iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 24
3
Security

資安分析師的轉職升等之路系列 第 25

Day 24 有接線也連不上 : 網路存取管制系統 NAC

  • 分享至 

  • xImage
  •  

如今強調「行動第一、雲端至上」,很多時候用戶已經不再有桌上型電腦,而是以筆記型電腦代替,尤其是常常在外奔波的業務部門,這些筆電雖然提供方便性,但是每當筆電回到公司企業,接上網路線想要存取內網資源前,是否有機制能確認筆電本身遵守資訊安全政策呢?

為保護公司企業網路安全,今天來談Network Access Control(NAC)網路存取管制系統,有時也作Network Access Protection網路存取保護系統。如天稍微提到,這類系統通常用於管制內部存取行為,避免有人不正當地存取公司網路資源,或拿筆電自行接上網路線,進行攻擊行為;同時在符合安全政策下,提供訪客存取內部網路資源的方便。ㄧ般這類系統的流程如下:

1.電腦設備接上網路線
通常依據安全政策設定,這時候是完全沒有任何網路,無法連上內網和外網,完全被封鎖狀態。

2.NAC偵測到該設備,比對安全政策
檢驗該設備是否為trusted device已信賴裝置。

3.依據安全政策給予適當存取權限
如果是Trusted Device已信賴裝置,也許不用再另行驗證,或者也不用進行掃瞄。同時依據政策給予存取權限,例如允許存取特定網路資源如網路印表機、網路硬碟等等。

4.如果並非trusted device 已信賴裝置,進行驗證流程
因為並非已信賴裝置,這時候需要認證,避免有心人士隨意接上設備。

5.以Captive Portal 要求驗證
可以設定為只有ㄧ組MIS人員設定的特定帳號才能通過驗證,這組帳號只用在Captive Portal驗證並以SIEM監控驗證情況避免不正常登入,也防止內部員工私自接上網路設備(如Wi-Fi AP)用自己帳號認證。

6.驗證通過後,依據安全政策給予適當存取權限
即使驗證成功,還要通過掃瞄,或者以不同VLAN設定不同政策:ㄧ般內部桌機使用的VLAN在這裡就可以開始給予適當權限存取網路資源,訪客或筆電使用的VLAN則必須進行掃瞄。也可以強制所有機器都需要通過掃描,確保所有聯上內網的機器都符合資訊安全政策。

7.進行掃描
掃描確認該設備符合訂下的資訊安全政策,例如特定版本的作業系統、是否有最新的安全更新、是否開啟本機防火牆、是否有裝防毒軟體並更新定義檔等等

8.再次掃瞄
如果掃瞄失敗,必需透過訪客專用的Wi-Fi 網路,或者在前面的政策允許有限度使用Internet,讓筆電進行安全更新後,再重新掃瞄。

是否覺得網路存取管制系統 NAC 的流程和MDM行動裝置管理系統有些相像?確實有些NAC系統也包含部分MDM的功能,能掃描行動裝置,確認裝置符合資安政策,強迫系統更新到特定版本才能存取公司資源,而且NAC系統監控公司內部網路,確保每台設備都是Trusted Device可信賴裝置,也有點像設在內網的NIDS,偵測封包並針對某些可疑行動做出警示,一旦從封包判定為異常行為,可以將該設備裝置從trusted device可信賴裝置轉移為 untrusted device未信賴裝置,阻止存取內網資源甚至網際網路,此時資安團隊可以進一步調查,或者從NAC要求用戶再次認證掃描。關於NIDS的介紹,可以參考本次鐵人賽Fu-sheng邦友寫的:資安的學習心得及分享系列 第 4 篇Network Intrusion Detection System
https://ithelp.ithome.com.tw/articles/10190920

最後分享一個經驗:如果環境裡有NAC系統,某些網路異常的情況有可能是NAC系統出問題,例如電腦雖然有IP卻沒辦法連上網路、無法存取網路硬碟等等情況,有可能是NAC沒有正確判定電腦為Trusted Device信賴裝置而阻止電腦存取內網資源。建議在排除故障的流程裡應該要加入檢查NAC系統設定的步驟,避免工程師大費周章地查線路、查路由器、查ISP,結果只是NAC系統異常。

「意外的狀況隨時都會發生。」- - 《奮鬥吧!系統工程師》


上一篇
Day 23 等著被駭的多功能事務機 Multi-Function Printer
下一篇
Day 25 研究惡意程式的杜鵑 Cuckoo
系列文
資安分析師的轉職升等之路32
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言