網(wǎng)絡(luò)訪問控制NAC（Network Access Control）算是一種新一代的安全訪問技術(shù)，相比傳統(tǒng)的被動(dòng)防御來(lái)說(shuō)，增加了主動(dòng)性，從以前的默認(rèn)允許走向更加嚴(yán)格的默認(rèn)拒絕。簡(jiǎn)單的說(shuō)有兩個(gè)主要組件，一是能夠監(jiān)測(cè)到網(wǎng)絡(luò)上有新網(wǎng)元的訪問，二是能夠判斷新訪問的網(wǎng)元是否符合網(wǎng)絡(luò)的安全策略。針對(duì)這個(gè)概念很多廠商都提出了自己解決方案，但可惜的是目前沒有一個(gè)相應(yīng)的規(guī)范，不過(guò)最近的新聞?wù)f針對(duì)設(shè)備的思科NAC方案和偏重主機(jī)的微軟NAP方案已經(jīng)結(jié)成同盟，形成互補(bǔ)。

今天湊巧看到一篇短小的Bypass NAC system的白皮書，挺有意思摘錄一下：

對(duì)于繞過(guò)NAC的控制主要還是從其實(shí)現(xiàn)技術(shù)和架構(gòu)來(lái)入手：對(duì)于實(shí)現(xiàn)如何監(jiān)測(cè)新網(wǎng)元的訪問，主要有以下幾種方法：

1.DHCP代理：用戶訪問網(wǎng)絡(luò)會(huì)發(fā)起DHCP請(qǐng)求，通過(guò)DHCP代理劫持用戶的請(qǐng)求，給其一個(gè)隔離區(qū)的地址段，然后對(duì)其進(jìn)行安全策略檢查，符合就重新分配地址，不符合就放在隔離區(qū)。當(dāng)然還可以增加認(rèn)證，這樣不用安裝軟件，劫持其DNS請(qǐng)求，所有請(qǐng)求都會(huì)轉(zhuǎn)向認(rèn)證頁(yè)面。

2.廣播偵聽：用戶訪問網(wǎng)絡(luò)會(huì)發(fā)起ARP之類的廣播請(qǐng)求，通過(guò)偵聽此類廣播來(lái)判斷

3.思科NAC架構(gòu)：思科則用其設(shè)備上的優(yōu)勢(shì)，通過(guò)交換機(jī)支持802.1x來(lái)對(duì)訪問網(wǎng)元進(jìn)行控制，當(dāng)然還有交換機(jī)二層，路由器三層等對(duì)數(shù)據(jù)包的控制

4.NAC硬件：這個(gè)有點(diǎn)類似IDS，通過(guò)硬件帶內(nèi)或者帶外偵聽數(shù)據(jù)流量來(lái)判斷，而對(duì)于網(wǎng)絡(luò)安全策略的堅(jiān)持，基本分為兩種，一種就是客戶需要安裝軟件先，通過(guò)軟件來(lái)檢查用戶的系統(tǒng)，二種就是通過(guò)漏洞掃描來(lái)檢查用戶的系統(tǒng)在對(duì)NAC主要使用的技術(shù)了解以后就是如何利用這些技術(shù)的缺陷來(lái)繞過(guò)這些控制，當(dāng)然這些問題也可以作為你NAC選型的要求來(lái)考慮：用戶配置靜態(tài)IP是否能夠繞過(guò)？用戶設(shè)置虛假DHCP服務(wù)器是否能劫持合法用戶請(qǐng)求？合法主機(jī)使用NAT技術(shù)可否能讓后面的非法主機(jī)訪問？需要安裝軟件的話是否支持所有系統(tǒng)？IP或者M(jìn)AC欺騙是否有效？總會(huì)有一些排出在規(guī)則之外的特殊訪問主機(jī)，是否會(huì)有被濫用的可能？如果主機(jī)使用了防火墻，對(duì)主機(jī)訪問的安全評(píng)估還是否有效？是否有可能欺騙安裝在主機(jī)上的監(jiān)控軟件？......