|
NAC执行方法
|
|
执行方法是作用于计算机的动作。在许多情况下,执行是自动的。许多厂商同时支持多种执行方法,所以你可以为每种情况选择最合适的方法。
|
|
方法
|
工作原理
|
优点
|
缺点
|
|
802.1X
|
这是第2层协议,意味着分配IP地址之前进行验证。端口开始处于未授权状态。名为请求者(supplicant)的客户端发送证书到交换机。交换机通过RADIUS把证书发送到服务器。一旦验证成功,交换机端口被启用。
|
主机访问网络之前先进行验证和授权。支持多种验证方案,802.1X旨在出现新技术后,仍具有扩展性。
|
所有主机都要合理配置请求者;用户或者计算机要有帐户。许多交换机让端口处于某一种状态,所以如果某端口上连接多个主机,它们会得到同样的对待。
|
|
VLAN转向
|
VLAN把网络分段成多个逻辑区,转向机制可把主机转移到特定的VLAN上。转向利用了交换机的本机VLAN管理系统或者通过其他协议,比如SNMP。
|
VLAN广为人知,许多公司已经在使用它。几乎任何端口都可以连接任何VLAN,所以移动性很容易实现。
|
VLAN架构可能很复杂;动态的VLAN分配可能加大了故障检测及排除的难度。有些交换机容易受到针对交换机、导致VLAN不稳定的攻击。
|
|
主机执行
|
这大概是原始的NAC系统,通过主机防火墙进行的评估和主机执行允许或者拒绝访问网络流量。
|
不但有可能控制对网络到主机的流量进行访问,还能控制主机上哪些应用可以访问网络端口。除非主机是邮件服务器,否则应用程序就没有理由接管邮件端口。另外,执行会跟踪主机,哪怕未连接网络的时候,所以可以在符合贵公司策略的前提下保护主机,同时连接到远程网络。
|
主机软件要加以管理;很难为遇到连接问题的远程用户排除故障。
|
|
DHCP管理
|
DHCP负责为主机分配IP地址。DHCP管理方案截获DHCP请求后,分配IP地址。因而,NAC执行基于子网和IP分配在IP层进行。
|
易于安装及配置。因为DHCP得到广泛支持,它有望与使用DHCP来请求IP地址的任何主机协同工作。
|
自行静态分配IP地址的主机很容易让DHCP管理失效。
|
|
ARP管理
|
又叫“ARP欺骗”或“中间人攻击”管理。地址解析协议(ARP)用来告诉其他主机哪些IP地址分配给了某个MAC地址。这种地址分配保存在每个主机上的ARP表,可动态更新。这种方法通过把ARP表连同不同的IP到MAC映射一起发送,以此管理主机的ARP表。
|
ARP可用于任何IP主机;始终不用对主机的配置进行任何改动,即可使用。
|
与DHCP管理很相似,静态分配ARP表条目会使这种方法失效。另外,交换机中旨在防止恶意ARP欺骗的新的安全功能可能会导致该方法不稳定。
|
|
通配符DNS
|
ARP把IP地址映射成MAC地址。同样,DNS把主机名称映射成IP地址。通配符DNS利用IP地址来响应任何DNS查询,实际上把主机重定向至特定的服务器。
|
与DHCP和ARP管理一样,这种方法可与使用DNS的任何主机协同工作。用户最后常常出现在网页上,他必须在此验证身份或者接受协议。依赖这个事实:用户最终会使用Web浏览器,因而被重定向至网页。
|
与DHCP和ARP管理一样,如果主机从来不使用DNS,那么这种方法就失效。另外,计算机也会有静态的主机条目。
|
|
“围墙花园”
|
“围墙花园”迫使用户进入到专有网络上,那样他们就能访问有限的资源,比如接受协议、更新系统及执行其他功能的网页。一旦主机获得通过,就允许他们连接到另一个网络上。
|
如果主机被拒绝访问网络,它们如何得到更新?“围墙花园”常常结合另一种执行方法使用。
|
你不得不维护“围墙花园”里面的更新服务器及其他设备。
|
|
嵌入式阻塞
|
嵌入式阻塞类似网络防火墙,只不过访问控制是针对每台主机,而且动态分配。另外,嵌入式系统可以监控网络流量,并对恶意活动采取行动。
|
嵌入式阻塞的粒度一般相当细,因为可以控制端口;在某些情况下,甚至还可以控制流量有效载荷。其他方法主要单单基于主机。
|
嵌入式阻塞常常出现在交换层之间,这意味着恶意主机有可能攻击能访问得到的其他主机,而不必透过嵌入式设备。必须在每个阻塞点部署嵌入式设备。
|
|
TCP重置/ICMP消息
|
NAC系统可以通过向客户机和服务器发送TCP重置命令,来终止TCP连接。一旦主机接到TCP重置命令,TCP连接就被关闭。可使用ICMP消息来管理非TCP协议。
|
类似其他被动执行方法,TCP重置可与具有TCP功能的任何计算机协同工作,可透过任何防火墙或者安全网关。非TCP协议使用ICMP消息,但不能保证两边的主机都认可ICMP消息。
|
非TCP协议很难得到支持。使用UDP的单一数据包攻击如SQL Slammer完全可以长驱直入。
|
|
补丁、更新及配置变更
|
也结合其他执行方法使用,可以自动或者人工给主机打补丁,从而使它符合策略、准备重新评估。
|
对公司拥有的计算机而言,这是很好的措施,可确保主机得到更新及合理配置。
|
你不能总是迫使外部用户(如承包商)更新他们的计算机或者安装软件。另外,网络访问之前迫使进行更新会影响工作效率。
|
