1. 网络准入控制(NAC)的需求与挑战
思科网络准入控制 (NAC) 是一项由思科发起、多家厂商参加的计划,其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助NAC,客户可以只允许合法的、值得信任的端点设备(例如PC、服务器、PDA)接入网络,而不允许其它设备接入。
IBNS能够在用户访问网络访问之前确保用户的身份是信任关系。但是,识别用户的身份仅仅是问题的一部分。尽管依照总体安全策略,用户有权进入网络,但是他们所使用的计算机可能不适合接入网络,为什么会出现这种情况?因为笔记本电脑等移动计算设备在今天的工作环境中的普及提高了用户的生产率,但是,这也会产生一定的问题:这些计算设备很容易在外部感染病毒或者蠕虫,当它们重新接入企业网络的时候,就会将病毒等恶意代码在不经意之间带入企业环境。
瞬间病毒和蠕虫侵入将继续干扰企业业务的正常运作,造成停机,业务中断和不断地打补丁。利用思科网络准入控制,企业能够减少病毒和蠕虫对企业运作的干扰,因为它能够防止易损主机接入正常网络。在主机接入正常网络之前,NAC能够检查它是否符合企业最新制定的防病毒和操作系统补丁策略。可疑主机或有问题的主机将被隔离或限制网络接入范围,直到它经过修补或采取了相应的安全措施为止,这样不但可以防止这些主机成为蠕虫和病毒攻击的目标,还可以防止这些主机成为传播病毒的源头。
IBNS 的作用是验证用户的身份,而 NAC 的作用是检查设备的“状态”。交换平台上的 NAC 可以与思科信任代理 (CTA) 共同构成一个系统。思科信任代理(CTA) 可以从多个安全软件客户端――例如防病毒客户端――搜集安全状态信息,并将这些信息发送到相连的、制定访问控制决策的思科网络。应用和操作系统的状态――例如防病毒和操作系统补丁等级或者身份证明――可以被用于制定相应的网络准入决策。思科和 NAC 合作伙伴将会把思科信任代理与它们的安全软件客户端集成到一起。思科正在与 McAfee Security、Symantec、Trend Micro、IBM 和国内的瑞星、金山合作,将它们的防病毒软件集成到思科信任代理(CTA)中。
NAC的主要优点包括:
1. 控制范围大——它能够检测主机用于与网络连接的所有接入方法,包括园区网交换、无线接入、路由器WAN链路、IPSec远程接入和拨号接入;
2. 多厂商解决方案 —— NAC 是一项由思科发起、多家防病毒厂商参加的项目,包括Network Associates、Symantec和Trend Micro;
3. 现有技术和标准的扩展 ——NAC扩展了现有通信协议和安全技术的用途,例如可扩展认证协议 (EAP) 、 802.1X和RADIUS服务;
4. 利用网络和防病毒投资——NAC将网络基础设施中的现有投资与防病毒技术结合在一起,提供了准入控制设施。
2. 网络准入控制(NAC)技术介绍
a. NAC系统组件
如下图所示,NAC系统共包括四个组件:
NAC系统组件
网络准入控制主要组件:
端点安全软件(Cisco Security Agent/防病毒软件)
Cisco Trust Agent
网络接入设备(接入交换机和无线访问点)
策略/AAA服务器
防病毒服务器
管理系统
端点安全软件——包括AntiVirus防病毒软件,个人防火墙软件或Cisco Security Agent-思科安全代理,这些软件负责端点安全,并与 Cisco Trust Agent (思科信任代理)通讯,共同决定对终端的信任关系。
Cisco Trust Agent——Cisco Trust Agent 负责收集多个安全软件客户端的安全状态信息,例如Anti-Virus 和Cisco Security Agent软件客户端,然后将信息传送到思科网络,在那里实施准入控制决策。对于未运行防病毒软件,或者没有适当版本的主机,按照预定策略,可以限制它对网络的接入范围,也可以其拒绝接入网络。
网络接入设备 ——实施准入控制的网络设备包括路由器、交换机、无线接入点和安全设备。这些设备接受主机委托,然后将信息传送到策略服务器,在那里实施网络准入控制决策。网络将按照客户制定的策略实施相应的准入控制决策:允许、拒绝、隔离或限制。
策略服务器——策略服务器负责评估来自网络设备的端点安全信息,并决定应该使用哪种接入策略(接入、拒绝、隔离或打补丁)。Cisco Secure ACS服务器是一种认证、授权和审计RADIUS服务器,它构成了策略服务器系统的基础。它可以与NAC合作商的应用服务器配合使用,提供更强的委托审核功能,例如防病毒策略服务器。
防病毒服务器——防病毒服务器对防病毒软件客户端发送的状态报告进行检查,并将检查的结果返回策略服务器,对于感染病毒或防病毒软件设置不符合安全策略的客户端提供病毒库升级服务。
管理服务器——思科管理解决方案将提供相应的思科NAC组件,以及监控和报告操作工具。CiscoWorks VPN/安全管理解决方案 (CiscoWorks VMS) 和CiscoWorks安全信息管理器解决方案 (CiscoWorks SIMS) 形成了此功能的基础。思科的NAC合作商将为其端点安全软件提供管理解决方案。
NAC通过了两项最严格的兼容性测试:防病毒软件状况和操作系统信息。它不但包括防病毒厂商的软件版本、机器等级和签名文件等级,还包括操作系统类型、补丁和热修复。以后还将继续扩大安全保护范围以及工作地点应用检查的范围。
b. NAC系统基本工作原理
上图是NAC的示意图,当运行NAC时,首先由网络接入设备发出消息,从主机请求委托书。然后,AAA服务器Cisco Trust Agent (CTA) 与主机上的Cisco Trust Agent (CTA) 建立安全的EAP对话。此时,CTA对AAA服务器执行检查。委托书可以通过主机应用、CTA或网络设备传递,由思科ACS接收后进行认证和授权。某些情况下,ACS可以作为防病毒策略服务器的代理,直接将防病毒软件应用委托书传送到厂商的AV服务器接收检查。
委托书通过审查后,ACS将为网络设备选择相应的实施策略。例如,ACS可以向路由器发送准入控制表,对此主机实施特殊策略。
对于非响应性设备,可以对主动运行CTA(网络或ACS)的设备实施默认策略。在以后的各阶段,还将通过扫描或其它机制对主机系统执行进一步检查,以便收集其他端点安全信息。
3. 网络准入控制(NAC)部署方案
要部署NAC方案,需要安装上面提到的所有NAC系统组件,这包括由思科提供的产品以及思科的合作伙伴提供的产品。
思科提供的产品包括
o 执行准入控制的网络设备――包括路由器、交换机、无线接入点和安全设备。各种功能通过软件增强集成到新老平台中。
o Cisco Secure ACS――AAA RADIUS服务器,是用于确定接入权限的策略决策点。为支持NAC,正在增强ACS功能。
o Cisco Trust Agent――主机代理,由思科开发,将通过多种方式分发:作为独立代理直接从思科或NAC合作商分发,与Cisco Security Agent一起分发,或者嵌入到NAC防病毒厂商的更新软件中。
o Cisco Security Agent ――可以在主机上使用,同时为防止蠕虫和病毒提供零天保护,并为NAC提供操作系统补丁和热修复信息。
o CiscoWorks VMS可用于在路由器上批量配置NAC设置。
防病毒厂商将为主机和AV策略服务器提供系统的防病毒组件,目前加入NAC计划的防病毒厂商包括:IBM、趋势科技、McAfee、赛门铁克、CA、瑞星和金山等15家安全领域主要厂商。
为了部署NAC,我们一般需要建议以下的具体步骤:
• 升级网络设备上的的IOS
• 升级主机上的防病毒软件
• 安装主机上的Cisco Trust Agent (可以包含在防病毒软件升级过程中)
• 安装Cisco Secure ACS 服务器(在实施基于802.1x的IBNS时已经部署)
• 安装用于配置、监控和报告NAC环境的管理工具Cisco Works VMS
另外,还需要考虑以下操作问题:
• 确定管理权限模式,妥善管理系统,并相应调整管理组件
• 确定和实施网络准入控制策略
• 确定可扩展性和性能要求,保证系统可以应付高峰状况(尤其是ACS等策略决策基础设施)
• 确定和实施隔离和修复环境