企业要导入NAC的几个主要的原因在于降低企业内网的威胁,普遍的威胁来自于用户联机网络可能带来的木马或恶意软件;另一个则是使用者自行带入的设备,造成同样的病毒威胁。
此外,甚至还有些企业未将网络管控好,让访客将自己的计算机随意接入办公室内的任何Port,就可以连入公司内网,存取内部数据。Juniper Networks资深技术经理林佶骏表示,基于这几个理由,就已经有必要评估导入NAC。
国外已经有相当多案例显示出,当内部网络存取控管没有做好,让有心人士能够随意存取到内部的系统,当企业关键的机密数据、原始设计被窃出时,对企业造成极大的损失。因此,理论上网络存取在第一步就要做到控管,预防此类高风险的事件发生,这就是NAC管控的基本精神。
理清公司需求
他建议企业用户可以跟解决方案厂商讨论过后,才能明确知道需要什么解决方案。很多企业需要资产管理软件,结果却导入了NAC,而NAC的重点在于管制上网,例如说有些企业想做的是检查有无安装非法软件、并且统计安装软件的套数,这就需要资产管理软件。相反地,也有企业导入NAC来检查使用者有无安装资产管理软件,没有安装资产管理软件就禁止连上网络,这就是NAC可以做到的管制。
NAC的现况目前绝大部分的企业用户在使用NAC管控的现况,是做IP和MAC的结合(binding),但是只能解决部分存取控管需求,且在导入时会比较辛苦,因为当企业规模庞大时,就必须统计所有终端设备及MAC地址,再对应到所有交换器上,是一件辛苦繁琐的工作。「首先需要一个很大的架构表来管理,而且当交换器要更换时,或是管理人员、终端计算机有异动时,甚至地址更换等,都会产生问题。」他说。
林佶骏表示,也有人用DHCP服务器的方式来管理,一样也有些缺点,例如虽然MAC可以binding,但是现在网络上能轻易下载到程序来更改MAC地址,任何用户都有可能做到更改自己计算机的MAC。此外,他也指出某个银行曾经发生过的例子,由于主管层级的IP上网站的权限较高,但是公司却侦测到在休假时IP还有流量,调查发现是有人冒用他的IP连接内网。
「以往单从交换器端及后端透过DHCP管理,除非将Port和MAC写死,否则难以管理用户端网络行为,但是大部分交换器并不会bind特定的MAC,因此当用户计算机连上网后,跟DHCP服务器沟通MAC地址,但是却已经偷改成别的IP,交换器也不会知道,因此又是另一个漏洞的出现。」他指出,现在网络如此发达,用户接触越来越多信息可以在Client造成IT部门的困扰,企业禁止使用P2P、IM或Blog等,但是却还是有很多企业员工想办法偷用。
NAC已经推行多年,但是以往并没有比较好的解决方案,都只能用这些有管理漏洞存在的基础架构解决方案,林佶骏归纳原因有几个;首先,NAC目前在市面上简单区分为几种类型,第一类为所有交换器都要同一厂牌供货商的情况才能做到比较好的内网存取管控,但是多数企业,例如制造业以成本为导向,很难将交换器全部以同一原厂来采购,除非是预算够高且相当愿意投资的企业才有可能。
另一类型NAC是透过In-line模式的设备,或是用OOB(Out of band)的设备远程管理,但是需要交换器的支持,或是透过部署VLAN的设备来达成NAC,总归都是要透过其他设备来做。
若两台电脑均为Win10系统,可通过自带的“快速助手”实现快速连接,具体方法如下:
1、Win10 开始菜单搜索“快速助手”打开应用;
2、如下图,若为远程控制方电脑,则选择“提供协助” 若为受控制方电脑,则在“获取协助“下方输入对方提供的安全连接代码。
注意:快速助手使用的是 Windows 的远程连接机制。在使用前,受连接方需要开启系统中的 “允许远程协助”的选项,才可以使用。 (此电脑-右键属性-远程设置)