可整合UTM与IPS的NAC产品 (下)

这是我们首次在iThome的测试环境以802.1x的架构部署NAC,因此一共借测了IC 4000、SSG 20 UTM,以及支援802.1x的24埠交换器各一?,除此之外,还架设了一?Windows AD伺服器,提供身分验证的服务。

为了测试UAC如何在802.1x的架构下,透过交换器实施网路隔离,因此,我们将交换器上的前、后各12 组网路埠,切割为「vlan 20」、「vlan 30」两个VLAN,分别用来模拟企业的内部网路,以及UAC的网路隔离区,并各自连接到SSG 20的LAN埠、DMZ埠与外部网路通连;除此之外,在隶属于vlan 20的第9个网路埠(Port 9)上,启用了802.1x的验证功能。

一旦测试用的电脑未能通过IC的主机安全检查,则该?电脑所连接的交换器网路埠,就会透过交换器的动态 VLAN(Dynamic VLAN)功能,由vlan 20动态对应到vlan 30。并非所有支援802.1x的交换器都提供这项功能,如果没有这项功能,交换器在电脑未能通过802.1x验证,或者是主机安全检查失败时,便会关闭电脑所连接的网路埠。

也就是说,此时电脑只允许存取DMZ下的特定网路资源,像是微软的WSUS伺服器,或者是其他种类的应用程式更新伺服器,以便进一步协助电脑解决安全问题。

我们的测试方法很简单,首先将一?装有OAC代理程式的Windows XP SP2笔电,连接到提供802.1x验证功能的第9个网路埠,这时,OAC会跳出一个视窗,提示使用者选择输入验证密码,之后就会开始验证帐号的程序,当 802.1x验证通过的时候,常驻在系统列右下角的OAC星状图示就会由未连线状态的黑色,变成已连线状态的蓝色。

此外,我们关闭笔电上的Windows XP SP2防火墙,并在IC制定一条主机安全检查的政策规则,只允许开启Windows XP SP2防火墙的电脑才能存取内部网路;然后,将连接在笔电上的网路线重新插拔一次,再次透过OAC进行802.1x的身分验证,完成之后,UAC就会开始主机安全检查的动作。

当电脑未能通过检查的时候,OAC的星状图示会变成红色,显示该?电脑目前已经被隔离,点选图示之后,可再进一步查看电脑被隔离的详细塬因。

主机安全检查 相关的功能很完整

UAC具备完整的主机安全检查项目,除了基本的防护软体、作业系统版本,以及Windows修补程式检查之外,还能检查防毒软体的病毒码版本、系统通讯 埠、?册机码(Registry)、指定路径下是否存在特定档案,以及清查背景程式清单当中是否有执行一些不被允许的应用程式。

产品目前支援1,000多种的市售资安防护软体,并且允许用户依照实际需求,将未列在支援清单当中的应用程式新增为元件,制定主机安全检查的规则时,可由 表单将此元件?入,成为检查项目。

针对已发现的安全问题,UAC也提供强大的自动修?功能,例如,可以主动关闭执行中的应用程式、删除指定路径下的特定档案,以及?册机码,另外,关闭中的 防护软体,也可以在执行主机安全检查时,由UAC自动开启。有别于市面上的许多NAC产品,UAC能将控管?围扩展到Linux、Mac OS等这些在企业内部经常可见的异质平?,算是相当特殊。一般来说,这些平?受到病毒等恶意程式感染的机会并不大,却有可能因为使用者的不当操作,而产生 安全漏洞,或者执行一些不被企业政策所允许的应用程式,举例来说,像是会抢占大量网路频宽的P2P软体,就是其中的控管重点。

针对这些平?,UAC也有提供相对应的代理程式可供安装,不过控管功能和先前所提到的项目有所不同,只限定在扫描系统通讯埠、关闭特定档案,以及删除指定 档案等项目。

整合其他类型的资安产品,强化NAC控管功能

NAC在功能上,是一种依赖政策检查,确认电脑安全状态的资安产品,对于安全设定符合企业要求的电脑,即视为安全无虞,因而允许进入内部网路。

不过,厂商和一些导入NAC的企业可能很快就发现,这类解决方案在某些环境下所能提供的防御效果还是有限,例如有些恶意程式无法利用防毒软体检测出来,以 及厂商仍未针对特定的系统漏洞发布对应的修补程式。因此如果能够整合更多类型的资安产品,将能再强化NAC 的防护能力。

以Juniper的UAC为例,早在1.0推出的时候,这套解决方案就已经可以整合Infranet Enforcer(须搭配利用Juniper本身的SSG这套UTM设备)的安全功能,藉由入侵防护系统、网页过滤、线上扫毒,以及深度封包检测 (Deep Inspection)等机制,隔离网路行为异常的电脑。

到了UAC 2.1推出的时候,则是可以整合Juniper的IDP设备,扫描电脑的网路行为有无异常。整合IDP的好处在于,可以因应流量庞大、电脑数量众多的环 境,在不加重闸道端设备效能负担的情况下,也能有效地提供防护。

?用类似做法的厂商,并不只Juniper一家。像是产品线以IPS为主的TippingPoint,他们的NAC产品也能整合自家的IPS设备,达到相 同的防护效果,未来TippingPoint计画将NAC、IPS两种产品合而为一,以单一产品的型态推出,让管理者透过单一介面就可以设定NAC的政策 规则与IPS的相关功能,简化管理上的复杂度。

Mirage的做法与IPS略有不同,这家公司将功能整合在NAC设备上,主要透过行为感知的方式,检测那些电脑网路可能出现异常。

有类似构想的厂商,还有趋势科技,他们计画在今年下半年推出一款名称暂定为Total Discovery的设备,搭配下一版本的Network VirusWall Enforcement (NVWE)协同运作。就功能而言,Total Discovery并非IPS,它主要是用来了解电脑存取网页的动作是否可能导致病毒,或者是恶意程式入侵。