NAC不仅仅意味着安全

    当北卡罗来纳大学（UNC）Chapel Hill校区今年春季在全校范围部署网络访问控制时，伴随着安全性的改善，这所大学的网络管理水平也大大提高了。

    UNC Chapel Hill网络技术助理主管Mike Hawkins最近在达拉斯举行的“Network World IT路线图大会暨展览会”上发言时说：“我们认为良好的管理等同于安全性，反之亦然。”
 
    对许多人来说，NAC意味着询问终端设备以确保它们具有正确的安全控制后才允许它们进入网络的解决方案。在UNC，这更意味着自动执行大学实施多年的可接受使用策略。尽管到处都是有关需要整个网络基础设施升级的部署NAC的故事，但UNC却让NAC运行在已经使用了7年并且来自多家厂商的交换机上。当然，UNC从一开始就与NAC厂商处于同一起点，这使得UNC可以帮助厂商确定产品的规格。（UNC拒绝在本文中透露厂商的名字）

     背景

    UNC Chapel Hill是美国历史第二悠久的公立大学，拥有28000名学生、3100名教师和7500名员工。总共大约有35000名使用传统计算设备的用户每天连接在大学网上，同时连接在大学网络上的还有大约50000台其他类型的设备（从碳酸饮料机、停车场大门到水表）。
 
    多年来，大学一直在交换机端口上应用可接受的使用策略来规定每种类型的设备连接在网上时可以做什么，不能做什么。尽管这种作法效果相当好，但每次都必须手工来赋予连入网络的新设备可接受的使用策略。

    UNC Chapel Hill网络主管Jim Gogan说，大学的NAC部署带来新的自动化水平。他说：“问题是怎样为连入网络各种类型的设备提供合适的策略。”如果公用设施部门连接蒸汽表，网络应当立即认出设备是块蒸汽表，并应用相应的策略。这使网络部门不必在每次有某种特殊的设备需要联网时插手。

    Hawkins说：“这是对网络上发生情况的准确、细粒度的边缘控制。我很少看到实际做到这点的NAC解决方案。”

    NAC一词让人们想到询问终端设备确保它们具有正确的安全控制后才允许它们进入网络的解决方案。但是，UNC Chapel Hill采取了一个略微不同的作法，利用其他安全措施来捕获危险的传输流，然后利用NAC关闭违规的端口或IP地址。

    例如，这所大学利用入侵防御设备来阻止病毒感染的传播。当它检测到被感染的机器时，入侵防御设备将发出详细说明病毒来自哪个IP地址的故障单。Hawkins说：“我上午10点到11点之间收到3个这样的IP地址。几分钟内，我对这几个硬件地址应用策略，迫使它们离开网络。不管它们在何处上网，都不允许它们联网。”
 
    然后，只允许被感染机器的用户访问解释他们为什么被拒绝访问并把他们连接在提供补救资源的网页上。这种重新改向在NAC部署的驱动下自动发生。

    NAC的演进

    UNC出于多个理由而选上了它的NAC厂商，其中一个重要的原因是校园中大约90%的交换机来自这家厂商。但是，策略执行发生在靠近网络边缘的交换机上的概念，也是UNC选择它的原因。同样，大学在开发可接受的使用策略时所做工作将立竿见影也是原因之一。向交换机提交策略的容易程度以及按一个按钮就可更新任何数量的交换机的能力（鉴于大学校园中有3700多台交换机，这是个重要的能力），也是开发团队看好这家厂商的原因。

    Gogan说：“这是我们看到的不多的几种可扩展到数万台交换机和路由器的NAC产品之一。”该产品使大学可以自动向所有的交换机部署NAC软件，与其他需要在所有客户计算机上安装软件的解决方案相比，大大减少了部署时间。他说：“由于校园中的桌面机不是我们拥有的，因此在客户计算机上安装NAC软件简直是场噩梦。”2到3名工作人员每天使用4小时左右在差不多两个月里部署NAC软件，同时应对日常的故障和其他问题。

    Hawkins说，NAC概念最初是在3、4年前提出来的，以后厂商才推出NAC产品。他说：“我们在阻止网络边缘上的访问上，同我们的NAC厂商处于相同的水平。因此，一些最初的想法既是我们的，也是他们的。”

    在最初阶段就介入使UNC Chapel Hill能够参与产品特性的开发。补充NAC管理软件的图形用户界面不足的脚本特性就是个例子。该功能实际上使用户可以根据SNMP报警触发脚本。正是这脚本功能使UNC能够采用自动化的行动，如将使用被感染的机器的用户改向连接在补救资源或在蒸汽表联网时应用合适的策略，所有这些都不需要网络人员的参与。另一个脚本可以检测侵犯版权的问题。如当学生下载和分发违法的唱片时，这个脚本将违规的机器从网络上隔离，将用户连接到一个解释侵犯版权并提供如何重新进入网络的指示的网页上。

    另一个好处是，UNC的NAC软件可用于多家厂商的交换机。虽然90%的UNC Chapel Hill的交换机来自同一家厂商，但仍有十几间宿舍装备了来自另两家厂商的交换机。不管是哪种情况，大学都在宿舍的入口点上部署了来自其主要厂商的交换机作为宿舍中其他交换机的上行链路。

    Hawkins说：“这个大楼中的NAC点是入口交换机。我们可以在这台交换机上认证每个用户并在上行链路端口上对他们采用行动。我们既可以阻止他们，也可以根据这台设备将他们需要的能力提供给他们。”唯一的缺点是如果宿舍内的一台机器被病毒感染的话，它会感染连接在同一台本地交换机上的其他用户，“但它不会感染住宿域中的全部3000个用户。”

    展望未来

    UNC Chapel Hill远没有完成其NAC部署。相反，它继续寻找从NAC系统中获得更多好处的途径，如通过将自动阻止违规设备和用户的能力扩展到更多用户以及扫描违规的设备，尤其是屡教不改的违规者。大学还希望为不同类型的设备（从读卡器到HVAC监测工具）制定策略，然后让校园中相应的管理员决定某台设备是否属于这个设备类型，来优化连接不同类型的设备的过程。如果这台设备属于这个类型，管理员可以将设备的硬件地址记录到策略数据库中，因此不管这台设备在何处连接在网络上，它都将配置合适的策略。

    这所大学还在继续评估它可以连接在其NAC系统上的更多的异常检测产品，研究它是否可以扩展到学校的无线网络上。

    当问及有什么给其他可能走NAC之路的人的建议时，Hawkins表示，遵守标准将大大提高用户的灵活性，使用户具有添加新产品的能力。这类标准包括802.1X、RADIUS和处于基于RADIUS的虚拟LAN分配的RFC 3580。例如，UNC的NAC管理软件依靠RADIUS提供大部分媒体访问控制地址认证。他说：“市场上有很多采用专有协议的解决方案。你对此必须非常小心。”

    Gogan说：“如果最终目标仅仅是避免被感染的机器进入网络，这对于像这类工具的能力来说是非常短视的。”Hawkins补充说，UNC Chapel Hill的目标比这大得多。“我们的目标是改进我们管理网络设备的方式。我们感到我们已经向这个方向迈出了一大步。”