網絡準入控制NAC的演進史
歷史巨輪:NAC誕生
計算機高速發展過程中,網絡內出現越來越多的0day攻擊,此時迫切需要一種技術可以對非法的電腦做網絡隔離,并能在網絡中自動定位出有問題的電腦,進一步對這些電腦做安全修復,最早的網絡準入控制技術應景而生。
在2003年,當時全世界最大的網絡廠商Cisco提出NAC技術與SDN(自防御網絡)概念,并形成了網絡準入控制技術框架,隨后,Microsoft、Juniper等網絡大廠也分別發布相應的產品與解決方案,到了2006年,網絡準入控制市場發展迅猛,當年NAC被國內外媒體稱為繼防火墻之后最大的網絡安全市場熱點。
NAC首創者:Cisco
思科是網絡準入控制技術的提出者,Cisco NAC網絡準入控制技術的演進過程如下所示:
Cisco NAC 1.0:解決網絡隔離問題;
Cisco NAC 2.0:實現更細粒度的準入控制;
Cisco NAC 3.0:提出硬件的解決方案,主要解決部署困難的問題;
Cisco NAC 4.0:思科又放棄了網關的方案,重點解決集中管理的問題,在第二代技術基礎上增加了實名制網絡資源訪問控制等技術,即Role-based 802.1x技術。
經過這么多年的發展,NAC的解決焦點從網絡的訪問控制演進為對資源的訪問控制。
NAC技術發展階段
|
時間 |
驅動力 |
功能 |
局限性 |
|
2003-2004 |
網絡蠕蟲 |
基本的設備 (PC)檢查 |
技術復雜, 缺乏標準 |
|
2005-2006 |
來賓訪問 無線接入 |
基本的設備 (PC)檢驗、 802.1 X身份驗證 |
技術復雜,成本高,混亂的市場格局,標準的競爭導致了混亂的市場 |
|
2007-2008 |
設備(PC)認證 |
有線和無線網絡的802.1x身份認證 |
技術復雜,多個 802.1 X制約 |
|
2008-2010 |
來賓訪問 無線接入(802.11n) |
802.1 X身份驗證, 常規的有線/無線策略管理 |
NAC在預防/檢測高級持續性威脅( APTs)乏力,削弱了實用性 |
|
2010-至今 |
BYOD 移動終端 |
提供基于策略的情報、 執行、 弱化風險,并實時監控所有網絡設備訪問、配置和連接到 IP 網絡的任何節點的活動 |
EVAS本身不直接實現數據信息的保護,而作為“安全基礎設施”為數據安全保護提供支撐基礎 |
NAC技術類型分析
在標準框架基礎上,根據不同的應用場景發展出三類網絡準入控制技術,這三種類型技術,都支持有Agent和無Agent設備的接入認證,無Agent的認證,大多數廠商使用MAC地址或IP地址。
|
準入控制技術 |
內容 |
|
基于網絡設備方式(Infrastructure-based NAC) |
包括802.1x 、EOU、portal等技術; |
|
基于網關設備方式(Appliance-based NAC) |
串聯方式、準旁路(PBR)、旁路方式等多種技術; |
|
基于純軟件方式(Software-based NAC) |
包括ARP干擾、DHCP干擾、fake DNS、NAP、Ipsec enforcement、與Web Server/ISA聯動等等。 |
這三類技術各有特點,分別應用于不通的網絡接入場景。
除了以上的技術分析,還需明確網絡接入最終需要承擔安全責任的是人,不是設備,所以采用Role-based(基于角色)管理方法,與HR/LDAP對接,更易落實到人,也便于策略管理、數據分析、事后追查(事件鏈)。
NAC創新者和領導者:聯軟科技
總括:
Leagsoft UniNAC支持幾乎所有的網絡準入控制技術,除了能支持802.1x 、Cicso NAC、portal等Infrastructure-based準入控制技術,串接、準旁路、端口鏡像等Appliance-based準入控制技術和ARP干擾、DHCP干擾等Software-based準入控制技術外,還支持Role-Based準入控制技術,針對不同的準入控制技術,可以應用于不同的接入管理場景,所以UniNAC可以適應任何復雜的網絡環境下的網絡接入控制需求。
創新:資源訪問控制技術RAC
Leagsoft UniNAC系統在2012年發布資源訪問控制技術RAC(Resource Access Control),支持Role-based網絡資源訪問控制,也支持用戶終端、啞終端的資源訪問控制。
該技術通常用ACL控制網絡資源訪問權限,支持在各種型號的802.1X網絡交換機、無線控制器、支持EoU的路由器、聯軟的NACC網關和客戶端上下發ACL,這樣就可以實現對不同的終端、不同的用戶角色、不同的應用程序、不同的訪問時間下發指定的訪問權限,從而對網絡的接入實現細粒度的管理。
創新:新一代的DEVAS
網絡使用中新的安全性和移動性要求,讓NAC演進為全新的EVAS(Endpoint、Visibility、Access、Security)端點可視化與訪問控制安全。EVAS定義:一種網絡安全技術,提供基于策略的情報、 執行、 弱化風險,并實時監控所有網絡設備訪問、配置和連接到 IP 網絡的任何節點的活動。
但是EVAS本身不直接實現數據信息的保護,而只能作為“安全基礎設施”為數據安全保護提供支撐基礎!聯軟科技率先將EVAS概念引入到終端安全管理平臺產品中,形成了一套以EVAS為基礎,集合終端數據信息安全防護的DEVAS解決方案。
在網絡安全方面
有EAVS,基于設備、用戶、網絡位置、時間、數據的敏感性等顆粒化的網絡訪問控制,防止問題電腦接入、問題人員對網絡的訪問,與安全信息和事件管理間廣泛的集成。
在應用安全方面
有資源訪問控制RAC,防止不正確的時間、地點、接入方式的異常訪問,防范緩沖區溢出攻擊、規避審計手段等黑客工具攻擊。
在信息安全方面
有終端數據信息安全防護,防止被用黑客工具非法盜取信息,防止內部人員將其接觸到的信息,轉給外部人員泄密。
聯軟在準入控制的演進
2004年,全球首創設備快速發現與定位技術,設備接入網絡,幾分鐘內即可發現、定位(無需Agent),同類產品需要數小時乃至數天,持續12年保持領先;
2005年,中國第一家基于802.1x/EoU網絡準入控制產品,EoU準入這個名詞首先在聯軟的技術文檔中被使用;
2006年,全球第一家,一個Agent支持多網絡設備廠商,聯軟成為首家基于Cicso NAC框架的產品供應商;
2008年,中國第一家推出基于硬件網關的準入控制器(NACC),解決復雜的環境的網絡接入管理問題,支持準旁路部署、全旁路部署;
2010年,中國第一家發布Linux客戶端的廠商,支持準入控制;
2012年,在網絡準入控制基礎上,發布新一代NAC技術RAC,引領第四代網絡準入控制技術向前發展;
2014年,系統支持對移動終端的接入管理;
2015年,系統支持對啞終端設備自動識別和接入管理;集合終端數據信息安全防護的DEVAS解決方案。
當然,還有業內獨創HTTPS重定向訪問技術,獨創MAC地址自動獲取,接入認證故障診斷輔助工具等等。
經過13年的發展,聯軟科技已經成為中國網絡準入控制市場的技術領導者,而且還將持續創新,為客戶更有價值的技術及解決方案。