網絡准入控制 (NAC) 其宗旨是防止病毒和蠕蟲等新興黑客技術對企業安全造成危害。准入控制能夠在用戶訪問網絡之前確保用戶的身份是信任關係,只允許合法的、值得信任的終端設備(例如PC、服務器、PDA)接入網絡,而不允許其它設備接入。也可以阻止感染了病毒或未升級系統補丁的電腦接入網絡。
在2007年曾經研究過《802.1X+IAS+AAA+DVLAN實現用戶身份認證和IP地址動態管理》並應用於企業環境。但由於802.1x的特點,部署後壓力非常大,一方面802.1x客戶端的配置工作量大,另一方面服務器端的維護壓力也大,沒實施多久就被迫停止了。
您是否也部署過基於802.1x架構的准入控制系統?在部署後是否經常接到過讓人頭疼而又倍感壓力的電話?
但准入技術發展的日新月異,加上無客戶端化浪潮的不斷演進,原有技術細則中過多偏向於802.1x技術實現的弊病也顯露無疑。早在2010年左右,NAC產品已有了翻天覆地的變化。在Forrester對NAC廠商的排名中,我們看到頂尖的NAC產品關鍵詞中赫然列出了以下5條標準:
Unified management (整合管理)
Integration (集成度,或兼容性)
Clientless (agentless) mode (無客戶端模式)
Hardware (appliance) (硬件應用)
Heavy focus on IT consumerization, mobiledevice control and data center virtualization (關注前端、移動端和虛擬化)
准入產品中的無客戶端化已經成爲了最基本的要求。
目前市面上的NAC產品也比較多,經過一番對比,我們最終選擇了ForeScout設備,採用旁路方式連接。
本文主要分享控制策略,並不介紹ForeScout設備的配置,配置也非常簡單,參考相關的資料很快就能上手。
實施過程我們分爲兩個階段:
第一階段:PC合法性檢查,即只允許受信任的PC能夠接入公司網絡。
第二階段:PC合規性檢查,即檢查是否安裝防病毒軟件,是否升級到最新的系統補丁等。
目前我們只完成第一階段的部署,第二階段正在收集數據並分析中。
企業環境介紹:
公司有無線網絡和有線網絡兩種接入方式,無線網絡採用的是LEAP協議,通過域帳號和密碼來做身份認證,訪問Internet通過HTTP代理方式。公司在全球有不同的分支機構,也有不同的域名稱,其中總部出差用戶較多,需要能夠訪問服務器和Internet,因此要做單獨的控制策略。
新增了一個GuestWLAN的SSID來應對客戶的網絡接入,無需輸入密碼,接入後分配至獨立的VLAN,可以直接訪問Internet,不能訪問公司的網絡資源。
詳細地終端分類和控制要求、方法如下表所示。
問題1:發現偶爾無法阻止部分移動終端連接。
原因:我們是通過無線控制器WLC來做MAC地址過濾,經檢查,WLC最大能支持2048個MAC地址,超過容量之後將無法再添加,ForeScout也就無法實現阻止。
解決方案:用Cisco ACS來做第三方AAA服務器。
問題2:ForeScout無法阻止UDP連接。
原因:ForeScout只能阻止TCP連接,無法阻止UDP連接,如果能夠連接上,像QQ,微信是可以使用的,但打不開網頁。
解決方案:無。沒有了解過其它的NAC產品是否也有該問題?
問題3:我只有1000臺電腦,但系統中會顯示1500,甚至更多。
原因:ForeScout只認IP地址,如果一臺網絡設備有多個IP地址,將會識別爲多臺設備。一臺筆記本電腦同時連接有線網絡和無線網絡,也會識別爲兩臺設備。
解決方案:針對網絡設備,修改網段配置,將網關等網絡設備的IP地址排除;針對筆記本電腦,可以安裝Lenovo access connection,這隻針對Intel芯片的網卡,當連接有線網絡後,無線網絡自動中斷,當斷開有線網絡後,自動連接無線網絡,同時,在ForeScout系統中將Offline過期時間設置爲1小時。
其它功能:
在“Inventory”下有很多其它的統計功能,比如,可以看到一個域帳號是否在多臺電腦上登陸,以及登陸電腦名;可以看到交換機端口下是否連接了HUB等設備。這些都是在期望之外的,算是一點小驚喜吧。估計其它的NAC產品也會有這些功能。
