網路存取控管 杜絕未授權接入內網

▲Juniper Networks資深技術經理林佶駿表示，現在的NAC解決方案，導入應該要更為簡化，且需要採用開放標準，才能契合現在Multi Vendor的網路環境，網管人員也應該注意有些NAC架構需要在AD上安裝小程式來溝通，但是此種作法會對帳號伺服器帶來額外的安全風險，本末倒置。

企業要導入NAC的幾個主要的原因在於降低企業內網的威脅，普遍的威脅來自於使用者連線網路可能帶來的木馬或惡意程式；另一個則是使用者自行帶入的設備，造成同樣的病毒威脅。  

此外，甚至還有些企業未將網路管控好，讓訪客將自己的電腦隨意接入辦公室內的任何Port，就可以連入公司內網，存取內部資料。Juniper Networks資深技術經理林佶駿表示，基於這幾個理由，就已經有必要評估導入NAC。  

國外已經有相當多案例顯示出，當內部網路存取控管沒有做好，讓有心人士能夠隨意存取到內部的系統，當企業關鍵的機密資料、原始設計被竊出時，對企業造成極大的損失。因此，理論上網路存取在第一步就要做到控管，預防此類高風險的事件發生，這就是NAC管控的基本精神。  

釐清公司需求  

但是很多企業在談及NAC需求時，往往會與資產管理軟體混淆。林佶駿表示，有些企業IT部門希望知道每一台使用者端電腦安裝了哪些軟體，需要統計安裝套數等，卻誤以為要用NAC來管理，事實上這是屬於資產管理的範疇。  

他建議企業用戶可以跟解決方案廠商討論過後，才能明確知道需要什麼解決方案。很多企業需要資產管理軟體，結果卻導入了NAC，而NAC的重點在於管制上網，例如說有些企業想做的是檢查有無安裝非法軟體、並且統計安裝軟體的套數，這就需要資產管理軟體。相反地，也有企業導入NAC來檢查使用者有無安裝資產管理軟體，沒有安裝資產管理軟體就禁止連上網路，這就是NAC可以做到的管制。  

也有廠商推出解決方案，要將資產管理和NAC解決方案結合，但是林佶駿建議，從整個網路基礎架構的角度來看，資產管理和NAC應該要分開管理；兩個解決方案整合起來的好處在於，終端電腦沒有安裝哪些軟體就不能連上網，但是缺點卻是必須要安裝Agent，當發生問題時，就有可能讓使用者日常的運作發生問題。  

NAC的現況  

目前絕大部分的企業用戶在使用NAC管控的現況，是做IP和MAC的結合（binding），但是只能解決部分存取控管需求，且在導入時會比較辛苦，因為當企業規模龐大時，就必須統計所有終端設備及MAC位址，再對應到所有交換器上，是一件辛苦繁瑣的工作。「首先需要一個很大的架構表來管理，而且當交換器要更換時，或是管理人員、終端電腦有異動時，甚至位址更換等，都會產生問題。」他說。  

林佶駿表示，也有人用DHCP伺服器的方式來管理，一樣也有些缺點，例如雖然MAC可以binding，但是現在網路上能輕易下載到程式來更改MAC位址，任何使用者都有可能做到更改自己電腦的MAC。此外，他也指出某個銀行曾經發生過的例子，由於主管層級的IP上網站的權限較高，但是公司卻偵測到在休假時IP還有流量，調查發現是有人冒用他的IP連接內網。  

「以往單從交換器端及後端透過DHCP管理，除非將Port和MAC寫死，否則難以管理使用者端網路行為，但是大部分交換器並不會bind特定的MAC，因此當使用者電腦連上網後，跟DHCP伺服器溝通MAC位址，但是卻已經偷改成別的IP，交換器也不會知道，因此又是另一個漏洞的出現。」他指出，現在網路如此發達，使用者接觸越來越多資訊可以在Client造成IT部門的困擾，企業禁止使用P2P、IM或Blog等，但是卻還是有很多企業員工想辦法偷用。  

NAC已經推行多年，但是以往並沒有比較好的解決方案，都只能用這些有管理漏洞存在的基礎架構解決方案，林佶駿歸納原因有幾個；首先，NAC目前在市面上簡單區分為幾種類型，第一類為所有交換器都要同一廠牌供應商的情況才能做到比較好的內網存取管控，但是多數企業，例如製造業以成本為導向，很難將交換器全部以同一原廠來採購，除非是預算夠高且相當願意投資的企業才有可能。  

另一類型NAC是透過In-line模式的設備，或是用OOB（Out of band）的設備遠端管理，但是需要交換器的支援，或是透過部署VLAN的設備來達成NAC，總歸都是要透過其他設備來做。林佶駿表示，如果採用In-line模式等的設備，會有成為效能瓶頸的顧慮，還要去看網路架構如何設計，如果流量沒有經過設備，將又成為另一個漏洞，很多企業在選擇測試這類NAC解決方案時都會有這些考量，所以目前大部分企業還是只能以IP/MAC binding的方式管理。（更多精采文章詳見網管人第54期）