网站首页/网络技术列表/内容

如何避开网络接入控制NAC的方法

网络技术2022-05-20阅读
网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等。 当前的互联网只限于信息共享,网络则被认为是互联网发展的第三阶段。

怎样避开网络接入控制NAC的方法,关于网络接入控制NAC的问题,涉及到的东西比较多。而备份的技术方法也有多种,所以在方法的选择上会有些茫然,下面给大家指明了一条道路。

网络接入控制NAC(Network Access Control)算是一种新一代的安全接入技术,相比传统的被动防御来说,增加了主动性,从以前的默认允许走向更加严格的默认拒绝。简单的说有两个主要组件。

一是能够监测到网络上有新网元的接入,二是能够判断新接入的网元是否符合网络的安全策略。针对这个概念很多厂商都提出了自己解决方案,但可惜的是目前没有一个相应的规范,不过最近的新闻说针对设备的思科网络接入控制NAC方案和偏重主机的微软NAP方案已经结成同盟,形成互补。

今天凑巧看到一篇短小的Bypass NAC system的白皮书,挺有意思摘录一下:对于网络接入控制NAC主要还是从其实现技术和架构来入手:对于实现如何监测新网元的接入,主要有以下几种方法:

◆代理:用户接入网络会发起DHCP请求,通过DHCP代理劫持用户的请求,给其一个隔离区的地址段,然后对其进行安全策略检查,符合就重新分配地址,不符合就放在隔离区。当然还可以增加认证,这样不用安装软件,劫持其DNS请求,所有请求都会转向认证页面。

◆广播侦听:用户接入网络会发起ARP之类的广播请求,通过侦听此类广播来判断

◆思科网络接入控制NAC架构:思科则用其设备上的优势,通过交换机支持802.1x来对接入网元进行控制,当然还有交换机二层,路由器三层等对数据包的控制

◆NAC硬件:这个有点类似IDS,通过硬件带内或者带外侦听数据流量来判断,而对于网络安全策略的坚持,基本分为两种,一种就是客户需要安装软件先,通过软件来检查用户的系统,二种就是通过漏洞扫描来检查用户的系统在对网络接入控制NAC主要使用的技术了解以后就是如何利用这些技术的缺陷来绕过这些控制。

◆当然这些问题也可以作为你网络接入控制NAC选型的要求来考虑:用户配置静态IP是否能够绕过?用户设置虚假DHCP服务器是否能劫持合法用户请求?合法主机使用NAT技术可否能让后面的非法主机接入?需要安装软件的话是否支持所有系统?

◆IP或者MAC欺骗是否有效?总会有一些排出在规则之外的特殊接入主机,是否会有被滥用的可能?如果主机使用了防火墙,对主机接入的安全评估还是否有效?是否有可能欺骗安装在主机上的监控软件?...... 



网络的神奇作用吸引着越来越多的用户加入其中,正因如此,网络的承受能力也面临着越来越严峻的考验―从硬件上、软件上、所用标准上......,各项技术都需要适时应势,对应发展,这正是网络迅速走向进步的催化剂。

……

相关阅读