如何改善“笨設備”的NAC安全性?
安全漏洞以及數據丟失事件越來越多,與此同時,非托管設備的數量也在迅速增加,這導致許多企業開始采用網絡訪問控制技術(NAC),以此監視那些經常連接到他們公司網絡的非公司設備。NAC技術具有對所有用戶進行身份認證的能力,并且能夠確保他們的終端設備滿足最低的網絡安全要求以及規則遵從要求。
然而,雖然NAC能夠幫助人們隔離惡意設備,但是它往往不能對同一個網絡上的大多數非計算(non-computing)設備進行識別和分類。
非計算終端設備有時被稱為“笨設備(dumb devices)”,比如IP電話以及打印機等,對它們進行追蹤并且分類非常的困難。由于這些設備的存在,越來越多的安全職業人員在審計中遭遇失敗,因為這些設備可以允許惡意用戶騙取資源,繞過控制,并取得未經授權的網絡訪問。此外,缺少這種設備的“終端發現策略”導致設備記錄會由不同的軟件進行管理,并且會出現在不同的數據庫中。
終端設備指紋識別是解決這個問題的好辦法。終端設備指紋識別可以讓NAC產品去收集非傳統網絡終端設備的IP和MAC地址,并且跟公司的身份驗證、授權和賬戶控制服務器上的內容相比較,從而發現、分類并監視他們,以此確認它們的分類或者設備類型,以及它們在網絡中的位置等。
Forrester Research公司認為,當終端設備指紋識別作為NAC產品的一項功能時,這項技術有助于對網絡附帶的終端設備(比如散布在網絡中的IP電話、HVAC系統、標記閱讀器(badge reader)、IP監視攝像機,以及智能儀表等等)進行自動化安全性能分析以及操作管理。現在,有些NAC供應商把終端設備指紋功能內置在他們的產品中,有些則與其他廠商開展合作來使用這個技術。
假設你的企業已經選擇了一款能夠提供終端設備指紋識別的NAC安全產品,那么進行終端設備指紋識別有四個步驟:
步驟1:確定問題之所在
在開始進行發現或者監控之前,請決定你想要完成的任務。總之,就是要確定關鍵問題是什么,或者說你需要解決的問題是什么?如果網絡是靜態的,即意味著會有大量的終端設備需要識別,或者不同的地方記錄了大量的未識別設備,那么首先要開啟發現功能。如果你有一個動態的網絡,即意味著你的網絡上會經常出現新的設備,那么請開啟終端設備監控。
步驟2:創建一個設備清單
IT安全和操作人員通過開啟設備發現和目錄功能就可以減少數周的手工勞動。為什么呢?從本質上講,這個功能會自動掃描網絡并找到所有連接的終端設備,包括計算以及非計算設備,認證的以及非認證的設備等,掃描之后會得到一個集中的設備清單。對于一個大型企業來說,非計算設備的數量至少會與傳統計算設備的數量一樣多(甚至有時會多兩到三倍),這很正常。
步驟3:確定位置并驗證身份
下一步就是利用一個包含位置和身份的拓撲結構來擴大這個現存設備以及新設備的清單。最初,你只能夠收集到靜態以及動態IP地址和媒體訪問控制(MAC)地址。然而,隨著計算環境變得越來越好,你將能夠查看ARP表格、打印服務、以及網頁服務器信息等,從而收集其他信息。
一旦終端設備指紋識別系統收集到了IP地址以及MAC地址,就可以通過LDAP將這個信息與身份認證、授權,以及賬戶服務器上的內容相比較,以確定設備的位置并且驗證設備身份。這讓網絡安全團隊能夠監控訪問中的所有變化。如果一個設備被移除,而另一個設備連接到該端口,這個變化就會被標記,并且會給管理系統發送一個警報。
步驟4:監控并且發送警報
對于任何擁有動態環境(在這種環境下設備經常改變他們的NIC和OS)的企業來說,持續不斷的監控非常有價值。這個功能不僅監測MAC欺騙、集線器插入、端口交換,以及配置文件的改變,而且還可以用各種方式進行部署。例如,你可以創建配置文件為第二層到第七層選擇操作模式、收集網絡流量數據,或者為先進的監控集成SNMP等。
終端設備指紋識別在有些虛擬環境(工作負載分享在單個物理終端上,并且經常被移動)中同樣非常有用。在這種情況下,Forrester公司推薦企業選擇比如Vmware 公司的Vmotion或者Xen公司的Life Motion這樣的服務。此外,如果這些企業在網絡中擁有現成的安全信息和事件管理(SIEM),或者入侵防護系統(IPS)設備,那么這種監控將非常的有用,因為它能夠給這些系統發送警報,并能關聯這些信息。
終端設備指紋識別對于企業安全職業人員來說是必須的技術工具。NAC往往不能對所有的企業IP地址連接設備進行深入的掃描,而資產管理工具則過于廣泛,以至于它們沒有處理打印機、IP電話、HVAC系統等設備的具體政策。終端設備指紋識別彌補了這些技術的缺點,特別有助于對NAC的部署,因為它可以發現基于IP的終端設備,并對其進行分類和監視。
【編輯推薦】
