TippingPoint以IPS做為NAC骨幹

入侵偵測防禦系統（Intrusion Prevention System，IPS）廠商Tipping Point，日前發表了該公司網路存取控制（Network Access Control，NAC）產品的藍圖，未來該公司將把NAC與IPS整合於單一產品，以IPS做為NAC架構中的政策執行據點（Policy Enforcer）與政策管理伺服器（Policy Server）。

以IPS辨認2～7層的攻擊，NAC機制確認身分
TippingPoint亞太區資深董事兼總經理葉精良表示，企業往往對於NAC會有一種迷思，認為NAC可以解決資訊安全上的問題，但是NAC其實主要只能做到企業人員存取的控管，要進一步做到對於各種可能入侵的偵測，還必須整合終端的防毒軟體，網路架構上的防火牆、IPS等不同產品。

基於這個概念，目前TippingPoint的NAC方案中，是以IPS做為Policy Enforcer，在IPS掃描封包發現終端電腦有異常流量或是可辨識的攻擊行為時，會通知NAC的Policy Server，然後透過與DHCP伺服器溝通，變更該使用者的DHCP，然後透過將惡意流量轉至隔離的VLAN或者封鎖。TippingPoint的NAC方案也支援802.1x標準交換器的建置方式，有能力與3COM或思科（Cisco）擁有802.1x功能的交換器溝通，將惡意流量來源的埠封鎖或導入隔離區域。

未來TippingPoint更將把現有的NAC產品功能整合入IPS，核心交換器旁處理效能較高的IPS產品將與NAC的Policy Server整合，成為NAC機制的核心，讓使用該公司NAC方案的企業可以在IPS發現惡意流量時，自動與DHCP伺服器或802.1x標準的交換器溝通，然後隔離或封鎖發出攻擊的終端電腦。

擴張IPS偵測的觸角至終端
葉精良表示，這樣做最大的優點在於能夠提供簡單的設定，以及不同流量的辨識度。他進一步指出，傳統透過802.1x標準的交換器所建立的NAC模式，往往是企業在考慮建置NAC時最大的痛，由於許多原本建置的交換器沒有支援802.1x標準，這使得導入NAC機制代表著連帶需要大幅換新交換器，而透過IPS做為Policy Enforcer與Policy Server的方式，原本就擁有隔離與檢測封包功能的IPS，將能透過NAC機制，把檢測的觸角延伸至使用者的終端電腦，NAC的功能將不僅限於終端電腦存取權限與是否定期更新防毒與漏洞的控管，而將可以更進一步針對使用者終端電腦上的各種應用做控管。

舉例來說，在TippingPoint的架構下，當使用者的終端通過由NAC Policy Server派送的軟體檢查之後，如果再經由網路感染惡意的應用程式，IPS將能夠透過與Policy Server的溝通，立刻確認使用者的身分，進而將其封鎖或隔離。當使用者存取了企業內部設定存有敏感資料的伺服器時，透過IPS與NAC的溝通，Policy Server將會透過派送到該名使用者當時終端電腦上的軟體，側錄其執行的應用程式，並且連續追蹤2周。

總的來說，TippingPoint所提出的NAC藍圖，是希望透過IPS與NAC的整合，能夠讓企業以NAC的身分辨識能力，擴張該公司原有IPS產品所能防護的範圍。下個月TippingPoint推出的NAC產品4.1版，NAC的元件和IPS將還是獨立的，預計明年第二季，NAC機制就會整合進入其IPS的產品中。文⊙劉哲銘