网络安全 频道

如何保证企业网络中“裸露端点”之安全

  1.0版本的TNC CESP为基于网络的访问控制提供了多种访问请求机制。在标准的TNC模式中,访问请求者即是一个具备TNC客户端的终端。TNC CESP为缺乏TNC代理的系统提供了一种机制。在TNC CESP中,有两个访问请求者,通过TNC客户端或申请者寻求授权认可,如802.1X和支持使用端点MAC地址进行设备验证的策略执行点(PEP)。使用802.1X这样的标准则更为直接。这些选项有迹可循,策略选择点知道如何利用它对端点进行验证和授权。然而,当我们将系统MAC地址作为一种身份标识使用时,PEP便代替端点成为访问请求者。而这也就是TNC CESP提供的便利之处。

  许多供应商都有多种验证那些基于端点MAC地址端口的系统,而这个验证种类就是问题所在。你或许已经听说过MAC-bypass或MAC 验证的词汇。虽然它们的原理些许差异,但是却存在一个共同点,即它们都使用某种验证机制来验证端点。TNC CESP可以识别这些MAC验证系统,1.0版本的标准引导供应商选择基于RFC 3580的方法。通过使用验证端点的标准方法,NAC供应商可以获得更好的互用性,并提供更稳定的服务。部署一个标准简化了从静态供应网络到验证每个端点的过渡。基本的过渡就应该是这个样子。

  我们可以从这些打印机来谈端点识别。用户有两个基本选择,一是接受基于企业唯一识别符的所有打印机——这是识别设备厂商的MAC地址的前一部分内容。或者,你可以单独接受某一指定到你网络的打印机。虽然第一个选项更易于部署,但是不如按照已知列表接受系统那么严格。第二个选项更严格,可以要求NAC数据库更改控制机制。用户可以选择适合自己的解决方案。

  在确定了被允许的裸露端点后,可以确定访问控制方法以及系统具备怎样的访问。具体部署依据供应商的变化而变化,TNC CESP确定了以下验证机制:允许/拒绝,授权VLAN,授权Filter-ID。这些选项都将影响你的方案。

  考虑“允许/拒绝”选项。如何你想保护所供应的端口,此选项比较合适。以打印机为例,如果用户移除打印机,并将另一个设备进行连接,且没有对设备重新进行配置以便复制打印机的MAC 地址,那这个新设备将无法访问打印机网络。不过,这个选项缺乏动态配置网络端口,满足每个设备特殊需求的能力。

  VLAN和Filter-ID选项提供的控制选项与“允许/拒绝”相同,不过它还提供了网络端口以便支持基于其身份连接的设备。这样,连接了打印机的端口便可实施动态配置以满足网络扫描仪或其他办公室网络设备的需求,从而减少操作负担。Filter-ID选项允许特定供应商的部署被安置到接入设备上,如VLAN和基于端口的访问控制列表,以期对网络访问层提供更好的控制。

  这仅仅是对TNC CESP中验证选项进行了一个简要了解。还必须要讨论TNC CESP中将你的策略决策点与附加系统综合起来,以扩展无客户网络访问控制方案的选项:TNC IF-MAP。TNC IF-MAP是一项允许数据在TCG/TNC系统之间共享的标准。以CESP为例,你可能拥有一个端点分析器可以扫描网络上的系统。这一分析器或许可以识别系统并确定正常操作状态。如果一个系统以超越服务的方式允许,如笔记本以复制打印机的方式请求接入,那么分析器会通过TCN IF-MAP协议告诉PDP这一信息。因此,部署无客户NAC方案的时候可获取更高级别的控制,这有助于错误端点的检测。

  总结起来就是:

  1. TNC CESP为验证那些缺乏有效TNC 客户端的端点提供了一个标准。

  2. CESP中定义的MAC 验证为那些缺少客户端的系统减少了提供NAC的操作成本。

  3. 为所有终端授权提供了更高的可视度,使用户能了解系统访问网络的行为以及访问操作的级别。

  4. 这些技术通过对所有系统的授权认可改善了安全态势,而且它还能为服从性报告提供日志。

0
相关文章