文◎奇科電腦資深網路技術顧問 - Ben 哥

前言

在筆者擔任思科系統的技術經理時，便觀察到Cisco從2000年初期，開始全力投入網路安全的發展，當成公司重要的發展方向之一；以自我防禦系統為大前提，發展或是併購相關的產品、機制及公司，NAC便是其中相當重要的一環；NAC是大家耳熟能詳的一個名詞，事實上，他並不代表一種產品，而是由多種多樣的產品組合出來的一種智慧型機制，用來自動化所有的防禦修護事宜，以及正確的認證與授權，減少人為操作的時間，或是誤判，並且及時的發現並解決問題，因此，NAC的佈署及應用，牽涉的異質產品極廣，產品之間的通用性是目前NAC必須克服的一個首要課題。

提供以下圖表說明了NAC的功能演進：

思科NAC的特色

1. 著重互通性：最佳微軟環境支援，利用既存之第三方軟體。
2. 利用既有的網路設備：充分運用Cisco網路設備，並可與他牌共同使用。
3. 支援各種存取方式：不論有線、無線、虛擬私有網路或是廣域網路。
4. 創新：首創單一簽入(Single Sign On)，規則組成，描繪設計以及路由器模組等。
5. NAC專屬設備（NAC appliance）：無須經過繁複的軟體安裝步驟，直接plug-n-play。

Cisco NAC的好處

1. 認證方式整合到單一簽入(Single Sign-On)
   Cisco NAC硬體設備可以代理大部分的認證，可以相容的認證機制有：Kerberos，Lightweight Directory Authentication Protocol (LDAP)，RADIUS，Active Directory(AD)，S/Idnet等；為了讓用戶端方便起見，Cisco NAC的硬體設備也支援VPN，無限網路的用戶端以及Windows AD網域的單一簽入，系統管理員更可以使用以角色為基準(roles-based)的存取控制機制，讓不同階級的使用者有不同的權限。
2. 脆弱性評估
   Cisco NAC硬體設備有能力針對所有Windows系統，MacOS，以及Linux-based的機器做脆弱性掃瞄，也可以對非PC的網路設備，像是PDA，遊戲機，印表機還有IP電話等做同樣的掃瞄；掃瞄的方式也可以根據不同的環境及設備來客製化，務求評估的精準性；除此之外，Cisco NAC硬體設備也可以檢查那些經由registry key的設定，提供的服務，以及系統檔案所確認的應用程式。
3. 設備隔離
   Cisco NAC硬體設備可以將不符合政策的機器隔離起來，避免擴大影響，另外被隔離的機器也可以在隔離區中進行整治及修復的工作；隔離的方式可以是將subnet設成/30或是放到不同的VLAN中。
4. 安全政策自動更新
   Automatic Security Policy Updates是Cisco軟體保養套件中所提供的一些預設政策機制的一部份，用來規範一般網路存取的準則，這些準則包括檢查作業系統的更新使否太過老舊，使用的防毒軟體的病毒碼是否更新，或者是防間諜程式的更新等；由於一切都是自動化，將會讓系統管理員的工作更輕鬆且更即時。
5. 集中式管理
   Cisco NAC硬體設備的網頁管理介面，可以讓系統管理員定義那個使用者可以執行哪種掃瞄模式，並且可以定義系統復原所需的整治套件，一台Cisco NAC硬體設備可以管理多台的伺服器。
6. 整治及維修
   隔離政策讓被隔離的設備可以直接連線到系統整治伺服器上，自動升級作業系統及病毒碼的更新，並且也可以安裝CSA軟體到該機器上，以提供完整的安全機制；系統管理員也可以客製自動化一系列的整治行為。
7. 彈性化的佈署模式
   Cisco NAC硬體設備提供了業界最多的佈署方式，不管客戶的網路拓樸為何，均可以應用上去，客戶可以應用的方式有：virtual或是real的IP gateway，in-band或是out-of-band等。

下圖說明了各種的佈署方式：

Cisco NAC元件的介紹

Cisco在NAC認證課程、教材上的現況

Cisco在網路安全上的努力不宜餘力，除了併購尖端科技(cutting edge technology)的公司外，也在相關 證照(參考網址http://www.cisco.com/web/learning/le3/le11/learning_all_certification_exams_list.html ) 及訓練教材上相對提昇，就NAC而言，Cisco推出了一個NAC專家證照（Cisco NAC Specialist），只 要取得642-522 (SND – Securing Cisco Network Devices)以及642-591 (CANAC – Implementing Cisco NAC Appliance)就擁有NAC的專家證照，對想鑽研NAC卻不想取的CCSP的人，有比較經濟的作法。

Cisco NAC官方課程目標

Cisco NAC端點設備解決方案 (Cisco NAC Endpoint Security Solutions)
Cisco NAC 硬體設備共通元件設定 (Cisco NAC Appliance Common Elements Configuration )
Cisco NAC 硬體設備的佈署及運用 (Cisco NAC Appliance Implementation)
Cisco NAC 硬體設備的檢視及管理 (Cisco NAC Appliance Monitoring and Administration)

結論

思科擁有業界最齊全的網路及主機安全產品，以筆者在思科所負責的產品而言，有CSA，MARS，Cisco Guard/Detector，IPS，ASA/PIX，AVS等，有些已經成功的NAC機制結合在一起了，我想不久的未來，思科系統會把所有的網路安全產品整合在一起，真正讓網路像人體一樣，有完善的自我防禦系統 (Self-Defense System)。