什么是准入控制?
准入控制,是网络准入控制(NAC)的简称,是指对网络的边界进行保护,对接入网络的终端和终端的使用人进行合规性检查。其概念包含两个主要的方面,一是对接入网络的用户进行身份的认证和应用的授权,即用户是否有权限使用网络、信息等资源;二是对终端设备的安全状态进行合规性检查,即终端设备是否符合基本的安全策略要求,包括对防病毒设备、补丁状态等进行检查。
为什么需要准入控制?
首先,准入控制能够为内网安全建立第一道防线。
考虑到病毒、木马、黑客等安全威胁的广泛存在,以及用户安全意识水平的参差不齐,虽然企业已经普遍部署了防火墙、入侵检测、漏洞扫描等各项安全策略,由于终端设备的不安全,企业的内网安全水平仍然在终端面临着短板。通过准入控制,终端用户在接入网络之前需要接受事前确定的身份认证与安全状态检查,这就有效避免了不符合基本安全策略的终端接入内网,为内网安全建立了第一道防线。
其次,准入控制能够保证内网安全管理策略的有效性。
目前,包括IP-guard在内的主流内网安全管理产品普遍采用了C/S架构。与网关型产品相比,C/S架构可以达到更加丰富的管理功能,但也意味着必须在终端上安装客户端程序以实现策略的执行、信息的收集等各项内网安全管理功能。在现实的IT管理中,在终端安装客户端程序,一方面容易让用户产生“被监控”的感觉,从而使得用户容易产生抵触情绪,特别是在IT管理不够强势的组织中尤其如此;另一方面,虽然包括IP-guard在内的产品都采用了严密的自我保护机制对客户端进行保护,企业内部还是存在一些勇于“挑战”IT管理策略的用户,通过各种手段找出客户端的漏洞,破坏甚至删除客户端,以达到绕过IT管理策略的目的。
而准入控制的存在,能够使得用户所能使用的资源、用户的终端安全状态与客户端能够联动。由于在接入网络使用各种IT资源前必须通过准入控制系统的检查与认证,准入控制有效杜绝了用户恶意绕过客户端的行为。
最后,准入控制能够让外来访问、远程访问等行为更加规范和安全。
由于C/S架构的固有特点,利用客户端进行访问控制有一定的局限性,特别反映在非企业内部人员或临时访问等特殊情况下。例如,企业的外部合作伙伴因为工作需要要求将笔记本临时接入企业网络,出于安全的目的需要对其进行访问控制,但又不便于为其安装客户端程序,这时,准入控制的存在就可以方便的管理此类外来或临时用户的网络接入,将其与内网的核心资源进行有效的隔离,防范泄密风险的同时又不影响其正常工作。
IP-guard未来会应用哪些准入控制技术?
IP-guard从整体内网安全解决方案出发,从一开始就将网络准入功能加入了产品中,并不断研究尝试将最新的优秀技术整合到产品中。随着内网安全领域的不断发展,IP-guard正在引入更多成熟的准入控制机制,包括EAPOL、EAPOU以及基于网络Plug-in的准入控制。
EAPOL
EAPOL是EAP over LAN的缩写,是目前广泛应用的准入控制标准之一,主要应用了802.1x协议,有着最为广泛的厂商设备支持。
作为工作在从终端到底层接入设备即接入层交换机上的技术,EAPOL同时可以用于验证身份认证和安全认证的问题,根据认证状态。可以设置端口状态,动态切换VLAN,或者下载ACL列表,以达到访问控制的目的。
由于工作在网络的接入层,EAPOL直接决定着终端电脑可以访问的网络资源,因此一旦终端设备的身份认证或安全状态不符合安全策略,可以完全禁止其网络接入,对于终端的控制能力也最为强大;另一方面,由于各网络设备厂商普遍对EAPOL的附加功能进行了扩展,不同品牌的网络设备,其附加功能都各有不同,实际部署时需要根据设备的不同分别配置,有较大的难度。最后,一些老型号的交换机或HUB可能不兼容802.1x协议,需要加以替换,这就为企业的IT投资提出了挑战。
目前,实现EAPOL的准入控制功能有Cisco的NAC、H3C的EAD等,IP-guard也已经在既有功能中整合了EAPOL的部分功能,实现了第一阶段的准入控制,不久的将来可以投入实际应用中。
EAPOU
EAPOU,即EAP over UDP,是思科独有的网络准入技术,相比EAPOL在网络的接入层进行准入控制,EAPOU则是在网络的汇聚层甚至核心层进行准入控制,因此对于接入层的设备要求不高,企业无须大规模的替换已有的网络设备。但由于UDP协议本身的特殊性,EAPOU在大规模网络认证的前提下往往面临着大规模的认证失败问题。同时由于准入的控制点远离接入层,对于终端的网络使用控制力度相对也较弱,在同一个汇聚层甚至核心交换机下的终端可能相互访问,从而留有不安全的隐患。
由于EAPOU目前只支持Cisco的三层交换机与路由器,有其设备的特殊性,IP-guard对于此种准入控制方式还处于研究阶段。
基于网络Plug-in的准入控制
EAPOL和EAPOU都是基于现有的网络设备,用客户端与服务器端软件进行整合,以实现网络准入控制,没有改变原有的网络拓扑结构。而网络Plug-in技术,则是在现有的网络汇聚层插入一个设备,利用这个设备进行网络准入和身份认证。由于同样工作在网络的汇聚层,网络Plug-in技术与EAPOU有一定的相似,但网络Plug-in一般由硬件防火墙技术发展而来,因此可以实现更加细致的访问控制功能。
网络Plug-in实现了更为优秀的访问控制,但由于其改变了网络的拓扑结构,也就增加了单点故障的几率;另外,由于工作在汇聚层,其“准入”控制功能相对较弱,一般用于在网络或服务器边界做控制。目前,IP-guard已经初步实现了基于Plug-in的准入控制,可以用于外网访问的控制,或者将多个服务器进行汇聚从而实现访问控制功能。
结语:
目前成熟的准入控制技术,除了上面提到的,还有基于主机和客户端的准入控制,IP-guard还没有涉猎。从上面的分析中我们也可以看到,每一种准入控制技术,都有其固有的优点和缺点,没有哪一种技术是绝对优秀的,应用哪一种技术,取决于企业现有的网络情况、企业对于准入控制的投入以及企业对于准入控制要求的严格程度。溢信科技对于多种准入技术的研究,正是立足于适应不同企业实际需求,从准入控制开始,为企业补全内网安全的短板。结合已有的优秀的访问控制、数据加密、监控审计等功能,不久的将来,IP-guard将可以为用户提供更全面、更多样化的内网安全整体解决方案。
本文出自 “黄凯” 博客,请务必保留此出处http://techk.blog.51cto.com/3177718/594855