网络准入控制系统(ForeScout NAC)部署经验
网络准入控制 (NAC) 其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。准入控制能够在用户访问网络之前确保用户的身份是信任关系,只允许合法的、值得信任的终端设备(例如PC、服务器、PDA)接入网络,而不允许其它设备接入。也可以阻止感染了病毒或未升级系统补丁的电脑接入网络。
在2007年曾经研究过《802.1X+IAS+AAA+DVLAN实现用户身份认证和IP地址动态管理》并应用于企业环境。但由于802.1x的特点,部署后压力非常大,一方面802.1x客户端的配置工作量大,另一方面服务器端的维护压力也大,没实施多久就被迫停止了。
您是否也部署过基于802.1x架构的准入控制系统?在部署后是否经常接到过让人头疼而又倍感压力的电话?
但准入技术发展的日新月异,加上无客户端化浪潮的不断演进,原有技术细则中过多偏向于802.1x技术实现的弊病也显露无疑。早在2010年左右,NAC产品已有了翻天覆地的变化。在Forrester对NAC厂商的排名中,我们看到顶尖的NAC产品关键词中赫然列出了以下5条标准:
Unified management (整合管理)
Integration (集成度,或兼容性)
Clientless (agentless) mode (无客户端模式)
Hardware (appliance) (硬件应用)
Heavy focus on IT consumerization, mobiledevice control and data center virtualization (关注前端、移动端和虚拟化)
准入产品中的无客户端化已经成为了最基本的要求。
目前市面上的NAC产品也比较多,经过一番对比,我们最终选择了ForeScout设备,采用旁路方式连接。
本文主要分享控制策略,并不介绍ForeScout设备的配置,配置也非常简单,参考相关的资料很快就能上手。
实施过程我们分为两个阶段:
第一阶段:PC合法性检查,即只允许受信任的PC能够接入公司网络。
第二阶段:PC合规性检查,即检查是否安装防病毒软件,是否升级到最新的系统补丁等。
目前我们只完成第一阶段的部署,第二阶段正在收集数据并分析中。
企业环境介绍:
公司有无线网络和有线网络两种接入方式,无线网络采用的是LEAP协议,通过域帐号和密码来做身份认证,访问Internet通过HTTP代理方式。公司在全球有不同的分支机构,也有不同的域名称,其中总部出差用户较多,需要能够访问服务器和Internet,因此要做单独的控制策略。
新增了一个GuestWLAN的SSID来应对客户的网络接入,无需输入密码,接入后分配至独立的VLAN,可以直接访问Internet,不能访问公司的网络资源。
详细地终端分类和控制要求、方法如下表所示。
问题1:发现偶尔无法阻止部分移动终端连接。
原因:我们是通过无线控制器WLC来做MAC地址过滤,经检查,WLC最大能支持2048个MAC地址,超过容量之后将无法再添加,ForeScout也就无法实现阻止。
解决方案:用Cisco ACS来做第三方AAA服务器。
问题2:ForeScout无法阻止UDP连接。
原因:ForeScout只能阻止TCP连接,无法阻止UDP连接,如果能够连接上,像QQ,微信是可以使用的,但打不开网页。
解决方案:无。没有了解过其它的NAC产品是否也有该问题?
问题3:我只有1000台电脑,但系统中会显示1500,甚至更多。
原因:ForeScout只认IP地址,如果一台网络设备有多个IP地址,将会识别为多台设备。一台笔记本电脑同时连接有线网络和无线网络,也会识别为两台设备。
解决方案:针对网络设备,修改网段配置,将网关等网络设备的IP地址排除;针对笔记本电脑,可以安装Lenovo access connection,这只针对Intel芯片的网卡,当连接有线网络后,无线网络自动中断,当断开有线网络后,自动连接无线网络,同时,在ForeScout系统中将Offline过期时间设置为1小时。
其它功能:
在“Inventory”下有很多其它的统计功能,比如,可以看到一个域帐号是否在多台电脑上登陆,以及登陆电脑名;可以看到交换机端口下是否连接了HUB等设备。这些都是在期望之外的,算是一点小惊喜吧。估计其它的NAC产品也会有这些功能。
