這幾年NAC的話題性熱度越來越高,相關的產品也越來越多。從Cisco、Extreme Networks等網路設備廠商,到Symantec、McAfee等防毒軟體廠商,大大小小的廠商陸續推出NAC產品,只為了搶得商機。
NAC的主要目的包含身分與網路資源存取管理、資安政策的落實以及避免遭受0-Day的攻擊。不過以0-Day的攻擊而言,NAC其實並不是一個很有效的管制方法。簡單說來,NAC就是為了確保(內部)網路環境的安全。跟傳統上為了保護內部網路而佈署的防火牆或防毒牆等設備是不一樣且互補的。換句話說,NAC正是因為內部管控議題的延燒而受重視,而且不只是技術面的問題,更是管理面的問題。
面對龐大種類的NAC產品,有一些特性是需要特別注意的:
- Pre-admission and Post-admission:Pre-admission是指在設備使用網路前就先進行存取的管理,也就是決定設備是否可以使用網路。而Post-admission則是指設備連上網路後,控制設備可以使用的網路資源或網路行為。
- Agent vs. Agentless:有些機制需要在被管控者的設備上安裝代理程式(Agent),有些則不需要。使用代理程式的機制,因為可以取得較詳盡的資訊,也可以作較多的控制,所以通常擁有較高的彈性與管理功能。但是在部署上的複雜度較高,以及整體效能上也通常較差。而無代理程式(Agentless)通常需要網路設備的配合,以達到管理與控制的功能。
- Inline vs. Out-of-Band:Inline指的是管理機制本身的機器是網路的組成分子,例如交換器或是內部使用的防火牆。而Out-of-Band的機器則是外加於原先的網路架構。Inline的方式因為可以直接管理與控制所有的網路流量,所以可以達到更好的功能。另外也可直接整合於網路架構中,特別適合新建構的網路。Out-of-Band的方式,在佈署上需要特別注意的是是否有架構上的限制,例如需要搭配支援802.1x或是VLAN的設備。
- Fail open vs. Fail close:也就是說當NAC機制失效時,網路的存取權限應該是開放給所有人還是全部拒絕?對Out-of-Band的機制,失效時雖然不會影響網路本身的運作,但是是Fail open還是Fail close才是需要特別注意的議題。
NAC在面對沒有存取權限的設備時,可以使用VLAN隔離、ARP導向等方式讓該設備無法正常的使用網路。相較於ARP導向,VLAN隔離因為是從設備上面著手,比較不容易產生漏網之魚,但是需要搭配支援VLAN技術的網路設備。
當然,這些特性不一定是互斥的。也就是說同一個產品,可能同時使用了兩個不同的方式(如Agent和Agentless)。目地當然就是希望能夠彼此截長補短,而衍生的問題就是管理的複雜性。NAC所要面對的問題是一個很複雜的議題(不管是從管理面或是技術面),其複雜度比防火牆還高出許多。在導入之前,可得好好想想自己的需求,並仔細比較各家產品之後再作決定。不然,利用不同產品疊床架屋似的佈署,美其名是多層次防衛,萬一成了三個和尚沒水喝,那可就損失慘重了。