随着现代计算机技术和网络通信技术的发展、融合,我们所理解的传统意义上的“终端”已经发生了变化,它不仅是网络中与网线连接的台式机、笔记本电脑以及服务器,还应包括智能手机、平板电脑、电子阅读器等各类新式的移动设备,而企业网络中的打印机、IP电话等也是不容忽视的“哑终端”。
企业网络是一个复杂的环境系统,既要保证其访问的便捷性,又要考虑对其进行安全的控制,而企业终端就是重点安全管控的对象之一。随着现代计算机技术和网络通信技术的发展、融合,我们所理解的传统意义上的“终端”已经发生了变化,它不仅是网络中与网线连接的台式机、笔记本电脑以及服务器,还应包括智能手机、平板电脑、电子阅读器等各类新式的移动设备,而企业网络中的打印机、IP电话等也是不容忽视的“哑终端”。
这些形形色色的终端给网络安全工作带来了巨大挑战:一方面它们类型众多,通过有线、无线、VPN等多种方式接入;另一方面,它们是网络中大部分事物的源头和起点——是用户登录并访问网络的起点,是用户访问应用系统并获取数据的起点,更是病毒传播、从内部发起的恶意攻击、内部保密数据盗用或失窃的起点。
因此,终端安全管理对每个企业来说都是非常重要的,良好的终端安全控制技术能够保证企业的安全策略真正得到实施,有效控制各种非法安全事件,确保企业网络安全。
1.1 从企业出入管理看终端的准入控制
企业网络内的终端类型纷繁多样,终端使用者的角色也错综复杂,传统的安全解决方案无法解决全面准入控制的难题。那么,我们不妨换个思路,以某企业为例,从比较成熟的企业出入管理方式中略窥门径,从中探索全面的终端安全控制之道,如图1和表1所示。
图1 企业出入管理概图
表1 企业对进入人员进行安全管控的样例
1、 覆盖全员的身份管理。在企业入口实施基于证件的身份检查,进入者只有通过身份校验,才能赋予访问企业的权利。覆盖全员的身份管理是企业出入管理的基础。
2、 基于策略的安全检查。企业各入口处对进入者根据既定策略进行身体健康、携带物品的安全检查,确保其不会对企业内部造成安全威胁。
3、 基于身份的权限控制。根据企业内部行政区域保密要求,根据访问者的身份进行权限限制,杜绝越权访问敏感区域的行为。
4、 全程审计和监控:结合门禁系统、摄像头等对企业出入情况进行全面监控,保证回溯有据。
由此可见,身份管理、安全检查、权限控制、监控审计是保障企业安全的四个关键点,企业网络对终端实施全面的安全控制同样遵循类似的原则(如图2所示)。
对企业终端接入网络的管理最关键的一点就是建立覆盖全员的身份管理,通过建立用户实名管理机制,所有的用户、接入终端都必须实名接入网络。通过该管理机制,可以弥补现实与网络虚拟世界之间的鸿沟,以便保证网络中的安全问题都可以精确定位和追根溯源,这样就可以建立对网络违规和非法行为的威慑力,确保用户在网络的各项行为都严格按照管理要求进行,最终消除内网安全问题的隐患。基于 RADIUS协议的终端准入控制技术是业界成熟的终端实名接入控制方案。终端准入控制系统为企业所有员工、外部员工、访客(提供访客登记管理)分配基于真实身份的接入账号。接入者使用企业终端通过802.1X、Web Portal、VPN等接入方式访问网络时,必须输入真实的账号和密码,经终端准入控制系统验证后,才允许接入企业网络。
除基本的身份验证外,终端准入控制系统还可对接入终端实施安全检查,对于不符合企业既定安全策略的终端通过网络隔离、拒绝接入等方式处理,阻断不安全终端对企业网络的影响。
接入终端通过身份认证和安全检查后,终端准入控制系统根据接入终端的身份,对接入的网络设备下发VLAN、ACL来控制终端的网络访问范围,防止接入终端对网络的越权访问。
终端准入控制系统提供对终端接入的监控和审计,管理员不仅可以看到接入终端的实时在线状态,还可以通过下线、黑名单等手段对终端进行实时控制。如图2所示,通过终端准入控制技术的实施,企业统一身份的策略中心得以提供企业运营策略与网络之间策略诠释,也使得企业运营策略可以被快速部署到网络接入的不同层面。而网络层面结合人物角色、接入终端、接入方式等确保运营业务与接入者身份的关联性。
图2 企业网络运营策略通过终端准入控制得以实施
1.2 剖析多类型终端的准入控制
终端准入控制在企业的部署虽然保证了企业终端接入网络时,都必须经过身份认证、安全检查、权限控制、监控审计四个层面的安全控制,但是由于企业终端类型的多样性,实施的身份验证方法、接入方式、安全策略也往往有所差异。简单来说,如图3所示,企业终端可分为PC、服务器、哑终端、移动智能终端四种类型,下面具体介绍每种类型的终端对应的准入控制方式。
图3 企业终端类型
1.2.1 对PC的终端准入控制
大多数企业采用安装了Windows操作系统的台式机、便携机作为办公电脑。网络接入方式上以有线网络及VPN为主体,而无线网络作为辅助。这种情况下,对于PC的网络接入管理一般采用为PC安装安全认证代理方式,根据企业网络接入控制点的位置,灵活采用802.1X、Web Portal、L2TP VPN等方式接入网络。在这种认证环境下,身份认证的手段也非常多样,除了传统的用户名/密码认证外,对于需要特殊管控的账号,可以要求采用智能卡、数字证书等方式进行身份认证。同时可以要求PC在认证时提供“绑定信息”作为身份标识的附属品,例如IP、MAC地址、接入设备的IP和端口、主机的域用户名及计算机名等。
Windows主机是目前存在最多安全隐患的操作系统,因此对其网络接入后的安全检查需要是最严格的,一般需要检查的项目有:
·防病毒软件的安装及版本升级;
·系统漏洞的修复;
·注册表监控;
·黑白软件的安装、运行;
·操作系统弱密码;
·多网卡、内网外联的能力。
如果某终端不符合企业既定的安全策略,准入控制系统应通过隔离、下线等手段控制该终端接入企业的正常网络,阻止该终端对企业网络带来潜在的安全威胁。
对于Linux、Mac OS这些操作系统,安全漏洞则相对较少,因此对这些操作系统的安全检查项相对简单,主要包括:
·防病毒软件的安装;
·软件进程、服务、文件的检查。
终端经过身份认证、安全检查接入网络后,可根据其身份下发已配置的VLAN、ACL到接入设备的端口上,对接入终端进行访问权限控制。对于某些网络精细化的管理要求,还可配置主机防火墙规则下发到终端安装的安全代理软件上,对接入终端的访问行为进行严格管控。
1.2.2 对服务器的终端准入控制
企业中的服务器一般是统一放置在数据中心的机房内,网络接入控制不能套用PC机的接入控制方式。服务器的IP地址、接入的设备端口一般都是固定不变的,对于网络的稳定性要求上比较高,出现网络通断会对运行于其上的业务系统造成重大影响。因此,服务器并不能使用传统的802.1X、Web Portal认证的方式去统一管理。
对于服务器接入这种情况,可通过管理系统的IP MAC绑定技术进行控制。通过在管理系统上配置服务器MAC地址与接入设备的IP、端口绑定,实行“白名单”制度。
管理系统会根据制定的白名单对接入服务器的设备进行自动扫描,当发现某端口上的接入MAC不属于“白名单”范围内时,一方面会产生“异常接入明细”和告警向管理员进行报告,另一方面可根据已配置的处理策略,对非法接入的端口进行关闭,以避免非法的终端利用服务器的“免认证”漏洞接入企业网络。
1.2.3 对哑终端的终端准入控制
企业网络中非传统IP设备,即哑终端的数量和种类在不断地增加,例如打印机、IP电话等,这些设备一般安放在企业的多个位置。由于这些哑终端并无通用操作系统,因此无法通过802.1X或Web Portal认证对其进行准入控制。但如果将哑终端的接入端口设置为免认证,这无疑给企业网络的全面接入控制留下了一个漏洞。企业内部人员可以利用该免认证端口接入PC,从而逃避企业准入控制的安全要求。因此,哑终端也应该拥有身份信息,并对其网络接入权限进行控制。
哑终端设备可以采用MAC地址认证技术进行网络接入认证,即把哑终端的MAC地址作为其身份到企业准入控制系统进行统一认证。在哑终端接入企业网络时,接入设备在首次检测到哑终端的MAC地址以后,接入设备将作为RADIUS客户端,将检测到的用户MAC地址作为用户名和密码发送给企业准入控制系统,与企业准入控制系统配合完成MAC地址认证操作。企业准入控制系统完成对该MAC地址的认证后,认证通过的哑终端可以访问网络。
由于哑终端无通用操作系统,故其自身很少存在危害企业网络的安全漏洞。因此对哑终端的安全控制主要体现在对它接入企业网络后的访问范围。通过身份认证后,如果在准入控制系统上配置了哑终端受限的VLAN或ACL,则接入设备会根据准入控制系统授权的VLAN或ACL对用户所在的端口进行控制,从而限制其访问范围。
1.2.4 对移动智能终端的终端准入控制
iPhone、iPad、BlackBerry到Android,智能终端的兴起已经是不可阻挡的趋势,似乎每周都会有一个新的移动设备诞生。如果企业搭建了无线网络,公司员工就会试图把这些智能手机、平板电脑接入企业的无线网络,企业不得不面对移动智能终端引入的安全风险。如何对这些移动智能终端进行网络接入控制,答案还是只有一个:将移动终端纳入基于身份的终端接入认证体系。
由于不能在智能手机、平板电脑上安装智能客户端对其进行网络认证和安全控制。所以移动智能终端一般通过基于无线的Web Portal认证来接入企业网络。当用户在移动智能终端浏览器中输入访问的URL时,接入控制设备会将重定向至企业内部的Web认证页面,只有输入分配给智能终端的账号、密码进行验证后,该智能终端才可接入企业网络。为进一步保证合法智能终端才能接入企业无线网络,身份认证时可以要求绑定接入的SSID、智能终端的IP地址以及交换机端口等,确保智能终端网络身份的真实性。由于对移动终端的技术控制,目前业界还未行成相应的标准,因此对智能终端应该通过对接入设备下发VLAN或ACL来严格控制其访问范围,尽量减小智能终端对企业网络的影响。
智能终端系统,从苹果的iOS到谷歌的Android等等,目前所呈现的安全漏洞问题并不多,当下很难对企业网络产生冲击。因此目前的阶段,对移动终端的主机安全可以不作安全检查要求。但是随着移动智能终端在企业网络的不断普及,其自身的安全性将逐渐成为企业网络值得重视的问题。
1.3 结束语
终端准入控制技术彻底改变了原有网络安全管理与用户管理、终端管理相脱节的局面,通过建立终端、用户与网络之间接入控制系统,构建起网络安全防御环,从而革命性地改变了企业网络架构,使企业网络的安全性上了一个新的台阶。
终端管理问题千头万绪,但只要抓住准入这一关键点,保证终端安全制度可以实施起来,让每个用户都养成良好的习惯,并融入其他的安全技术和管理技术,建立主动防御的安全体系,在实践中不断完善,这就是终端安全管理的可行之道。
终端安全管理,从终端准入控制开始。
