编者按:2月1日,Gartner在其著名的神奇象限报告中,第一次引入了NAC(网络接入控制)的神奇象限报告。这意味着企业网络接入控制问题,已经越来越受到了企业用户和厂商的关注……
【IT168 专稿】近年来,随着各种病毒爆发时间间距的不断缩短,企业越来越面临无法跟上病毒步伐的尴尬和困窘。在这种情况下,很多企业都把大量精力放在了非法者的防御外部攻击上,然而, 企业却忽视了这种现象:由企业合法使用者而引狼入室的威胁同样越来越严重,越来越多的非法者借合法使用者之身,假道进入企业内部信息系统,越来越多的非法者通过窃取用户名与密码,以“合法者”身份入侵企业网络……
网络接入威胁重重
威胁一:网络攻击借“身”入侵
网络安全事件有绝大部分的攻击、漏洞和威胁来自于企业内部。例如,员工在一些论坛里留下电子邮件地址或无意时的安装了间谍软件,这都可能会招致垃圾邮件,会造成邮件服务器死机或网络堵塞。在Internet商业利益的阴暗面,一个 “危险的链接网址”就可能会触犯相关法律因而危害到企业本身。与此同时,IM(即时通信软件)或“Internet免费邮件”为泄漏公司机密的人开启了一个便利通道,这些人可轻易地将公司内部重要信息传送到企业外部,为企业与客户带来莫大的损失。
内网管理矛盾中还有一个比较突问题——资产管理。由于我们缺乏有效的技术跟踪手段,很多企业内部都存在CPU、内存、硬盘等被随意更换的问题,有些员工还可以随时更改自己所使用的机器的IP地址等配置,不仅难于统一管理,而且一旦出现攻击行为或者安全事故,责任定位也非常困难。
威胁二:合法远程访问方式被利用
提高组织内部生产力的一种最有保证的方法就是使员工能够随时随地访问关键业务资源。但这些关键业务是否能够得到保障呢?远程访问客户端所在的网络可能充满了混合攻击,开放这些网络对企业的访问就可能成为不法分子攻击企业核心网络的跳板。虽然可以通过限制端口等策略进行抵御,但终端客户机的安全我们仍然无法保证,技术人员对于这些工作的计算机管理权限微乎其微,有的时候根本接触不到,除非用户将计算机拿到你的办公室来。
绝大多数的企业,对于服务器或者核心数据区域的管理可谓呵护备至,而在建立分支机构之后却遇到了很多麻烦。审计和报表分析是安全策略实施中问题最多的一个部分。有个时候,我们的CIO可能在很长时间之后才发现,有些分支部门只实现了最少量的安全必要措施,或者也虚假的人工报表来应付审查或公司的调查。如果分支机构没有人能理解公司整体的安全防御策略,信息安全主管就会忙的不亦乐乎,你们会把时间都花在奔波的旅途上。许多的例子就发生在我们的身边,我接触到一个的银行系统的安全管理员,他来来回回的在全国办事处跑了两年,最有体会的一句话就是“见了空姐端来的快餐就想吐!”
威胁三:防毒系统势单力薄
记得笔者有一次去给一家国营电器元件厂的中层干部讲课。课余时间,笔者发现他们的笔记本上大多安装了2个杀毒软件。问起缘由,才知道很多人都怕病毒感染,但对单独一款杀毒软件的防毒能力又不放心。在奉劝他们放弃其中一款软件的时候(注:由于两款软件存在冲突,系统非常缓慢),我也曾犹豫:“如果我主张的软件在病毒感染以后,没有及时查杀,甚至无法隔离,这个责任我承担的起吗?”如果一台主机受到蠕虫病毒的控制,很可能在几分钟甚至几秒钟内在整个网络内部泛滥,回忆Nimda、Blaster这些恶名,他们像纳粹德国闪电战一样摧毁了我们的网络,损失触目惊心。
一台“带毒的笔记本”,我们很难保证它在网络中永远不再爆发。现在市面的产品中,没有一套防毒软件能够达到“智能”的防御水平,这里的“智能”不是指智能的代码分析、变种查杀,我们是指针对企业的整体防护能力。为了说明“智能”两字,我们举一个最简单的例子:当一台病毒笔记本感染病毒的时候,它是否可以立即与网络断开?当管理员电话通知当事人,或者“跑到”机器的面前,在这段时间里蠕虫病毒就可能在网络中感染了数台电脑。
由上可见,我们面临这样的一种局面:我们如何才能让企业只允许合法的、值得信任的端点设备(例如PC 、服务器、PDA )接入网络,而不允许其它设备接人企业网络,如何确保设备授权,并保证接入网络时不被病毒感染。如何拒绝非法者进入企业网络,而保护合法者正常使用企业信息系统。
可信接入的历史难题
客户端接入的目的就是对资源的访问。普通用户比较熟悉的有WWW服务,FTP服务,电子邮件服务,不太熟悉可能有TFTP服务,NFS服务,Finger服务等等。在使用这些服务的时候,我们可能没有想到,TCP/IP在一开始设计的时候就没有充分考虑到安全的因素,从底层我们就出现了安全问题,何况这些应用层的东西。
CP/IP的主要安全问题是认证和保密机制不完善,其中最主要的因素就是IP地址问题。IP地址作为网络节点的唯一标示,许多TCP/IP服务,包括Berkeley中的R命令、NFS、X Window等都是基于IP地址来对用户进行认证和授权。归纳起来,针对TCP/IP的攻击可以分成如下几类:
* 源地址欺骗(Source address spoofing)或IP欺骗(IP spoofing)。
* 源路由选择欺骗(Source Routing spoofing)。
* 路由选择信息协议攻击(RIP Attacks)。
* 鉴别攻击(Authentication Attacks)。
* TCP序列号欺骗(TCP Sequence number spoofing)。
* TCP/IP协议数据流采用明文传输。
* TCP序列号轰炸攻击(TCP SYN Flooding Attack),简称SYN攻击。
* 易欺骗性(Ease of spoofing)。
*
当前的安全防御方法主要是基于IP地址的包过滤(packet filtering)和认证(authentication)技术,然而IP地址存在了许多问题,协议的最大缺点就是缺乏对IP地址的保护,缺乏对IP包中源IP地址真实性的认证机制与保密措施,如NAT代理访问。
为了解决这些棘手的问题,人们开始热衷于是构建一个“完整的”网络接入控制解决方案——“可信接入”。
破解“可信接入”难题
目前出现了几种安全接入技术,这些技术的主要思路是从终端着手,通过管理员指定的安全策略,对接入私有网络的主机进行安全性检测,自动拒绝不安全的主机接入保护网络直到这些主机符合网络内的安全策略为止。
能供实现上述功能的技术有:思科的网络接入控制NAC(Network Access Control)技术,微软的网络访问保护技术NAP(Network Access Protection)以及TCG组织的可信网络连接TNC(Trusted Network Connect)。这三种安全接入技术都是通过对网络中各种设备(包括路由设备、安全设备等)、安全机制、安全信息的综合管理与分析,对现有安全资源进行有效管理和整合。前段时间,NAC与NAP结为连理枝,两种技术方案的融合可以实现:网络接入设备上采用思科的NAC技术,而主机客户端上则采用微软的NAP技术,从而实现互补的功效。
具体说,提高端点安全,采用可信接入后,用户最直接的获益包括:
1. 认证与授权方式的改变
仅仅做到通过用户名和密码进行身份认证是不够的,必须能够对接入端的行为进行识别,对用户的网络访问行为进行管理,让“行为识别”取代简单的“口令”认证。
2. 安全策略的强制执行
这种强制策略是不以“人的特权”而出现例外的策略。主要是指不把一切不符合网络安全规范的设备,在试图到接入到网络时候就对其进行检查,在没有通过检查、授权的情况下对其所有行为进行屏蔽。例如:一台计算机一接入网里面的时候,马山对其进行检查,补丁是否打到最新,病毒库是否更新,是否携带病毒。强制策略的核心就是“隔离”,与病毒隔离相反,是前期隔离的方法。
3. 行为监控与自动隔离
用户行为的监控包括两个方面:首先是针对用户定制成的专门用于监控内部敏感文件访问、操作情况的管理系统;其次是实现被控对象的Internet上网行为(如:网页、邮件),访问网上邻居、关键服务器、敏感文件)和计算机用户的操作行为(如:非法应用程序、OA客户端,黑客工具)的实时监控和管理。与之配套是自动隔离技术,在出现病毒、非授权访问、攻击等安全问题后,对事件源主机实时、快速、精确定位,远程阻断隔离。
4. 保障接入设备具有自愈性
自愈功能与隔离同时使用,又是“强制策略”的补充,不然我们的客户端就会永远消失在网管软件的屏幕上了。有的时候终端用户并不是有意识触犯网络安全的策略,比如说出差很久了,没有升级病毒库版本,我们就需要提供了自动修复的功能,一旦发现这个终端不符合安全的要求,要为用户提供自动恢复的机制,使它可以达到预先制定的安全等级规定,按照它原来的权限访问网络上的资源。