【IT168 专稿】可信网络接入已经越来越受到大家的关注,微软、思科、Intel等企业,都纷纷推出了可信网络接入的标准,NAC、NAP等各种可信网络接入概念不断出现,它们之间到底是否有何关联,是否能够融合成一个统一的可信网络接入标准呢?
NAC、NAP:共谋可信接入
早些时候,思科与微软两家公司分别发布了各自的“终端”安全结构。不幸的是,客户无法对这种结构实行互通,因为两家公司没有正式公布官方的兼容协议。我们担心,今后在终端接入安全产品中必须在思科或是微软中选择其一。两家公司可能也发现了这个问题,并且他们的安全终端计划又十分相似,思科倡导的新一代的“自防御网络”计划 (Self -Defending Network)与微软在Windows 2003 Server 中的网络接入隔离控制(Network Access Quarantine Control)不谋而合。
Cisco过去能做到控管网络连接端口,例如身分网络服务(IBNS)和无线网络设备,限制非法存取和不受控管的无线AP,现在已经发展到网络层控管,利用Cisco NAC(Network Admission Control)/Cisco Trust Agent(CTA)、Cisco Clean Access(CCA)和Cisco Security Agent(CSA)等系统,强制执行政策和隔离的VLAN。而微软的NAP计划也从基于动态主机配置协议 (DHCP) 服务器服务、路由和远程访问(VPN连接)和 Internet Authentication Service (IAS) 、远程身份验证拨入用户服务“RADIUS”等,第一版网络访问保护技术发展到嵌入Windows Vista客户端以及Longhorn Server中NAP。
现在Microsoft 网络访问保护 (NAP) 和 Cisco 网络许可控制 (NAC) 解决方案已经合二为一。二者携同工作后,客户现在可以非常灵活地选择能够满足其需求的安全解决方案,同时还具有了实施单一协同解决方案的机会。在两大巨头描绘的蓝图下,今后的计算机网络不但具有了保护网上主机系统,网上终端系统,网上应用系统的能力,网络本身也具有自我保护能力,自我防御能力,自我愈合能力,一旦受到网络蠕虫,网络病毒的侵扰甚至网络攻击时,能够快速反应,做到网络能够发现攻击,发现病毒,消除蠕虫,做到即保护网络应用的同时,又保护了网络自身。
NAP与NAC的技术架构与区别
NAP 部署环境中包括下列组成部分:
1、 适用于动态主机配置协议和VPN、IPSec 的NAP 客户端计算机;
2、 Windows Longhorn Server(NAP Server),对于不符合当前系统运行状况要求的计算机进行强制受限网络访问,同时运行Internet 身份验证服务 (IAS),支持系统策略配置和 NAP 客户端的运行状况验证协调。
3、 策略服务器,为IAS服务器提供当前系统运行情况,并包含可供NAP客户端访问以纠正其非正常运行状态所需的修补程序、配置和应用程序。策略服务器还包括防病毒隔离和软件更新服务器。
4、 证书服务器,向基于IPsec的NAP客户端颁发运行状况证书。
| |
NAP结构图 |
根据微软提供的演示图示,我们可以看到: NAP 服务器有一个“强制隔离客户端”(QES/ QEC)组件层。每个QES/ QEC都针对不同类型的网络访问而定义。例如,有用于 DHCP 配置和 VPN 连接的 QES与具备 NAP 能力的客户端一起工作。隔离服务器推动 IAS 与系统运行状况验证器(SHV)之间的通信,并根据已配置的一组系统运行状况策略进行系统运行状况分析。在用于防病毒和用于操作系统更新的 SHV层,用于检查防病毒签名的 SHV 与存储最新防病毒更新版本号的服务器匹配。在隔离方面,NAP提供了DHCP 隔离包含、VPN 隔离、IPsec 隔离多种取保通信的访问机制。
NAC系统也包括四个组件:
1、 客户端软件(AV防毒软件,Cisco Security Agent)与Cisco Trust Agent(思科可信代理);CTA可以从多个安全软件组成的客户端防御体系收集安全状态信息,例如防毒软件、操作系统更新版本、信任关系等,然后将这些信息传送到相连的网络中,在这里实施准入控制策略。
2、 网络接入设备;包括路由器、交换机、防火墙以及无线AP等。这些设备接受主机委托,然后将信息传送到策略服务器,由策路服务器决定是否采取什么样的授权。网络将按照客户制定的策略实施相应的准入控制决策:允许、拒绝、隔离或限制。
3、 策略服务器;负责评估来自网络设备的端点安全信息,比如利用图中的Cisco Secure ACS服务器(认证+授权+审计)配合防病毒服务器使用,提供更强的委托审核功能。
4、 管理服务器;负责监控和生成管理报告,Cisco Works VPN、VMS、SIMS等。
NAC结构图 |
NAP与NAC在架构上基本是由Policy Server策略服务器、Controller控制器、Agent 代理、Enforcer执行器这四个组件所组成。二者的区别主要在于Cisco偏重于在接入设备上升级安全特性,而微软则力主在操作系统本身上增加更多的安全服务。
可信接入已成趋势?
随着时间的发展,安全威胁无论在形式上还是在数量上,都已呈现出爆炸性的增长;现在每天都有成百种新型病毒在网上出现,而主流应用平台的安全漏洞更是数以千计。用户的防御体系,早已从单点设备防护转移到如何治理混合型威胁的趋势中来。传统的安全区域划分主要是根据资源重要性和攻击风险等级,划分成多个网络安全区域,将同一网络安全层次内服务器之间的连接控制在相同的区域内,尽量消除不同安全层次之间的联系,实施相互逻辑或物理隔离。这样虽然可以保证外部网上的黑客无法连接内部涉密网,具有很高的安全性,但同时也造成了工作不便、数据交流困难、设备增加和维护费用加大等。
远程办公已是一种常见的办公方式,然而,这种方式也可能带来一些意外。某公司就曾发生过远程用户访问公司总部的网络后导致整个公司网络瘫痪的事情。事后的调查表明,这个用户把它的笔记本电脑配置成他家庭网络中的DHCP服务器,这样他登录进入公司总部的网络后,他的电脑就成为所在网络默认的网关。
还有一些类似的例子,比如:和蔼的爸爸妈妈们允许孩子们用他们公司的电脑玩高级游戏,更有甚者,允许他们在互联网上冲浪。这些十多岁的孩子们喜欢的地方往往最容易隐藏病毒和木马程序。在父母外出喝咖啡的时间,这些孩子们就可能让电脑感染上病毒,而等家长们回来登录到公司的网络中的时候,就可能把病毒带到公司。所以,思科的NAC和微软的NAP等终端安全技术都是专门设计来防范此类风险的。
网络准入技术演变至今, NAC已不像过去给人专为Cisco网络设备用户打造的印象,CNAC(人们早期对NAC叫法)早已让人忘记了,而真正留下来的却是NAC标准和技术能能否得到广泛的支持和应用。比如说,如果公司的基础架构是多个网络设备供货商,暂时又没有机会全部转换成Cisco的设备,Cisco提供企业另一种选择-NAC Appliance,也就是之前大家关注较多的Cisco Clean Access解决方案。
各家厂商的准入控制方案虽然在原理上是一致的,但是由于各产品厂商的利益不同,实现方式也各不相同。其主要区别主要表现在协议方面,思科、华为选择了通过采用EAP协议,RADIUS协议和802.1x协议实现准入控制。微软则选择了采用DHCP和RADIUS协议来实现。同样,尽管思科的NAC联手微软的NAP之后,多个厂商还都在陆续推出各自为站的网络准入和控制标准,标准之争还需等待多时。
除此以外,更多的“零时差攻击”(Zero-Day Attack,意指从安全漏洞发生时到自动攻击开始的时间急速缩短)表明了一件事,系统安全更新远跟不上脆弱系统被攻击的速度,往往系统在厂商提供最新的补丁前就已经遭受了攻击。而NAC正式在这种无所不在的攻击模式所产生的防护架构,不仅降低了企业流程的便利性(当系统修复后才能访问资源),但都是我们的“不得之举”。
从长远看,未来的网络不但能够确认网络访问者的身份认证,还应当识别网络访问行为。一套有着免疫能力的网络架构,不是一个具体的安全产品或一套针对性的安全技术就可以达成,而是一个有机的全方位的架构体系化解决方案,它是涉及到一个产业发展的问题。