現今資安縱深防禦概念下,網路設備要如何在多面向、多維度的資安防禦政策要求下,提供資源存取限制同時又不影響設備效能。公司內有各種資源及使用者與其使用的終端裝置,如何掌握這些資源、人員、裝置的狀態,成為IT 及 資安人員的首先要克服的第一道課題。它們都需要透過有線或無線的設備,才能提供或使用服務。EAC(Extreme Access Control) 可確保只有正確的使用者可以從正確的位置存取正確的資源並留下相關紀錄。
EAC 可以根據訪問的控制政策來允許、拒絕、優先、限速、標記、重定向和稽核終端裝置存取流量。EAC 解決方案提供了無與倫比的操作性,最多的身份驗證選項,並支援第2層、第3層和VPN接取技術。透過 EAC 預計達成的目標:
1. 適當的區分群組及使用權限,降低感染範圍。
2. 了解及追蹤裝置接入網路狀況。
3. 隔離未獲授權的裝置接入網路及使用內部資源。
4. 提供GUI 管理介面及自動配置功能。
EAC 的架構及作法說明如下:
圖一:EAC 架構示意圖
參照圖一的架構示意圖,我們先說明各元件的功能及做法:
1. 人員及終端裝置:人員需有AD 的帳號、終端裝置可為Windows PC/NB、Andriod、MAC iOS。
2. 政策施行及攔阻點:可以是交換機或無線基地台,負責攔阻未獲取Radius 主機授權使用者的流量。
3. EAC(Radius) : EAC 也是一台加強版的Radius 主機,接收來自DHCP主機、AD 登入資訊、交換機或AP等5W指紋資訊(詳見圖二),做出是否授權的依據。在告訴交換機或AP 的同時也攜帶著相對於此使用者的權限,讓攔截點可以檢查使用者通過的流量是否合於給予的權限。
4. 作法
A. 使用者連上交換機或無線AP,同時交換機或無線AP 以802.1x 機制觸發使用開始認證(支援SSO) 。
B. 交換機或無線AP將使用者帳號、密碼、DHCP 請求等資訊送往EAC(Radius) 主機。
C. EAC 依靠帳號、密碼、DHCP 請求等5W 指紋資訊判斷使用者及裝置,判斷出交換機或無線AP需套用洽當的網路使用授權。
圖二:使用者及終端設備的5W指紋資訊
5. 實施結果
A. 從圖三使用者登入資訊截圖中我們可以判斷使用者登入的帳號是否合乎AD 帳號的規則、裝置是否有受到AD的管控、登入時間是否異常及得到的授權是否適當。
圖三: 使用者登入資訊
圖四: 使用者數量
圖五: 特定時間使用者數量
D. 提供裝置IP或名稱的搜尋功能及該裝置詳細資訊
圖六: 裝置搜尋功能
Extreme EAC 佈署效益:
1. 適當的區分群組及使用者,降低感染範圍。
2. 了解及追蹤裝置接入網路狀況,便於管理及網路使用正當性。
3. 隔離未獲授權的裝置接入網路及使用內部資源,防止資源不當使用進而貫徹最小權限使用原則。
4. 提供GUI 管理介面及自動配置功能,降低管理者負擔及設定複雜度。
5. EAC 可以接受資安設備的事件通知,阻絕受感染裝置達到資安聯防的目的。
6. 自動化執行端點隔離、預防和遏制。
7. 基於用戶裝置類型、登入時間、AD群組、接入設備及地點給予用戶網路使用權限。
8. 裝置不須安裝任何代理程式。