网络安全 频道

如何保证企业网络中“裸露端点”之安全

  “裸露的端点”指的是受附于网络,没有类似NAC代理等管理代理的系统。这样的系统曾以访问控制决定获取信息。在你的网络中,可能存在大量端点都缺乏此功能,如打印机,VoIP电话,开启IP的门锁,HVAC系统等。这些无客户端设备的共同点在于他们都不属于某个单独用户,而且具备不适应第三方代理的以设备为核心的操作系统。常见的做法是对这些设备实施管理,将其网络端口设置为开放式连接,而这样就回避了NAC部署提供的安全。

  如果你已经部署了一个基于TCG TNC标准的NAC方案,那么你可以在所管理的系统中安装代理,而不是在裸露的系统上安装代理。你虽能从客户的安装中受益,但是可能最多会为裸露的端点提供静态访问控制。许多终端用户一直在寻求一种能为无客户系统提供动态准备访问控制的机制,但是供应商却没有为他们提供相应的方法,通常他们只是通过不同的产品线提供部署。由于缺乏配置标准,所以很难保证你所完成的安全配置就是你希望的部署。幸好,TCG TNC 还提供了一种新的标准,用来协助我们完成这样一项任务——TCG/TNC 无客户终端配置支持。

  TNC无客户终端的配置支持,简称CESP,它提供了一个标准化架构用于协助缺少兼容ECG/TNC网络访问控制方案的端点认可,如打印机。虽然你可能实施的是静态管理次访问,但是管理这种访问的成本是多少?客户需要为这样的访问等待多久呢?正如前面提到的,缺乏一个基于标准的方法增大了管理客户端的工作,而且也增加了安全风险。通过实施标准的方法对无客户端系统进行认可可控制,就等于在跨厂商的产品间建立起了通用配置。这样在使网络接受无客户终端控制的同时还可以减少管理成本。

  这里说的不仅仅是成本,还涉及到管理的安全态势。有了静态部署,如为打印机VLAN配置打印机端口,任何插入该端口的色还不都可以访问打印机VLAN。听起来似乎很好——这是一台打印机。到底有多少把戏藏在访问之后呢?不妨考虑一下:其他无客户设备,如IP安全摄像头,VoIP电话和IP功能门锁。无客户端设备的增长,被静态配置的网络端口的增长都会造成越来越多让设备不遭受访问质疑的安全域。其后果是威胁安全和行业法规。

  1.0版本的TNC CESP为基于网络的访问控制提供了多种访问请求机制。在标准的TNC模式中,访问请求者即是一个具备TNC客户端的终端。TNC CESP为缺乏TNC代理的系统提供了一种机制。在TNC CESP中,有两个访问请求者,通过TNC客户端或申请者寻求授权认可,如802.1X和支持使用端点MAC地址进行设备验证的策略执行点(PEP)。使用802.1X这样的标准则更为直接。这些选项有迹可循,策略选择点知道如何利用它对端点进行验证和授权。然而,当我们将系统MAC地址作为一种身份标识使用时,PEP便代替端点成为访问请求者。而这也就是TNC CESP提供的便利之处。

  许多供应商都有多种验证那些基于端点MAC地址端口的系统,而这个验证种类就是问题所在。你或许已经听说过MAC-bypass或MAC 验证的词汇。虽然它们的原理些许差异,但是却存在一个共同点,即它们都使用某种验证机制来验证端点。TNC CESP可以识别这些MAC验证系统,1.0版本的标准引导供应商选择基于RFC 3580的方法。通过使用验证端点的标准方法,NAC供应商可以获得更好的互用性,并提供更稳定的服务。部署一个标准简化了从静态供应网络到验证每个端点的过渡。基本的过渡就应该是这个样子。

  我们可以从这些打印机来谈端点识别。用户有两个基本选择,一是接受基于企业唯一识别符的所有打印机——这是识别设备厂商的MAC地址的前一部分内容。或者,你可以单独接受某一指定到你网络的打印机。虽然第一个选项更易于部署,但是不如按照已知列表接受系统那么严格。第二个选项更严格,可以要求NAC数据库更改控制机制。用户可以选择适合自己的解决方案。

  在确定了被允许的裸露端点后,可以确定访问控制方法以及系统具备怎样的访问。具体部署依据供应商的变化而变化,TNC CESP确定了以下验证机制:允许/拒绝,授权VLAN,授权Filter-ID。这些选项都将影响你的方案。

  考虑“允许/拒绝”选项。如何你想保护所供应的端口,此选项比较合适。以打印机为例,如果用户移除打印机,并将另一个设备进行连接,且没有对设备重新进行配置以便复制打印机的MAC 地址,那这个新设备将无法访问打印机网络。不过,这个选项缺乏动态配置网络端口,满足每个设备特殊需求的能力。

  VLAN和Filter-ID选项提供的控制选项与“允许/拒绝”相同,不过它还提供了网络端口以便支持基于其身份连接的设备。这样,连接了打印机的端口便可实施动态配置以满足网络扫描仪或其他办公室网络设备的需求,从而减少操作负担。Filter-ID选项允许特定供应商的部署被安置到接入设备上,如VLAN和基于端口的访问控制列表,以期对网络访问层提供更好的控制。

  这仅仅是对TNC CESP中验证选项进行了一个简要了解。还必须要讨论TNC CESP中将你的策略决策点与附加系统综合起来,以扩展无客户网络访问控制方案的选项:TNC IF-MAP。TNC IF-MAP是一项允许数据在TCG/TNC系统之间共享的标准。以CESP为例,你可能拥有一个端点分析器可以扫描网络上的系统。这一分析器或许可以识别系统并确定正常操作状态。如果一个系统以超越服务的方式允许,如笔记本以复制打印机的方式请求接入,那么分析器会通过TCN IF-MAP协议告诉PDP这一信息。因此,部署无客户NAC方案的时候可获取更高级别的控制,这有助于错误端点的检测。

  总结起来就是:

  1. TNC CESP为验证那些缺乏有效TNC 客户端的端点提供了一个标准。

  2. CESP中定义的MAC 验证为那些缺少客户端的系统减少了提供NAC的操作成本。

  3. 为所有终端授权提供了更高的可视度,使用户能了解系统访问网络的行为以及访问操作的级别。

  4. 这些技术通过对所有系统的授权认可改善了安全态势,而且它还能为服从性报告提供日志。

0
相关文章