最新消息:XAMPP默认安装之后是很不安全的,我们只需要点击左方菜单的 "安全"选项,按照向导操作即可完成安全设置。

Day 24 有接線也連不上 : 網路存取管制系統 NAC

XAMPP下载 admin 803浏览 0评论

如今強調「行動第一、雲端至上」,很多時候用戶已經不再有桌上型電腦,而是以筆記型電腦代替,尤其是常常在外奔波的業務部門,這些筆電雖然提供方便性,但是每當筆電回到公司企業,接上網路線想要存取內網資源前,是否有機制能確認筆電本身遵守資訊安全政策呢?

為保護公司企業網路安全,今天來談Network Access Control(NAC)網路存取管制系統,有時也作Network Access Protection網路存取保護系統。如天稍微提到,這類系統通常用於管制內部存取行為,避免有人不正當地存取公司網路資源,或拿筆電自行接上網路線,進行攻擊行為;同時在符合安全政策下,提供訪客存取內部網路資源的方便。ㄧ般這類系統的流程如下:

1.電腦設備接上網路線
通常依據安全政策設定,這時候是完全沒有任何網路,無法連上內網和外網,完全被封鎖狀態。

2.NAC偵測到該設備,比對安全政策
檢驗該設備是否為trusted device已信賴裝置。

3.依據安全政策給予適當存取權限
如果是Trusted Device已信賴裝置,也許不用再另行驗證,或者也不用進行掃瞄。同時依據政策給予存取權限,例如允許存取特定網路資源如網路印表機、網路硬碟等等。

4.如果並非trusted device 已信賴裝置,進行驗證流程
因為並非已信賴裝置,這時候需要認證,避免有心人士隨意接上設備。

5.以Captive Portal 要求驗證
可以設定為只有ㄧ組MIS人員設定的特定帳號才能通過驗證,這組帳號只用在Captive Portal驗證並以SIEM監控驗證情況避免不正常登入,也防止內部員工私自接上網路設備(如Wi-Fi AP)用自己帳號認證。

6.驗證通過後,依據安全政策給予適當存取權限
即使驗證成功,還要通過掃瞄,或者以不同VLAN設定不同政策:ㄧ般內部桌機使用的VLAN在這裡就可以開始給予適當權限存取網路資源,訪客或筆電使用的VLAN則必須進行掃瞄。也可以強制所有機器都需要通過掃描,確保所有聯上內網的機器都符合資訊安全政策。

7.進行掃描
掃描確認該設備符合訂下的資訊安全政策,例如特定版本的作業系統、是否有最新的安全更新、是否開啟本機防火牆、是否有裝防毒軟體並更新定義檔等等

8.再次掃瞄
如果掃瞄失敗,必需透過訪客專用的Wi-Fi 網路,或者在前面的政策允許有限度使用Internet,讓筆電進行安全更新後,再重新掃瞄。

是否覺得網路存取管制系統 NAC 的流程和MDM行動裝置管理系統有些相像?確實有些NAC系統也包含部分MDM的功能,能掃描行動裝置,確認裝置符合資安政策,強迫系統更新到特定版本才能存取公司資源,而且NAC系統監控公司內部網路,確保每台設備都是Trusted Device可信賴裝置,也有點像設在內網的NIDS,偵測封包並針對某些可疑行動做出警示,一旦從封包判定為異常行為,可以將該設備裝置從trusted device可信賴裝置轉移為 untrusted device未信賴裝置,阻止存取內網資源甚至網際網路,此時資安團隊可以進一步調查,或者從NAC要求用戶再次認證掃描。關於NIDS的介紹,可以參考本次鐵人賽Fu-sheng邦友寫的:資安的學習心得及分享系列 第 4 篇Network Intrusion Detection System
https://ithelp.ithome.com.tw/articles/10190920

最後分享一個經驗:如果環境裡有NAC系統,某些網路異常的情況有可能是NAC系統出問題,例如電腦雖然有IP卻沒辦法連上網路、無法存取網路硬碟等等情況,有可能是NAC沒有正確判定電腦為Trusted Device信賴裝置而阻止電腦存取內網資源。建議在排除故障的流程裡應該要加入檢查NAC系統設定的步驟,避免工程師大費周章地查線路、查路由器、查ISP,結果只是NAC系統異常。

转载请注明:XAMPP中文组官网 » Day 24 有接線也連不上 : 網路存取管制系統 NAC

您必须 登录 才能发表评论!