网络访问控制NAC(Network Access Control)算是一种新一代的安全访问技术,相比传统的被动防御来说,增加了主动性,从以前的默认允许走向更加严格的默认拒绝。简单的说有两个主要组件,一是能够监测到网络上有新网元的访问,二是能够判断新访问的网元是否符合网络的安全策略。针对这个概念很多厂商都提出了自己解决方案,但可惜的是目前没有一个相应的规范,不过最近的新闻说针对设备的思科NAC方案和偏重主机的微软NAP方案已经结成同盟,形成互补。
今天凑巧看到一篇短小的Bypass NAC system的白皮书,挺有意思摘录一下:
对于绕过NAC的控制主要还是从其实现技术和架构来入手:对于实现如何监测新网元的访问,主要有以下几种方法:
1.DHCP代理:用户访问网络会发起DHCP请求,通过DHCP代理劫持用户的请求,给其一个隔离区的地址段,然后对其进行安全策略检查,符合就重新分配地址,不符合就放在隔离区。当然还可以增加认证,这样不用安装软件,劫持其DNS请求,所有请求都会转向认证页面。
2.广播侦听:用户访问网络会发起ARP之类的广播请求,通过侦听此类广播来判断
3.思科NAC架构:思科则用其设备上的优势,通过交换机支持802.1x来对访问网元进行控制,当然还有交换机二层,路由器三层等对数据包的控制
4.NAC硬件:这个有点类似IDS,通过硬件带内或者带外侦听数据流量来判断,而对于网络安全策略的坚持,基本分为两种,一种就是客户需要安装软件先,通过软件来检查用户的系统,二种就是通过漏洞扫描来检查用户的系统在对NAC主要使用的技术了解以后就是如何利用这些技术的缺陷来绕过这些控制,当然这些问题也可以作为你NAC选型的要求来考虑:用户配置静态IP是否能够绕过?用户设置虚假DHCP服务器是否能劫持合法用户请求?合法主机使用NAT技术可否能让后面的非法主机访问?需要安装软件的话是否支持所有系统?IP或者MAC欺骗是否有效?总会有一些排出在规则之外的特殊访问主机,是否会有被滥用的可能?如果主机使用了防火墙,对主机访问的安全评估还是否有效?是否有可能欺骗安装在主机上的监控软件?......