以下的文章主要是淺談?dòng)镁W(wǎng)絡(luò)分段與訪問控制NAC隔離攻擊，如果你對(duì)網(wǎng)絡(luò)分段與訪問控制NAC隔離攻擊，心存好奇的話，以下的文章將會(huì)揭開它的神秘面紗。希望你在瀏覽完之后會(huì)有所收獲。

根據(jù)由美國特工處的最新數(shù)據(jù)顯示，內(nèi)部人員攻擊在過去的一年已經(jīng)增加了一倍。但是外部的攻擊仍是主要的威脅，并且還占據(jù)著大部分的盜竊記錄，這表明公司并沒有正確地保障其網(wǎng)絡(luò)和數(shù)據(jù)的安全。

主動(dòng)性的安全控制和安全網(wǎng)絡(luò)設(shè)計(jì)可以在預(yù)防內(nèi)部和外部攻擊方面扮演著重要角色。不幸的是，如果沒有正確的網(wǎng)絡(luò)分段和訪問控制，一旦攻擊者獲得了對(duì)受害者內(nèi)部網(wǎng)絡(luò)的訪問權(quán)，一切都晚了：敏感的服務(wù)器已然成為任人宰割的羔羊！

然而，安全損害未必如此悲慘。正如北卡羅來納州“高級(jí)數(shù)字”公司的首席信息安全官詹妮弗所說，NAC是一種哲學(xué)而非技術(shù)。依靠網(wǎng)絡(luò)分段和訪問控制的深度防御方法可以延緩惡意軟件的傳播，并可以防止敏感系統(tǒng)的暴露。

幾個(gè)星期之前，在VxWorks 和QNX等嵌入式操作系統(tǒng)中暴露出來的漏洞，凸顯了保障這些設(shè)備的安全并且在不影響生產(chǎn)效率的情況下盡可能地隔離它們的必要性。但是，如果濫用多功能設(shè)備及類似的系統(tǒng)，將表明對(duì)于這些系統(tǒng)的安全影響理解得不夠充分。

例如，開發(fā)者為Metasploit Framework發(fā)布了新的模塊，它準(zhǔn)許從有漏洞的VxWorks設(shè)備中進(jìn)行內(nèi)存轉(zhuǎn)儲(chǔ)。在內(nèi)存轉(zhuǎn)儲(chǔ)時(shí)，就可以找到口令和內(nèi)部的IP地址，從而準(zhǔn)許NAC隔離攻擊者登錄進(jìn)入一臺(tái)交換機(jī)，并且改變某臺(tái)設(shè)備的VLAN，或者是通過一個(gè)暴露的賬戶登錄進(jìn)入一臺(tái)服務(wù)器。

由于打印機(jī)和流媒體設(shè)備不僅僅只是啞設(shè)備而是完整的客戶端和服務(wù)器，所以，很重要的一點(diǎn)是，構(gòu)建網(wǎng)絡(luò)分段來隔離設(shè)備，并僅提供足夠業(yè)務(wù)需要的訪問。

例如，用于將掃描的文檔以電子郵件發(fā)送的多功能復(fù)印機(jī)，應(yīng)當(dāng)僅準(zhǔn)許它與郵件服務(wù)器上tcp的25號(hào)端口通信，而不能遠(yuǎn)程登錄（telnet）到一臺(tái)交換機(jī)或文件服務(wù)器上的Windows服務(wù)器端口。同樣道理，不應(yīng)當(dāng)準(zhǔn)許嵌入式系統(tǒng)訪問互聯(lián)網(wǎng)，也不準(zhǔn)許從互聯(lián)網(wǎng)訪問它，除非這是Vbrick等媒體流設(shè)備的目的。

嵌入式設(shè)備只是雇員們將其放到網(wǎng)絡(luò)上而不考慮它如何影響安全性的一個(gè)方面。在對(duì)其客戶的漏洞評(píng)估中，AirTight Network公司發(fā)現(xiàn)，四分之一的網(wǎng)絡(luò)中存在著雇員們所安裝的非授權(quán)的無線網(wǎng)絡(luò)。

無論是為了工作還是為了易于使用，或者是因?yàn)橛脩羰菒阂獾?，其影響都是一樣的：在無線接入點(diǎn)的范圍內(nèi)，將內(nèi)部的公司網(wǎng)絡(luò)暴露給任何人。公司策略文檔要求對(duì)網(wǎng)絡(luò)的任何變更（如增加一個(gè)無線接入點(diǎn)）都要嚴(yán)格禁止，這固然很好，但是需要部署技術(shù)控制來強(qiáng)化策略，并檢測(cè)任何違反策略的情況。

基本的技術(shù)控制，如每個(gè)網(wǎng)絡(luò)交換機(jī)端口都要限制一個(gè)MAC地址，這僅僅是一個(gè)開始，但很容易被精通技術(shù)的雇員攻克。更高級(jí)的控制包括NAC等解決方案，應(yīng)當(dāng)能夠確認(rèn)一個(gè)無線設(shè)備，并通過關(guān)閉它所連接的網(wǎng)絡(luò)端口來阻止它對(duì)于內(nèi)部網(wǎng)絡(luò)的訪問，或者將它移到一個(gè)隔離的VLAN中。

與深度防御并駕齊驅(qū)的無線入侵檢測(cè)系統(tǒng)（WIDS）也可以加入到網(wǎng)絡(luò)中，用以提供針對(duì)欺詐性無線設(shè)備的另外一層保護(hù)。WIDS可以在新的無線網(wǎng)絡(luò)出現(xiàn)時(shí)對(duì)其進(jìn)行檢測(cè)，并向安全人員發(fā)出警告。

PCI安全理事會(huì)很早就認(rèn)識(shí)到欺詐性的無線網(wǎng)絡(luò)的影響，并在PCI DSS（付款卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)）中要求一年進(jìn)行四次的無線掃描。但一年掃描四次可能并不夠，因?yàn)樵趦纱螔呙柚g，一個(gè)欺詐性的無線設(shè)備可以有大約三個(gè)月時(shí)間不會(huì)受到檢測(cè)。

無線設(shè)備制造商們正在將WIDS功能包括到其企業(yè)級(jí)管理系統(tǒng)系統(tǒng)中，用以解決這些問題。其中的一個(gè)例子是思科，它提供的思科無線服務(wù)模塊（WiSM）可以在檢測(cè)到企業(yè)網(wǎng)絡(luò)中的欺詐性無線設(shè)備時(shí)，立即對(duì)其確認(rèn)、定位并實(shí)施遏制。

任何網(wǎng)絡(luò)安全項(xiàng)目的最終目標(biāo)是防止暴露敏感數(shù)據(jù)所造成的安全損害，同時(shí)又滿足企業(yè)的需要。通過網(wǎng)絡(luò)分段、策略和技術(shù)控制，是完全有可能滿足這個(gè)目標(biāo)的。以上的相關(guān)內(nèi)容就是對(duì)用網(wǎng)絡(luò)分段和訪問控制NAC隔離攻擊的介紹，望你能有所收獲。