可能有資安漏洞 3.軟體本身對於作業系統的支援能力 適用環境 v網路架構不可更動時 v更換或升級防毒軟體解決方案時 6.Protocol-based   這種模式NAC設備需以Layer 2或Layer 3方式直接與端點交互作用，透過監聽網路流量的方式得知端點進入網路，並以搶先回應其ARP request的方式，回應其虛擬的MAC (就是NAC政策執行點的MAC) 將端點的流量導向NAC設備進行檢測，若不符合安全政策亦使用相同方式達到隔離的目的。 Protocol-based 優點 1.不需安裝Agent 2.不需In-line部署，與任何廠牌網路交換器相容，因此不需修改網路架構，也不會是效能瓶頸 3.任何種類端點均可管理 (與作業系統無關) 缺點 1.監聽流量時每個介面小於1Gbps，區域網路流量很大時會發生效能限制 2.以ARP poisoning方式隔離端點，只要端點自行手動設定固定ARP對應即可突破 適用環境 v網路架構不可更動時 v不想安裝Agent時 NAC的未來發展趨勢目前業界並沒有規範NAC產品必須具備哪些功能，也因為如此才會出現如前面所呈現的許多種部署架構，不過大體上來說都具備「認證授權」、「端點檢測」與「隔離更新」等功能。 隨著NAC市場的日趨熱絡，許多廠商近來紛紛在其NAC產品上提出不少新功能，讓產品功能更趨完整，觀察如下： 1.與IPS整合 由於市面上許多NAC產品僅針對端點連線前進行「Pre-Admission」健康檢測，一旦判斷為符合政策並允許其進入網路後，不監控其網路使用使用狀況。雖然端點符合資安政策、OS patch與防毒碼也都是最新，但仍可能有病毒或蠕蟲導致惡意流量，因此最近包括Juniper及TippingPoint等都提出與同廠牌IPS整合的方案，透過IPS偵測哪些端點的網路流量已經違反資安政策，再透過NAC設備採取隔離動作或限制其網路使用權限，以遏止來自內部的惡意行為。 2.訪客與外單位使用者控管     導入NAC方案後，對於訪客或外單位使用者等的管理往往成為新的麻煩，因為： 訪客電腦並非公司資產，通常無法強迫其安裝Agent 訪客電腦的帳號若要建立在既有認證系統內，管理不便 訪客電腦使用網路的權限必須受到限制，需限制無法存取內部網段 因此最近Cisco在其NAC方案中加入「Guest Server」的概念，允許內部有權限的員工可以自行至系統設定訪客使用的帳號，如櫃臺人員有權限幫訪客建立帳號。訪客取得帳號密碼後，登入網路時不需安裝Agent、並將其使用網路的權限與內部網段隔離。訪客帳號具有時效性且系統保留帳號建立的紀錄可供日後稽核。如此一來就可以提供便利的訪客控管機制，不需整合其他3rd party帳號管理系統。 3.與NAP的整合 目前各家NAC產品通常具備自家的Agent軟體，許多客戶覺得部署Agent至端點很麻煩。但自從Microsoft推出自家NAP的解決方案後，NAP agent將內建於Vista SP1及Windows XP SP3中，不需要另行部署，因此目前各家NAC設備廠商無不努力與微軟NAP進行整合測試，包括Cisco、Juniper等都宣布將與NAP相容，未來將可以大幅簡化部署NAC方案的複雜度。 結語 NAC已經帶給我們對於網路防禦的新思維，將資安政策落實在區域網路的邊際，把不健康的端點設備與內部網路分隔開，以確保網路的正常運作，相信未來NAC將會持續精進發展，成為網路安全不可或缺的重要角色。 資料來源:http://www.ringline.com.tw/support/techpapers/network-security/149-nac-.html