宁盾物联网终端准入之防私接解决方案 – 作者:宁盾nington

企业移动化进程中,因缺乏管理工具,员工私开热点、私接路由现象屡禁不止,不仅给企业运维造成管理负担,还增加了企业信息资产泄漏的风险。私接路由及非法热点可导致:

•    占用网络带宽,员工上网速度变慢;

•    无法验证私接终端的合规及安全性,威胁企业网络安全;

•    私接路由发射的无线信号与企业原网络信号相互干扰,原网络速度变慢;

•    非技术人员还可因错误连接而导致网络瘫痪。

私接情况主要分为两类:路由私接和私开热点蹭网。宁盾新一代终端准入方案可通过可视化发现并识别接入网络的一切IP终端,通过自动化检测-控制-隔离,自动过滤私接的路由设备或开启热点的终端,帮助企业自动防私接,实现透明可视的自动化终端管理。


可视化识别并发现接入网络的一切IP终端

宁盾终端准入主动探测并识别接入网络的各种电脑、手机、switch、rooter、printer、camera等等,并以直观或折叠的方式将其展示于ND ACE中台。在未经准入策略隔离的情况下,私接路由、私开热点的终端因存在多个操作系统而无法被识别,因此以Unknown的形式存在。

宁盾可视化终端准入主动探测并识别接入网络的一切终端.jpg

防私接第一步:主动检测并识别私接设备

经过对私接路由、私开热点及万能钥匙蹭网的分析,虚拟网卡和操作系统的多样性是区分私接设备与正常终端的主要因素。因此宁盾终端准入主动检测终端是否开启虚拟网卡,检测终端操作系统是否唯一,以此确认终端是否为私接设备。

1、虚拟网卡检测:

检测终端是否开启虚拟网卡;

2、操作系统多样性检测:

通过User Agent,宁盾终端准入主动探测终端的操作系统类型,正常情况下,一个IP终端只有一个操作系统,合规路由、交换机设备可存在多个操作系统。私接路由因桥接于网络中,挂在某个网口处,所以会出现一个IP下多个操作系统共存的状态。如下图,我们可以看到宁盾终端准入设备检测到某私接设备的User Agent的操作系统包括:Mac OS、 windows、iPhone OS(iOS)等多个操作系统。

宁盾终端准入之防私接方案:私接终端操作系统多样性检测.jpg

防私接第二步:设置防私接控制策略

设置终端准入策略,在规定网段内,如果开启虚拟网卡或User Agent出现windows、Linux/unix、MacOS、iOS、Android等操作系统的两个及两个以上,则认为该设备为私接设备。

宁盾终端准入之防私接方案:防私接控制策略设置.jpg

防私接第三步:根据控制策略自动隔离私接路由及终端

一旦终端准入引擎确认私接设备后,便调用Vlan、Virtual Firewall等安全措施对私接路由、终端进行自动隔离断网操作,同时通知用户“关闭热点或拔掉私接路由”。

宁盾终端准入之防私接方案:自动隔离私接路由及终端.jpg

防私接第四步:通过可视化网络拓扑即使定位终端位置并进行警告通知

防私接的前三步“检测、控制、隔离”可通过一体化自动实现。另外还可通过可视化网络布局,及时定位私接路由及终端的位置,确定位于那个Switch的哪个AC的哪个端口或Vlan,依此确认位于哪个部门的什么位置,并给予通告及处分处理。

宁盾终端准入之防私接方案:可视化网络拓扑.jpg 

与传统运维手段相比,宁盾终端准入可通过自动处理私接及蹭网现象,主动屏蔽BYOD及非法终端的接入,节约运维管理成本,提升整体办公效率,实现终端的可视化管理和合规性准入。更多终端管理解决方案可在宁盾网站查看和咨询。

来源:freebuf.com 2019-01-28 17:45:10 by: 宁盾nington

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论