當傳統的終端安全技術(Antivirus、Desktop Firewall等)努力保護被攻擊的終端時,它們對於保障企業網絡的可使用性卻無能爲力,更不要說能確保企業的彈性與損害恢復能力。
針對於此,目前出現了幾種安全接入技術,這些技術的主要思路是從終端着手,通過管理員指定的安全策略,對接入私有網絡的主機進行安全性檢測,自動拒絕不安全的主機接入保護網絡直到這些主機符合網絡內的安全策略爲止。目前具有代表 <script language="javascript" src="/CMS/JS/newsad.js" type="text/javascript"></script> 性的技術包括:思科的網絡接入控制NAC技術,微軟的網絡接入保護技術NAP以及TCG組織的可信網絡連接TNC技術等。
綜上所述,NAC和NAP的優勢在於其背後擁有思科、微軟這樣的網絡與操作系統的巨頭,這些技術將隨着其下一代產品同時綁定發佈。NAC目前已經隨思科的新一代網絡設備一起,在2004年開始推向市場,而NAP則計劃於2006年年底,隨微軟的Windows Vista操作系統一起,推向市場。而TNC的優勢在於其開放性,目前TNC規範已經發展到1.1版本,TCG組織的成員都可以對其提出自己的意見,並且由於技術的開放,所以國內廠商也可以自主研發相關產品,例如之前的TPM一樣,可以擁有自主知識產權。
NAC技術
網絡接入控制(Network Access Control,簡稱NAC)是由思科(Cisco)主導的產業級協同研究成果,NAC可以協助保證每一個終端在進入網絡前均符合網絡安全策略。
NAC技術可以提供保證端點設備在接入網絡前完全遵循本地網絡內需要的安全策略,並可保證不符合安全策略的設備無法接入該網絡、並設置可補救的隔離區供端點修正網絡策略,或者限制其可訪問的資源。
NAP技術
網絡訪問保護NAP技術(Network Access Protection)是爲微軟下一代操作系統Windows Vista和Windows Server Longhorn設計的新的一套操作系統組件,它可以在訪問私有網絡時提供系統平臺健康校驗。NAP平臺提供了一套完整性校驗的方法來判斷接入網絡的客戶端的健康狀態,對不符合健康策略需求的客戶端限制其網絡訪問權限。
爲了校驗訪問網絡的主機的健康,網絡架構需要提供如下功能性領域:
健康策略驗證:判斷計算機是否適應健康策略需求。
網絡訪問限制:限制不適應策略的計算機訪問。
自動補救:爲不適應策略的計算機提供必要的升級,使其適應健康策略。
動態適應:自動升級適應策略的計算機以使其可以跟上健康策略的更新。
TNC技術
可信網絡連接技術TNC(Trusted Network Connection)是建立在基於主機的可信計算技術之上的,其主要目的在於通過使用可信主機提供的終端技術,實現網絡訪問控制的協同工作。又因爲完整性校驗被終端作爲安全狀態的證明技術,所以用TNC的權限控制策略可以估算目標網絡的終端適應度。TNC網絡構架會結合已存在的網絡訪問控制策略(例如802.1x、IKE、Radius協議)來實現訪問控制功能。
TNC構架的主要目的是通過提供一個由多種協議規範組成的框架來實現一套多元的網絡標準,它提供如下功能:
平臺認證:用於驗證網絡訪問請求者身份,以及平臺的完整性狀態。
終端策略授權:爲終端的狀態建立一個可信級別,例如:確認應用程序的存在性、狀態、升級情況,升級防病毒軟件和IDS的規則庫的版本,終端操作系統和應用程序的補丁級別等。從而使終端被給予一個可以登錄網絡的權限策略從而獲得在一定權限控制下的網絡訪問權。
訪問策略:確認終端機器以及其用戶的權限,並在其連接網絡以前建立可信級別,平衡已存在的標準、產品及技術。
評估、隔離及補救:確認不符合可信策略需求的終端機能被隔離在可信網絡之外,如果可能執行適合的補救措施。
對比分析
以上可以看出,NAC、NAP和TNC技術的目標和實現技術具有很大相似性。
首先,其目標都是保證主機的安全接入,即當PC或筆記本接入本地網絡時,通過特殊的協議對其進行校驗,除了驗證用戶名密碼、用戶證書等用戶身份信息外,還驗證終端是否符合管理員制定好的安全策略,如:操作系統補丁、病毒庫版本等信息。並各自制定了自己的隔離策略,通過接入設備(防火牆、交換機、路由器等),強制將不符合要求的終端設備隔離在一個指定區域,只允許其訪問補丁服務器進行下載更新。在驗證終端主機沒有安全問題後,再允許其接入被保護的網絡。
其次,三種技術的實現思路也比較相似。都分爲客戶端、策略服務以及接入控制三個主要層次。NAC分爲:Hosts Attempting Network Access、Network Access Device、Police Decision Points三層;NAP分爲:NAP客戶端、NAP服務器端、NAP接入組件(DHCP、VPN、IPsec、802.1x);TNC分爲AR、PEP、PDP三層。
同時,由於三種技術的發佈者自身的背景,三種技術又存在不同的偏重性。NAC由於是CISCO發佈的,所以其構架中接入設備的位置佔了很大的比例,或者說NAC自身就是圍繞着思科的設備而設計的;NAP則偏重在終端agent以及接入服務(VPN、DHCP、802.1x、IPsec組件),這與微軟自身的技術背景也有很大的關聯;而TNC技術則重點放在與TPM綁定的主機身份認證與主機完整性驗證,或者說TNC的目的是給TCG發佈的TPM提供一種應用支持。
從發展上來說,目前NAC與NAP已經結爲同盟,即網絡接入設備上採用思科的NAC技術,而主機客戶端上則採用微軟的NAP技術,從而達到了兩者互補的局面,有利於其進一步發展。而TNC則是由TCG組織成員Intel、HP、DELL、Funk等企業提出的,目標是解決可信接入問題,其特點是隻制定詳細規範,技術細節公開,各個廠家都可以自行設計開發兼容TNC的產品,並可以兼容安全芯片TPM技術。