四大“門神”阻擊非法訪問

申請免費(fèi)試用、咨詢電話：400-8352-114

在蠕蟲、僵尸機(jī)和僵尸網(wǎng)絡(luò)盛行的時(shí)代，移動(dòng)計(jì)算機(jī)本身也成了一種特洛伊木馬。本文設(shè)計(jì)了六大典型企業(yè)應(yīng)用場景，對市場上主流的四款網(wǎng)絡(luò)訪問控制（NAC）解決方案進(jìn)行了橫向評測，四種NAC策略的優(yōu)劣昭然若揭。

最基本的網(wǎng)絡(luò)訪問控制（NAC）方案應(yīng)該具有這種功能: 當(dāng)系統(tǒng)試圖連接到網(wǎng)絡(luò)上，或者試圖進(jìn)入網(wǎng)絡(luò)的某個(gè)部分（譬如，當(dāng)它們從邊緣交換機(jī)連接到核心交換機(jī)）時(shí)，NAC就會(huì)對系統(tǒng)執(zhí)行企業(yè)制訂的策略。NAC系統(tǒng)可以對該設(shè)備作出決定，然后根據(jù)這種決定作出訪問控制決策。設(shè)備狀態(tài)有的與已知用戶進(jìn)行驗(yàn)證一樣簡單，有的與外部或者內(nèi)部掃描客戶機(jī)系統(tǒng)一樣復(fù)雜。外部掃描可能會(huì)查找已知漏洞和開啟的端口等，而內(nèi)部掃描會(huì)檢查操作系統(tǒng)的運(yùn)行參數(shù)和補(bǔ)丁級別、已安裝或者運(yùn)行中的進(jìn)程、應(yīng)用程序的更新狀態(tài)如防病毒特征等等?；谶@種“安全狀況（posture）”，NAC系統(tǒng)確定該設(shè)備獲得什么樣的訪問權(quán)（如果獲得訪問權(quán)的話）。結(jié)合驗(yàn)證和安全狀況就可以獲得大量信息，實(shí)現(xiàn)NAC策略的細(xì)粒度。

另外還要考慮設(shè)備在被授予訪問權(quán)之后出現(xiàn)的變化。無論用戶是惡意為之還是無意為之，隨著新的進(jìn)程激活、新的漏洞傳播，或者出現(xiàn)導(dǎo)致設(shè)備成為攻擊者的其他事件，設(shè)備在獲得訪問權(quán)后，可能會(huì)對網(wǎng)絡(luò)構(gòu)成威脅。比較先進(jìn)的NAC系統(tǒng)能夠檢測到這幾種事件，并且在設(shè)備最初連接到網(wǎng)絡(luò)的時(shí)候及時(shí)觸發(fā)有關(guān)應(yīng)對策略。

本文測評了四款NAC解決方案：Enterasys Sentinel Trusted Access、McAfee策略執(zhí)行器、賽門鐵克網(wǎng)絡(luò)訪問控制和趨勢科技Network VirusWall Enforcer。我們設(shè)計(jì)了企業(yè)中很典型的六種不同場景，并對每款NAC解決方案進(jìn)行了配置，以便盡可能正確地處理這些場景。六種場景包括：未通過驗(yàn)證的來客進(jìn)行訪問、通過驗(yàn)證的來客（使用802.1x或者基于Web的驗(yàn)證）進(jìn)行訪問、通過驗(yàn)證的用戶（包括設(shè)備安全狀況良好及安全狀況不好）進(jìn)行訪問，以及擁有特殊訪問權(quán)的特權(quán)用戶進(jìn)行訪問。

Enterasys：功能最全 配置困難

Enterasys NAC解決方案結(jié)合了該公司的Sentinel可信訪問管理器（TAM）1.1、Sentinel可信訪問網(wǎng)關(guān)（TAG）1.1、NetSight策略管理器2.2、NetSight自動(dòng)安全管理器2.2、Dragon安全命令控制臺(tái)7.2.5和Dragon網(wǎng)絡(luò)入侵檢測系統(tǒng)7.1。Sentinel系統(tǒng)可以利用Enterasys交換機(jī)系列廣泛的基于端口的策略功能，但沒要求必須有這些功能。Enterasys 結(jié)合了策略管理、訪問管理和網(wǎng)絡(luò)IDS等功能，針對我們的測試場景提供了全面而復(fù)雜的響應(yīng)機(jī)制。

系統(tǒng)的配置需要三個(gè)相關(guān)但獨(dú)立的應(yīng)用軟件，還要能夠連接至外部系統(tǒng)用于安全狀況掃描和IDS。策略用NetSight策略管理器創(chuàng)建，然后發(fā)送到相應(yīng)的網(wǎng)絡(luò)執(zhí)行點(diǎn)。Sentinel TAM負(fù)責(zé)管理執(zhí)行策略的Sentinel TAG，它提供了驗(yàn)證代理和網(wǎng)絡(luò)執(zhí)行功能。一個(gè)TAM可以管理多個(gè)TAG，這樣就可以集中管理廣泛分布的網(wǎng)絡(luò)。

測試系統(tǒng)使用了一臺(tái)Enterasys Matrix N系列核心交換機(jī)和一臺(tái)配備了系統(tǒng)子卡的B系列邊緣交換機(jī)。子卡運(yùn)行TAG。Enterasys環(huán)境還包括了Dragon安全命令控制臺(tái)和Dragon網(wǎng)絡(luò)入侵檢測系統(tǒng)，前者管理安全事件，后者監(jiān)控網(wǎng)絡(luò)流量、報(bào)告異常情況，并采取行動(dòng)。Dragon組件并不是Enterasys實(shí)施NAC的必要部分，如果另外需要它們，成本相當(dāng)高。

Enterasys系統(tǒng)比另外三款解決方案來得全面，特別是添加可選的IDS后。該系統(tǒng)為所有測試場景提供了集成功能，它使用基于代理的方法來掃描客戶機(jī)，從而確定客戶機(jī)的安全狀況。Enterasys解決方案支持VLAN分配方法; 但如果利用Enterasys交換機(jī)，我們可以分配粒度更細(xì)的策略。

使用VLAN分配或者端口策略，Sentinel系統(tǒng)可以根據(jù)用戶身份以及系統(tǒng)的安全狀況，相應(yīng)限制對客戶端系統(tǒng)的訪問。Sentinel使用網(wǎng)絡(luò)IDS來檢測進(jìn)出客戶端的流量的變化，甚至可以觸發(fā)對網(wǎng)絡(luò)配置進(jìn)行改動(dòng)，這對防范零日攻擊的大企業(yè)來說是一個(gè)很好的優(yōu)點(diǎn)。

此外，端口級策略讓我們可以對端口進(jìn)行配置，只允許對每個(gè)用戶和設(shè)備來說有用的流量通過。我們還可以根據(jù)用戶身份，使用預(yù)定義策略來鎖定網(wǎng)絡(luò)，這其實(shí)確保了只有合適流量才可以發(fā)送或者接收。

至于缺點(diǎn)方面，Sentinel的策略配置相當(dāng)復(fù)雜，特別是因?yàn)樗缭搅硕鄠€(gè)產(chǎn)品領(lǐng)域。但一旦一般概念保存在系統(tǒng)中，創(chuàng)建新策略通常只要復(fù)制其他策略，然后為每項(xiàng)策略改動(dòng)特定的協(xié)議、網(wǎng)絡(luò)及其他流量方面的限制即可。

McAfee：系統(tǒng)簡易 不防零日攻擊

McAfee策略執(zhí)行器（MPE）2.0是一款策略管理產(chǎn)品，不但與McAfee的防病毒代理相集成，居然還與其他防病毒產(chǎn)品相集成。作為McAfee ePolicy Orchestrator（EPO）的一個(gè)免費(fèi)附件，MPE既是配置及管理訪問策略的用戶界面，又是執(zhí)行決策者。它使用EPO作為控制代理，用于處理部署、更新、通知及其他管理任務(wù)。

MPE提供了清楚的圖形界面，總結(jié)了系統(tǒng)、子網(wǎng)和交換機(jī)符合策略方面的最新狀態(tài)。它讓管理員可以深入分析細(xì)節(jié)，又提供了標(biāo)以顏色的畫面來顯示環(huán)境的最新狀態(tài)。該系統(tǒng)提供了直觀、高度可視化的視圖，可了解網(wǎng)絡(luò)符合策略方面的狀態(tài)。

該系統(tǒng)基于主機(jī)的安全狀況，使用VLAN分配命令將主機(jī)移到合適的VLAN上，以便補(bǔ)救或者隔離。該系統(tǒng)的獨(dú)特之處在于，它不依賴McAfee的硬件或者代理。MPE可通過數(shù)量眾多的代理來收集狀態(tài)信息，包括所有主要的防病毒客戶軟件，它可以通過來客訪問策略來處理無代理系統(tǒng)。策略配置從定義隔離區(qū)（Quarantine Zones）開始，隔離區(qū)是為了各種用途而分配的VLAN，有別于傳送數(shù)據(jù)流量的標(biāo)準(zhǔn)VLAN。

一旦VLAN配置完畢，就可以為組成客戶機(jī)安全狀況的狀態(tài)組合定義規(guī)則集。這些狀態(tài)可能包括眾多信息，它們可設(shè)置成觸發(fā)事件、執(zhí)行策略或者忽視違反情況。

McAfee策略執(zhí)行器不像Enterasys系統(tǒng)，它無法根據(jù)用戶身份作出訪問決策，只能根據(jù)通過/失敗驗(yàn)證作出決策。它區(qū)別不了通過驗(yàn)證的來客和通過驗(yàn)證的員工，也區(qū)別不了通過驗(yàn)證的不相關(guān)的用戶或者用戶組。

該系統(tǒng)還只局限于確定主機(jī)的安全狀況，所以，不像基于網(wǎng)關(guān)和交換機(jī)的解決方案，它無法根據(jù)來自已擁有訪問權(quán)的系統(tǒng)的流量來執(zhí)行策略。這就限制了它應(yīng)對零日攻擊的能力，不過McAfee提供了額外產(chǎn)品來應(yīng)對這種攻擊。

賽門鐵克：產(chǎn)品豐富 界面復(fù)雜

賽門鐵克網(wǎng)絡(luò)訪問控制（SNAC）系統(tǒng)是一個(gè)產(chǎn)品家族，包括賽門鐵克網(wǎng)絡(luò)訪問控制5.1 MR2、賽門鐵克Sygate Enterprise Protection 5.1 MR2以及賽門鐵克網(wǎng)絡(luò)訪問控制6100 Enforcer Appliance，可以解決網(wǎng)絡(luò)訪問控制的多個(gè)方面。該系統(tǒng)使用基于網(wǎng)關(guān)和DHCP的執(zhí)行設(shè)備，而這些設(shè)備由通用策略管理系統(tǒng)控制。這種方法讓企業(yè)可以考慮網(wǎng)絡(luò)每個(gè)部分的功能需求，然后以集成方式來部署適當(dāng)?shù)慕鉀Q方案。

部署的產(chǎn)品包括賽門鐵克策略管理控制臺(tái)，以及賽門鐵克LAN Enforcer和Gateway Enforcer中的一個(gè)或者兩個(gè)，以及可選產(chǎn)品：面向Windows客戶機(jī)的Sygate Protection Agent。LAN Enforcer使用代理的安全狀況來確定訪問權(quán)限，而基礎(chǔ)設(shè)施交換機(jī)上的VLAN分配作為執(zhí)行方法。流量通過時(shí)，Gateway Enforcer就實(shí)施策略。

進(jìn)行這次測試時(shí)，LAN Enforcer設(shè)置成網(wǎng)絡(luò)上的一個(gè)設(shè)備，讓邊緣交換機(jī)和核心交換機(jī)之間的流量通過Gateway Enforcer傳送。Gateway Enforcer是賽門鐵克網(wǎng)絡(luò)訪問控制系統(tǒng)中控制來客訪問的主要方法。策略通過賽門鐵克策略管理控制臺(tái)來配置，這個(gè)控制臺(tái)是在Windows Server 2003上運(yùn)行的Java客戶程序，負(fù)責(zé)與Enforcer進(jìn)行聯(lián)系。在策略管理控制臺(tái)里面，可以在策略庫中創(chuàng)建策略。策略庫將策略分為防火墻策略、主機(jī)完整性策略以及操作系統(tǒng)保護(hù)策略。

防火墻策略是根據(jù)主機(jī)安全狀況或者數(shù)據(jù)包檢測情況允許或者禁止的特定連接; 主機(jī)完整性策略通過確保所需的安全應(yīng)用程序是最新版本、正常運(yùn)行，從而保護(hù)主機(jī)系統(tǒng)免受攻擊; 操作系統(tǒng)保護(hù)策略規(guī)定了哪些應(yīng)用程序可以在系統(tǒng)上運(yùn)行。管理員可以使用策略管理控制臺(tái)中基于向?qū)С绦虻慕缑鎭韯?chuàng)建新策略。

規(guī)則可以獨(dú)立于策略來定義。規(guī)則在策略編輯器里面創(chuàng)建、編輯及刪除。一旦策略在策略庫里面創(chuàng)建完畢，就可以分配到將來要運(yùn)用它們的位置。在每個(gè)位置里面，系統(tǒng)根據(jù)用戶驗(yàn)證狀態(tài)、主機(jī)完整性狀態(tài)和主機(jī)上運(yùn)行的應(yīng)用程序來管理策略。策略執(zhí)行依賴所用Enforcer的類型。因?yàn)镚ateway Enforcer通過嵌入式過濾（inline filtering）來管理流量，可以根據(jù)活動(dòng)流量來作出決策，所以它提供了比VLAN分配更強(qiáng)的控制功能。

SNAC與McAfee策略執(zhí)行器一樣，它也不支持用戶名或者用戶組等驗(yàn)證參數(shù)引起的策略變化，也無法根據(jù)這些特性來分配策略。不過它倒是可以根據(jù)客戶機(jī)是否通過驗(yàn)證來分配策略。

趨勢科技：即插即用 重在網(wǎng)關(guān)控制

趨勢科技Network VirusWall Enforcer（NVWE）2.0和趨勢科技控制管理器（TMCM）3.5將NAC網(wǎng)關(guān)設(shè)備與基于瀏覽器的配置界面結(jié)合起來。NVWE是一種“即插即保護(hù)”的設(shè)備，旨在確保所有設(shè)備（無論本地設(shè)備還是遠(yuǎn)程設(shè)備、受管理設(shè)備還是未受管理的設(shè)備）在被允許訪問網(wǎng)絡(luò)之前，都已確定符合策略。除了可對設(shè)備進(jìn)行端口、無代理以及基于代理的掃描外，NVWE還提供了網(wǎng)絡(luò)蠕蟲預(yù)防功能。

作為一種網(wǎng)關(guān)解決方案，Network VirusWall Enforcer可以針對試圖通過它傳送流量的任何設(shè)備執(zhí)行策略。管理員使用基于Web的控制管理器，就可以迅速查明環(huán)境狀態(tài)，并且可以檢查、創(chuàng)建及更新策略。Network VirusWall Enforcer為許多不同的防病毒程序提供了眾多檢查，還提供基于Windows注冊表的檢查。

硬件的安裝對網(wǎng)關(guān)而言具有典型性: 一個(gè)端口連接到邊緣設(shè)備，另一個(gè)端口連接到核心設(shè)備。通過Network VirusWall Enforcer傳輸?shù)乃辛髁慷急仨毞吓渲煤玫牟呗?，而?shí)時(shí)儀表板可以顯示Enforcer的發(fā)現(xiàn)結(jié)果以及哪些方面可能存在問題。

策略也通過基于Web的界面來配置。系統(tǒng)提供了網(wǎng)絡(luò)區(qū)域（Network Zones）這一概念。管理員借助使用IP地址（單個(gè)IP地址或者子網(wǎng)的一批IP地址），就可以定義網(wǎng)絡(luò)中統(tǒng)一控制的區(qū)域。創(chuàng)建策略時(shí)，管理員為運(yùn)用哪項(xiàng)策略指定代理類型（無代理或者持久代理）、端點(diǎn)安裝方法類型，以及如何處理非Windows及無法識別的操作系統(tǒng)。還要選擇每隔多久重新檢查符合策略及不符合策略的端點(diǎn)。

接下來，要設(shè)置將使用該策略的“網(wǎng)絡(luò)區(qū)域”，并指定該策略是運(yùn)用于通過驗(yàn)證的用戶還是未通過驗(yàn)證的用戶。下一步，定義執(zhí)行策略，包括防病毒程序、版本和系統(tǒng)威脅。然后，要配置網(wǎng)絡(luò)病毒策略，包括如何處理傳播病毒的端點(diǎn)以及你偏愛采用的補(bǔ)救方法。最后，為補(bǔ)救服務(wù)器指定URL例外。之后為在Enforcer上定義的每項(xiàng)策略重復(fù)這些步驟。

該系統(tǒng)局限于掃描及截獲通過網(wǎng)關(guān)的流量。因而，系統(tǒng)無力防范不通過網(wǎng)關(guān)的蠕蟲及其他攻擊。不過，考慮到大多數(shù)惡意軟件在流量生成方面并不精明，所以網(wǎng)關(guān)有可能迅速檢測到這類活動(dòng)，并將不符合策略的系統(tǒng)擋在網(wǎng)絡(luò)外面。

鏈接:選型建議

在分析合適的方案之前，先要定義你想要執(zhí)行的策略，并考慮是否需要根據(jù)用戶身份和用戶組信息來制訂策略，或者考慮驗(yàn)證通過/失敗機(jī)制是否足夠。不是所有解決方案都能處理基于身份的場景。賽門鐵克和McAfee的解決方案可以獨(dú)立使用，也可以結(jié)合802.1x等驗(yàn)證系統(tǒng)使用，但兩者都沒有考慮用戶身份。Enterasys和趨勢科技的解決方案可充當(dāng)RADIUS代理系統(tǒng); 趨勢科技的系統(tǒng)可以使用LDAP或者AD。兩者都能利用用戶和用戶組信息作為策略的一部分。 (ccw)