網路認可控制(NAC)簡介

www.net130.com     日期:2006-12-2    浏览次数:
作者:田習庸

我為什麼應該關心認可控制?

現今病毒與蠕蟲不斷的在影響企業營運,它可以導致停工、恢復所需費用、無止盡的修補、公共責任、收入的損失等。最新的攻擊傳播速度表明了,系統安全更新(patch)遠跟不上脆弱的系統被攻擊的速度,而且我們發現,系統經常在安全業者提供最新的更新碼(patch、病毒碼)之前就已經遭受了攻擊。

什麼問題需要被解決?

每當端點登錄到網路時,它有就具有影響該網路安全的潛在的危險。未確實遵循網路安全政策(病毒碼過期、系統漏洞未修補等)的伺服器及Desktop普遍存在於企業網路中並難以發現,且實務上無法有效控制。每當它們連接網路時,它們即增加了網路環境安全的威脅。 

 如果上述 endpoints 只要有一台有感染一種以上的病毒或蠕蟲,找到並且隔離那個系統,甚或將其自網路移除。在移除的這段時間內,你往往會覺得時間和可使用資源永遠不夠。

最後,當傳統的端點安全技術(Antivirus、Desktop Firewall…etc.)努力保護被攻擊的端點時,它們對於保障企業網路可使用性卻無能為力,甚或去確保企業的彈性與損害恢復能力。

 

網路認可控制

網路認可控制(NAC)是一思科(Cisco)主導的泛產業級的協同研究成果,NAC可以協助保證每一 endpoint 在進入網路前皆符合網路安全規範。

NAC機制可以提供保證端點設備在存取網路前是完全遵循已建立的安全策略,並可保證不符合安全策略的設備無法存取該網路、並設置可補救的隔離區供端點修正網路政策,或者限制其可存取的資源。

 

 NAC包括幾個必要的組成部分:

1.    Communications agent Cisco Trust Agent(簡稱CTA)是一個軟體工具,負責蒐集端點的安全訊息與設定等資訊,例如防毒軟體、OS及Cisco Security Agent(CSA),並把這些訊息傳遞到網路存取裝置(Network access devices)。 

2.    Network access devices - 每一個設備在一開始尋求網路服務時將先與一個網路存取裝置(router、switch、VPN concentrator、or firewall)聯繫。這些裝置能要求端點必須提供由CTA產生的「安全憑證」,並且將這些訊息轉送至政策伺服器(policy server)以取得該端點存取網路之「允許權」。 

3.    Policy servers - 思科安全存取控制伺服器(Cisco Secure Access Control Server,簡稱ACS)或其他供應商政策伺服器檢查從網路存取裝置轉送至的端點安全憑證,判定並給予其適當的存取權限(permit, deny, quarantine, restrict)。 

4.    Management systems CiscoWorks VPN/Security Management Solution(VMS)、 CiscoWorks Security Information Manager Solution(SIMS)、以及NAC cosponsor management solutions規範了NAC的要素,並提供監控和報告工具,以及管理端點安全的應用服務。 

5.    Advance service - 進階服務提供了結合計畫、設計、以及建置咨詢服務,用以幫助IT人員快速部署NAC解決方案,以落實Cisco NAC所提供的承諾。

 

NAC的好處是什麼?

在網路拓墣最靠近端點的地方管控網路存取安全政策,可有效降低花費、增加網路使用彈性和提高生產力。

NAC為以現有的基礎設備,增加些許投資來擴大思科網路設備、CSA及和其他安全軟體,包括防毒與其他端點安全軟體的價值。

 

 

NAC的運作方式

NAC是思科Self-Defending Network網路安全整體解決方案中極為重要的一部分,Self-Defending Network是思科基於主動性自我防禦,把安全智能和服務併入網路的整合性網路安全設計藍圖。

Cisco NAC的運作方式如下圖: 

 

1.  Host向底層網路設備提出驗證

2.  底層網路設備向後傳遞驗證予Policy Server

3.  Policy Server確認使用者認證及權限

4.  將使用者權限傳遞予各節點網路設備

5.  各節點網路設備強制執行控管該使用者權限

6.  底層網路設備告知使用者可否連線,若為否則將其導向Quarantine Zone(政策非最新者)或告知其無權使用網路

本新闻共2页,当前在第1页  1  2  

相关新闻