NAC漏洞成為黑帽重要議題

一項用來保護企業網路的新興技術─網路存取控制（Network access control，NAC）成為本周黑帽會議上的重要議題，因為這項技術仍屬初期發展，還存有許多能讓駭客攻擊的漏洞。

網路監測軟體製造商Insightix技術長Ofir Arkin指出，即使是諸如Cisco、微軟及賽門鐵克等大廠所提供的NAC解決方案，皆仍存有許多可讓駭客輕易進行攻擊的漏洞。

NAC透過掃瞄個人電腦中的惡意程式來保護企業網路，確保企業內部電腦在連上網路時都擁有最新程式，並檢驗哪些電腦被惡意程式感染。

Ofir Arkin表示，NAC解決方案是採用動態主機配置協定（Dynamic Host Configuration Protocol，DHCP）代理伺服器來執行安全政策，但這無法防堵那些使用靜態IP位址來進行網路連結的機器，這讓企業網路中有些部份讓NAC產品無法進行保護。

同時，以DHCP為基礎的NAC解決方案多半要求僅存在於視窗作業系統的代理程式。

此外，目前的NAC解決方案仰賴802.1x協定來實施存取政策，這使得那些不支援802.1x的舊時代裝置無法受到NAC保護，包括個人電腦、印表機或其他裝置等。

Ofir Arkin說明了現階段業者所使用的不同NAC解決方案，並指出有哪些方法可以突破這些安全措施。Ofir Arkin也認為讓業者使用不同解決方案的原因是因為缺乏NAC的共通標準。

例如NAC的存取控制要透過網路交換機。不過，Cisco的NAC技術僅支援該公司的交換機及路由器，可是企業多半使用許多不同品牌的硬體，駭客就能透過方法找到那些未能受到NAC管理的裝置。

Cisco安全長John Stewart指出，有很多企業根本不知道企業內部究竟有多少裝置連上網路，或是這些裝置如何運作以及有哪些改變，這也成為NAC解決方案的漏洞。

不過，John Stewart認為NAC解決方案仍在嬰兒期，要達到能夠完全保護企業網路的階段還有一段路得走。（編譯/陳曉莉）