日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

安全漏洞以及數(shù)據(jù)丟失事件越來(lái)越多，與此同時(shí)，非托管設(shè)備的數(shù)量也在迅速增加，這導(dǎo)致許多企業(yè)開(kāi)始采用網(wǎng)絡(luò)訪問(wèn)控制技術(shù)（NAC），以此監(jiān)視那些經(jīng)常連接到他們公司網(wǎng)絡(luò)的非公司設(shè)備。NAC技術(shù)具有對(duì)所有用戶進(jìn)行身份認(rèn)證的能力，并且能夠確保他們的終端設(shè)備滿足最低的網(wǎng)絡(luò)安全要求以及規(guī)則遵從要求。

然而，雖然NAC能夠幫助人們隔離惡意設(shè)備，但是它往往不能對(duì)同一個(gè)網(wǎng)絡(luò)上的大多數(shù)非計(jì)算（non-computing）設(shè)備進(jìn)行識(shí)別和分類(lèi)。

非計(jì)算終端設(shè)備有時(shí)被稱為“笨設(shè)備（dumb devices）”，比如IP電話以及打印機(jī)等，對(duì)它們進(jìn)行追蹤并且分類(lèi)非常的困難。由于這些設(shè)備的存在，越來(lái)越多的安全職業(yè)人員在審計(jì)中遭遇失敗，因?yàn)檫@些設(shè)備可以允許惡意用戶騙取資源，繞過(guò)控制，并取得未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問(wèn)。此外，缺少這種設(shè)備的“終端發(fā)現(xiàn)策略”導(dǎo)致設(shè)備記錄會(huì)由不同的軟件進(jìn)行管理，并且會(huì)出現(xiàn)在不同的數(shù)據(jù)庫(kù)中。

終端設(shè)備指紋識(shí)別是解決這個(gè)問(wèn)題的好辦法。終端設(shè)備指紋識(shí)別可以讓NAC產(chǎn)品去收集非傳統(tǒng)網(wǎng)絡(luò)終端設(shè)備的IP和MAC地址，并且跟公司的身份驗(yàn)證、授權(quán)和賬戶控制服務(wù)器上的內(nèi)容相比較，從而發(fā)現(xiàn)、分類(lèi)并監(jiān)視他們，以此確認(rèn)它們的分類(lèi)或者設(shè)備類(lèi)型，以及它們?cè)诰W(wǎng)絡(luò)中的位置等。

Forrester Research公司認(rèn)為，當(dāng)終端設(shè)備指紋識(shí)別作為NAC產(chǎn)品的一項(xiàng)功能時(shí)，這項(xiàng)技術(shù)有助于對(duì)網(wǎng)絡(luò)附帶的終端設(shè)備（比如散布在網(wǎng)絡(luò)中的IP電話、HVAC系統(tǒng)、標(biāo)記閱讀器（badge reader）、IP監(jiān)視攝像機(jī)，以及智能儀表等等）進(jìn)行自動(dòng)化安全性能分析以及操作管理?，F(xiàn)在，有些NAC供應(yīng)商把終端設(shè)備指紋功能內(nèi)置在他們的產(chǎn)品中，有些則與其他廠商開(kāi)展合作來(lái)使用這個(gè)技術(shù)。

假設(shè)你的企業(yè)已經(jīng)選擇了一款能夠提供終端設(shè)備指紋識(shí)別的NAC安全產(chǎn)品，那么進(jìn)行終端設(shè)備指紋識(shí)別有四個(gè)步驟：

步驟1：確定問(wèn)題之所在

在開(kāi)始進(jìn)行發(fā)現(xiàn)或者監(jiān)控之前，請(qǐng)決定你想要完成的任務(wù)?？傊?，就是要確定關(guān)鍵問(wèn)題是什么，或者說(shuō)你需要解決的問(wèn)題是什么？如果網(wǎng)絡(luò)是靜態(tài)的，即意味著會(huì)有大量的終端設(shè)備需要識(shí)別，或者不同的地方記錄了大量的未識(shí)別設(shè)備，那么首先要開(kāi)啟發(fā)現(xiàn)功能。如果你有一個(gè)動(dòng)態(tài)的網(wǎng)絡(luò)，即意味著你的網(wǎng)絡(luò)上會(huì)經(jīng)常出現(xiàn)新的設(shè)備，那么請(qǐng)開(kāi)啟終端設(shè)備監(jiān)控。

步驟2：創(chuàng)建一個(gè)設(shè)備清單

IT安全和操作人員通過(guò)開(kāi)啟設(shè)備發(fā)現(xiàn)和目錄功能就可以減少數(shù)周的手工勞動(dòng)。為什么呢？從本質(zhì)上講，這個(gè)功能會(huì)自動(dòng)掃描網(wǎng)絡(luò)并找到所有連接的終端設(shè)備，包括計(jì)算以及非計(jì)算設(shè)備，認(rèn)證的以及非認(rèn)證的設(shè)備等，掃描之后會(huì)得到一個(gè)集中的設(shè)備清單。對(duì)于一個(gè)大型企業(yè)來(lái)說(shuō)，非計(jì)算設(shè)備的數(shù)量至少會(huì)與傳統(tǒng)計(jì)算設(shè)備的數(shù)量一樣多（甚至有時(shí)會(huì)多兩到三倍），這很正常。

步驟3：確定位置并驗(yàn)證身份

下一步就是利用一個(gè)包含位置和身份的拓?fù)浣Y(jié)構(gòu)來(lái)擴(kuò)大這個(gè)現(xiàn)存設(shè)備以及新設(shè)備的清單。最初，你只能夠收集到靜態(tài)以及動(dòng)態(tài)IP地址和媒體訪問(wèn)控制（MAC）地址。然而，隨著計(jì)算環(huán)境變得越來(lái)越好，你將能夠查看ARP表格、打印服務(wù)、以及網(wǎng)頁(yè)服務(wù)器信息等，從而收集其他信息。

一旦終端設(shè)備指紋識(shí)別系統(tǒng)收集到了IP地址以及MAC地址，就可以通過(guò)LDAP將這個(gè)信息與身份認(rèn)證、授權(quán)，以及賬戶服務(wù)器上的內(nèi)容相比較，以確定設(shè)備的位置并且驗(yàn)證設(shè)備身份。這讓網(wǎng)絡(luò)安全團(tuán)隊(duì)能夠監(jiān)控訪問(wèn)中的所有變化。如果一個(gè)設(shè)備被移除，而另一個(gè)設(shè)備連接到該端口，這個(gè)變化就會(huì)被標(biāo)記，并且會(huì)給管理系統(tǒng)發(fā)送一個(gè)警報(bào)。

步驟4：監(jiān)控并且發(fā)送警報(bào)

對(duì)于任何擁有動(dòng)態(tài)環(huán)境（在這種環(huán)境下設(shè)備經(jīng)常改變他們的NIC和OS）的企業(yè)來(lái)說(shuō)，持續(xù)不斷的監(jiān)控非常有價(jià)值。這個(gè)功能不僅監(jiān)測(cè)MAC欺騙、集線器插入、端口交換，以及配置文件的改變，而且還可以用各種方式進(jìn)行部署。例如，你可以創(chuàng)建配置文件為第二層到第七層選擇操作模式、收集網(wǎng)絡(luò)流量數(shù)據(jù)，或者為先進(jìn)的監(jiān)控集成SNMP等。

終端設(shè)備指紋識(shí)別在有些虛擬環(huán)境（工作負(fù)載分享在單個(gè)物理終端上，并且經(jīng)常被移動(dòng)）中同樣非常有用。在這種情況下，F(xiàn)orrester公司推薦企業(yè)選擇比如Vmware 公司的Vmotion或者Xen公司的Life Motion這樣的服務(wù)。此外，如果這些企業(yè)在網(wǎng)絡(luò)中擁有現(xiàn)成的安全信息和事件管理（SIEM），或者入侵防護(hù)系統(tǒng)（IPS）設(shè)備，那么這種監(jiān)控將非常的有用，因?yàn)樗軌蚪o這些系統(tǒng)發(fā)送警報(bào)，并能關(guān)聯(lián)這些信息。

終端設(shè)備指紋識(shí)別對(duì)于企業(yè)安全職業(yè)人員來(lái)說(shuō)是必須的技術(shù)工具。NAC往往不能對(duì)所有的企業(yè)IP地址連接設(shè)備進(jìn)行深入的掃描，而資產(chǎn)管理工具則過(guò)于廣泛，以至于它們沒(méi)有處理打印機(jī)、IP電話、HVAC系統(tǒng)等設(shè)備的具體政策。終端設(shè)備指紋識(shí)別彌補(bǔ)了這些技術(shù)的缺點(diǎn)，特別有助于對(duì)NAC的部署，因?yàn)樗梢园l(fā)現(xiàn)基于IP的終端設(shè)備，并對(duì)其進(jìn)行分類(lèi)和監(jiān)視。  

【編輯推薦】

1. 專題：NAC安全訪問(wèn)控制
2. 終端安全系列談：準(zhǔn)入控制保障“內(nèi)網(wǎng)合規(guī)”

文章題目：如何改善“笨設(shè)備”的NAC安全性？
轉(zhuǎn)載來(lái)源：http://www.dlmjj.cn/article/dhjiohg.html