安全漏洞以及数据丢失事件越来越多,与此同时,非托管设备的数量也在迅速增加,这导致许多企业开始采用网络访问控制技术(NAC),以此监视那些经常连接到他们公司网络的非公司设备。NAC技术具有对所有用户进行身份认证的能力,并且能够确保他们的终端设备满足最低的网络安全要求以及规则遵从要求。
然而,虽然NAC能够帮助人们隔离恶意设备,但是它往往不能对同一个网络上的大多数非计算(non-computing)设备进行识别和分类。
非计算终端设备有时被称为“笨设备(dumb devices)”,比如IP电话以及打印机等,对它们进行追踪并且分类非常的困难。由于这些设备的存在,越来越多的安全职业人员在审计中遭遇失败,因为这些设备可以允许恶意用户骗取资源,绕过控制,并取得未经授权的网络访问。此外,缺少这种设备的“终端发现策略”导致设备记录会由不同的软件进行管理,并且会出现在不同的数据库中。
终端设备指纹识别是解决这个问题的好办法。终端设备指纹识别可以让NAC产品去收集非传统网络终端设备的IP和MAC地址,并且跟公司的身份验证、授权和账户控制服务器上的内容相比较,从而发现、分类并监视他们,以此确认它们的分类或者设备类型,以及它们在网络中的位置等。
Forrester Research公司认为,当终端设备指纹识别作为NAC产品的一项功能时,这项技术有助于对网络附带的终端设备(比如散布在网络中的IP电话、HVAC系统、标记阅读器(badge reader)、IP监视摄像机,以及智能仪表等等)进行自动化安全性能分析以及操作管理。现在,有些NAC供应商把终端设备指纹功能内置在他们的产品中,有些则与其他厂商开展合作来使用这个技术。
假设你的企业已经选择了一款能够提供终端设备指纹识别的NAC安全产品,那么进行终端设备指纹识别有四个步骤:
步骤1:确定问题之所在
在开始进行发现或者监控之前,请决定你想要完成的任务。总之,就是要确定关键问题是什么,或者说你需要解决的问题是什么?如果网络是静态的,即意味着会有大量的终端设备需要识别,或者不同的地方记录了大量的未识别设备,那么首先要开启发现功能。如果你有一个动态的网络,即意味着你的网络上会经常出现新的设备,那么请开启终端设备监控。
步骤2:创建一个设备清单
IT安全和操作人员通过开启设备发现和目录功能就可以减少数周的手工劳动。为什么呢?从本质上讲,这个功能会自动扫描网络并找到所有连接的终端设备,包括计算以及非计算设备,认证的以及非认证的设备等,扫描之后会得到一个集中的设备清单。对于一个大型企业来说,非计算设备的数量至少会与传统计算设备的数量一样多(甚至有时会多两到三倍),这很正常。
步骤3:确定位置并验证身份
下一步就是利用一个包含位置和身份的拓扑结构来扩大这个现存设备以及新设备的清单。最初,你只能够收集到静态以及动态IP地址和媒体访问控制(MAC)地址。然而,随着计算环境变得越来越好,你将能够查看ARP表格、打印服务、以及网页服务器信息等,从而收集其他信息。
一旦终端设备指纹识别系统收集到了IP地址以及MAC地址,就可以通过LDAP将这个信息与身份认证、授权,以及账户服务器上的内容相比较,以确定设备的位置并且验证设备身份。这让网络安全团队能够监控访问中的所有变化。如果一个设备被移除,而另一个设备连接到该端口,这个变化就会被标记,并且会给管理系统发送一个警报。
步骤4:监控并且发送警报
对于任何拥有动态环境(在这种环境下设备经常改变他们的NIC和OS)的企业来说,持续不断的监控非常有价值。这个功能不仅监测MAC欺骗、集线器插入、端口交换,以及配置文件的改变,而且还可以用各种方式进行部署。例如,你可以创建配置文件为第二层到第七层选择操作模式、收集网络流量数据,或者为先进的监控集成SNMP等。
终端设备指纹识别在有些虚拟环境(工作负载分享在单个物理终端上,并且经常被移动)中同样非常有用。在这种情况下,Forrester公司推荐企业选择比如Vmware 公司的Vmotion或者Xen公司的Life Motion这样的服务。此外,如果这些企业在网络中拥有现成的安全信息和事件管理(SIEM),或者入侵防护系统(IPS)设备,那么这种监控将非常的有用,因为它能够给这些系统发送警报,并能关联这些信息。
终端设备指纹识别对于企业安全职业人员来说是必须的技术工具。NAC往往不能对所有的企业IP地址连接设备进行深入的扫描,而资产管理工具则过于广泛,以至于它们没有处理打印机、IP电话、HVAC系统等设备的具体政策。终端设备指纹识别弥补了这些技术的缺点,特别有助于对NAC的部署,因为它可以发现基于IP的终端设备,并对其进行分类和监视。
【编辑推荐】