企業網路新防線NAC

資訊安全已成為今年的熱門話題之一，越來越多的蠕蟲、病毒、間諜程式或是惡意攻擊程式經由各種管道進入企業網路內，造成整體網路效能不佳、甚至是網路癱瘓進而影響企業營運造成慘痛的損失。


網路管理人員常常著重於尋找高效能的防火牆、入侵偵測系統或防毒牆為企業網路對外來的入侵建立起一道嚴密的防線保護網路的安全，然而企業內部的安全控管卻不受重視。其實最大的威脅有可能潛藏於企業內部使用者或連結於企業網路的各種電腦設備。


小心病毒就在你身邊

近年來由於電子科技的進步，電腦設備已化身為各式各樣的形式，例如筆記型電腦、PDA、智慧型手機、甚至是隨身碟，造就了資料的快速傳遞，也幫助病毒、蠕蟲、惡意程式大量快速的傳播。


許多企業配發筆記型電腦給員工，讓員工不受地點及時間限制能夠即時處理業務，由於長時間的連結在公眾網路上，不論是有線網路、無線網路、公司網路、客戶網路、或是Internet，使得這些可攜式電腦成為病毒的溫床，傳染的媒介。當員工返回公司或外來廠商連結上企業網路時，便讓這些病毒或惡意程式有機可乘侵入網路，癱瘓網路及資訊系統。


企業首重於防範由Internet來的入侵威脅，因為以往對於企業網路的攻擊主要來自於企業外部，所以企業先重兵部署防禦外在威脅的安全架構，如防火牆、防毒牆、入侵偵測系統等，但因為成本、網路複雜度及管理層面的考量，無法在企業內部利用相同的設備建置一道防線來確保所有連接企業網路存取資源的終端設備提供足夠的保護，防禦網路安全威脅。


安全的存取

企業建置安全的存取環境首要步驟，必須要先詳細定義公司的網路存取規範、哪些設備是允許連上公司網路、即時評估這些裝置或主機是否符合政策規範，然後才是有效地執行存取規範，並且隔離問題主機。


此外再針對網路使用者進行控管，首先過濾使用者是否可以上網，再進一步控制使用者的上網行為，讓他們的所作所為符合公司的安全規範，最後也就是針對不同屬性的使用者採取資源控管。


Cisco NAC solution建構企業安全存取環境不是一件簡單的事，而建立起一個可運作的用戶端點安全架構，更不是一朝一夕能完成。 網路設備龍頭思科(Cisco)提出了建構在Cisco交換器架構的網路存取控制方案(NAC, Network Admission Control)方案倡導用戶端點安全，協助企業網路管理人員建立安全的機制，唯有符合企業安全規範的設備或主機，才能接上企業內部網路。


由於有網路設備上的優勢與眾多產商的支援，Cisco NAC可說是目前市場上領先的解決方案。NAC藉由Cisco路由器與交換設備的支援，可以有效地維護網路上用戶端點的存取安全，而且不論是Windows或是Linux用戶端，皆能納入保護體制之內。


Cisco NAC Solution的主要三個元件為 ：


1.代理程式 (Agent) – Cisco Trust Agent (CTA) ，安裝於使用者終端設備，收集終端設備系統及安全資訊送交Policy Server判斷是否符合企業安全規範。
2.執行設備 (Enforcer) – Cisco Network Access Devices，Cisco 路由 器(Router)或交換器(Switch)，是強制執行的設備，如同企業網路安全的一道閘門，負責阻擋或隔離不符合企業安全規範的網路行為。
3.Policy Server – Cisco Access Control Server (ACS)，其作用是檢查從端點經由網路存取裝置轉送來的安全資訊，判定是否符合安全政策並給予適當的存取權限 。

 
圖一 Cisco NAC components

NAC 運作流程如下：


 
1. Client sends a packet through a NAC-enabled router.
2. NAD begins posture validation using EOU.
3. Client sends posture credentials using EOU to the NAD.
4. NAD sends posture to Cisco ACS using RADIUS.
5. Cisco Secure ACS requests posture validation using the Host Credential Authorization Protocol (HCAP) inside an HTTPS tunnel.
6. Posture validation/remediation server sends validation response of pass, fail, quarantine, and so on.
7. To permit or deny network access, Cisco Secure ACS sends an accept with ACLs/URL redirect.
8. NAD forwards posture response to client.
9. Client is granted or denied access, redirected, or contained.


結論
NAC是因應企業對網路安全更高的需求所提出的解決方案，是一種更為全面性的安全防衛架構，先確認使用者的身份及設備的安全等級，更進而持續監控使用者的連線，而不是單純假設只要使用者通過網路認証及一開始的安全和惡意軟體檢查，便不會做出其他違反安全規範的行為。


現在的MIS人員開始意識在企業網路內必須在網路效能、建置成本    、及網路安全間取得一較佳的平衡點來維持企業網路正常的運作。 NAC 技術可說是因應此種趨勢發展出來的解決方案，不但可解決目前的終端安全存取的需求，還可能成為企業網路存取控制標準作法，給予企業對於如何保護企業網路及企業重要資產一個全新的思維。


資料來源:http://www.ringline.com.tw/support/techpapers/network-security/132-nac-.html