共享网络就意味着风险:病毒侵入、数据被盗和网络瘫痪等,利用网络访问控制技术可以审查对象、开放权限,确保网络安全。
如今数据被盗肆虐,蠕虫和病毒横行,为
了适应网络安全,选择网络访问控制(NAC)技术构建公司的网络成为必要。然而,网络访问控制并不简单,它涵义深广并包含一整套的方法。
网络访问控制的政策执行与公司的业务流程密切相关。比如说一些餐馆的无线网络就是最简单的网络访问控制体系,顾客在接入网络之前就必须接受相关的协议。这只是网络访问控制最简单的例子,这些餐馆提供最简单的增值服务——上网。然而对其他环境如医院,这样的协议就不合人意了。
如何为你的网络选择正确的网络访问控制类型,要知道两个前提条件。第一,要清楚网络访问控制所提供的服务,怎样提供这些服务,以及如何把这些服务纳入网络。第二点就是要有明确的、可执行的安全准入政策。网络访问控制不是创造政策,而是执行政策。没有这两点,公司网络安全问题仍旧会被认为仅仅是IT部门的职责(而这永远不是一件好事)。
是开是关?
在网络访问授权之前的有限接入,通常被称作“锁住状态”。它并不是说所有的关口都被阻止了,例如它允许你下载新的杀毒软件以升级。所以,在计划引进网络访问控制设置前,要理解并匹配准入的
锁机方法。
早期的共享网络采用人为的方法,通过接入的路线和关口来限制共享,其中包括起始和终端IP地址、TCP协议、用户数据端口、IP端口以及MAC地址等。从网络建设的角度说,这需要一整套执行方法,网络访问控制方法将会自动完成一系列准入程序。另一种方法则是以分配实际LAN/VLAN来分离整个网络中被锁定的电脑,相对简单的就是用DHCP即动态主机配置协议来分配。这种方法不仅可以限制性设置机器到3 VLAN中,还能设置其他客户的信息如DNS。例如,所有网页都可以通过网络服务器的一个“接受”按钮全部放行。
在一些更为高级的开关设置中,网络访问控制系统可以同那些开关一起动态控制VLAN。默认条件下,所有受网络访问控制保护的网站的端口都自动锁住,存在有限的接入权限。只有当系统检测到机器符合网络访问控制要求的时候,就会传输指令给这些端口解除锁定。网络访问控制设备安装在一个开关点(类似SPAN端口),向ARP传输信号要求通过网关。网络访问控制把MAC地址注入用户的ARP注册表作为网关,因此会强制客户把所有非本地通信传输给网络访问控制。一旦机器通过网络访问控制的参数,就会被允许通过正确的网关。
每种方法的保护都不一样。在DHCP方法中,明智的用户都会被分配一个有效的静态IP地址,也顺带通过VLAN验证。如果知道网关的正确MAC地址,就可以通过人工创建通过网关的ARP迂回摆脱ARP中毒。不过,大部分网络访问控制系统都针对这些行为的专门措施。
入网的间隔距离也应该重点考虑。与端口控制的网络访问控制方法不同,在线网络访问控制对公司广域网线路和网络严格控制,但是相同方向通关则不受限制。简单说,如果A和B都在网络访问控制网关的同侧,他们就可以互相进入。
评估终端的安全
验证用户ID是网络访问控制系统中很严格的步骤。最简单的例子,就像在咖啡馆无线上网,只当用户同意遵守用户协议,才能被授权以客人名义上网。其他方法亦然。
在一个简单的验证环境
下,网络访问控制质询RADIUS服务器决定用户是否有权进入公司内部网和无联网。如果用户密码正确,那么就可以完全通关,反之默认状态下仅仅开放普通端口(如http、https等等,根据内部网安全政策认可)。对那些复杂的验证环境,如高级经理进入ERP系统,网站管理员进入服务器,保险调解员进入数据库,会有专门的用户认证政策。LDAP接口或者动态IP服务器终端用户可以授权用户进入应用系统。
从用户方来看,通过网关验证有好几种方法。最简单的莫过于上网;然而,这需要打开一个浏览器,而置网关限制于不顾。不管URL如何请求,浏览器都会将此请求转给网络访问控制登录页面。其他操作可以用本地软件通过验证信息。简单的蠕虫入侵会堵塞公司网络,危及数据安全或者致使系统瘫痪。公司网站用安全性差的电脑不再是权宜之计。大部分网络访问控制操作都会对客户机评估风险,根据公司安全政策加强危害点控制。
通常有三种基本的安全状态评估:外部、内部以及交互评估。外部评估包括中央服务器对客户机的扫描,有些网络访问控制系统使用许多Nessus扫描有问题的机器及恶意软件。但是用户若使用防火墙就会使得这种扫描的有效性减弱。
内部评估是使用代理服务器处理网关验证,检测用户分配的IP,并把这些结果反馈给网络访问控制系统。例如,在Windows界面,杀毒软件生成的注册key就可以被检测到。当然,可以想象的到,这种注册key可以人工嵌入。不管是哪种操作界面,代理都可以检测到本地机器中详细文件的存在。
分析交互数据则是一直比较反作用的方法。就像那些入侵—抵御工具,网络访问控制系统用这种方法扫描网站通讯,盘查恶意信号。如果被网关通过的机器后来被检测到有恶意活动,就会立即关闭网关。IPS和网络访问控制的不同就在于给与客户自我纠正的机会。
比较高级的网络访问控制系统依靠操作系统鉴定决定使用哪种网关措施。一般来说,针对Windows的监测比其他浏览器的更多一些,这是因为Windows的开发目标比其他操作系统都多一些。显而易见,不可能对Linux机器进行注册检验。
把操作系统的检测蒙混过关也是有可能的,这取决于使用的是哪种类型的检测方法。例如,如果检测是根据用户浏览器报告,终端用户可以轻易地改装机器,使之使用不同的操作系统。幸运地是,检测操作系统的方法论(例如检测TCP指纹)已经越来越精湛,大大降低了上述蠕虫嵌入的可能性。
选择开放源代码
当然,许多网络访问控制能够上溯到最初的开放源代码,可以获得不少特点各异的开放源代码。当网络访问控制技术在主流商业市场上开始成型的时候,根据自己的所需可以选择理想的开放源代码
,并据此执行网络访问控制系统。
一般说来,商业系统与开放源代码副本相比有更多的特点,包括与它们相匹配的支持系统。当然,这并不意味着提供开放源代码可以被忽视,许多开放源代码系统都有高级的检测方法、验证以及保障能力。
执行开放源代码网络访问控制系统需要耐心,至少拥有Linux网络管理员的全部技能。这种操作通常建立在其他开放源代码包上,能够被安装在许多Linux机器上,并且文件数量比较少。也许用户在第一次尝试运行开放源代码失败,原因就在于错误的配置了附件包,而不是开放源代码网络访问控制软件本身。
最后的忠告是,问题不在于你的网络是否需要网络访问控制技术,而是在你的特殊情况下,哪种类型的网络才是最适合你的。无疑,网络访问控制还没成为网站所注意的焦点。当考虑安全和隐私被放在最高的位置上,网络访问控制才会如期而至。