微软最近宣布,即将进军检疫系统市场。该公司从2005年起将依次在其os中嵌入可根据pc安全对策状况决定是否允许该pc接入正规lan的技术。其目的是防患于未然,避免接入vpn的pc和带入企业内部的笔记本电脑造成病毒危害。
微软将自2005年起分阶段地在windows server 2003中嵌入用于构筑检疫系统的功能。
首先,将在计划2005年上半年开始提供的服务包1(sp1)中配备可根据pc安全对策状况决定是否允许其以vpn方式接入公司内部lan的功能。在继sp1之后计划2005年下半年提供的windows server 2003升级版“release2(以下简称r2,开发代号)”中将配备名为“network access protection(nap,网络访问保护)”、用于在vpn和公司内部lan中对联网pc进行检疫的功能。接下来,在windows server 2003的下一个主要升级版本“longhorn(开发代号)”中准备扩展基于nap的检疫功能。
提供用于实现上述检疫系统的功能是“建立在2002年1月发表的旨在实现计算环境安全的‘可信赖计算’架构基础之上的。日本微软安全响应小组安全技术主管小野寺匠认为,冲击波等可自动通过网络传播感染的蠕虫的出现也是配备此功能的原因之一”。
“检疫系统”是指在外部阻止冲击波等病毒危害的架构。并不分析是否感染了病毒,而是禁止没有适当安装安全补丁程序等感染可能性较高的pc接入网络。今年以来,nec和ntt数据尖端技术及日本networks等公司相继发布了此类产品和构筑服务。
在sp1中配备vpn检疫功能
sp1将要配备的vpn联网检疫功能实际上并非什么新鲜事物,就是windows server 2003资源工具包提供的用来生成拨号连接和vpn联网用自定义客户端程序的“连接管理器管理工具包(connection manager administration kit,cmak)”及服务器程序。资源工具包原本只是仅供参考之用。配备于sp1之后微软将正式提供支持。
连接管理器管理工具包生成的客户端程序除可以嵌入在pc上运行的脚本外,还可将其运行结果发送给vpn服务器。通过客户端程序连接vpn服务器后,首先利用脚本检查pc的安全对策状况,并将其内容发送给vpn服务器。所发送的信息如果与vpn服务器设置的安全政策不一致,就可拒绝vpn联网。
由于使用脚本,一方面能够完成各种任务,另一方面脚本生成越来越复杂已经成为使用此项功能的障碍,nap将对此加以改进。使用nap提供的api的防病毒软件将会自动检查pc的安全对策状况。管理员只需在服务器端设置“已经安装的安全补丁程序是否最新?”、“防病毒特征库是否最新?”等安全政策即可。
还将添加针对公司内部lan的检疫功能
另外,nap还将配备对即将接入公司内部lan的无对策pc进行检疫的功能。
其工作原理如下:pc在接入公司内部lan时与安全对策状况一起将dhcp请求发送给r2服务器(dhcp服务器)。安全对策状况使用radius发送给ias服务器(radius服务器),ias服务器对所接收到的对策状况同安全政策做比较,决定该pc是否能够接入正规lan。对于安全对策不充分的pc,将会分配一个只能访问防病毒服务器和补丁程序发布服务器的ip地址。
过去很多面向公司内部lan的检疫系统利用的是支持vlan认证的交换机。因此,“构筑成本高”(正在使用支持vlan认证的交换机提供检疫系统的某系统集成商),就成了用户企业导入检疫系统的一道难关。因为必须导入新的交换机,或者更换交换机。对于这一点,利用nap构筑检疫系统则不需要交换机。与使用交换机的检疫系统相比,构筑成本很可能非常便宜。
软件的支持是个未知数
另一方面,r2的亮相是一年以后的事。因此,作为支持nap的软件,目前什么都不好说。
作为nap,正如前面所讲的那样,需要防病毒软件等各类开发商提供支持nap应用程序接口(api)的软件。虽说7月13日有25家伙伴企业宣布将提供支持nap的产品,不过绝大多数伙伴企业要么表示“哪些产品将支持nap等详细情况目前尚未确定”(ids和个人防火墙软件开发商日本互联网安全系统公司),要么表示“具体的产品和服务计划目前尚未确定”(趋势科技)。
目前还有个别著名开发商尚未宣布支持nap。这就是美国思科系统。该公司已经正式实施检疫系统客户端计划——“network admission control(nac,网络准入控制)”。除该公司的路由器os已经支持nac外,与结盟的趋势科技已经推出支持nac的防病毒软件。目前用户企业已经可以使用nac,因此思科系统表示“只要有用户需求,就将无条件支持nap。不过眼下将继续推广nac”。
此外,也有人对r2的nap持怀疑态度,如有的检疫系统开发商提出:“微软提供的功能往往需要一段时间才能消化理解。希望马上导入检疫系统的用户企业能等到那个时间吗?”