受移动化影响,每时每刻,不同终端在企业内网与外网之间进进出出,这些终端是否是企业授权的?安全是否合规?由谁在使用? 大部分企业仍采用以防火墙为中心的内外网安全防护,对终端身份及安全合规性处于模糊状态。虽然市面上已经出现不少终端准入管理产品,但涉足Linux终端安全管控的则少之又少。宁盾新一代终端准入(NAC)基于Forrest的“Zero Trust Model”,不信任访问企业业务的任何终端,直到终端完成身份与安全合规性校验。
为更好的检测Linux终端安全合规性状态,宁盾提供Linux32/64位客户端安全检测工具,通过可视化及自动化过滤欲接入企业网络的非合规终端:
• 通过可视化发现并识别访问企业业务的所有IP终端;
• 入网身份认证;
• Linux客户端合规性检测;
• 终端准入控制示例:以是否安装“Linux-image4.15的”为Linux电脑终端准入的条件;
• U盘管控;
• 防私接;
• 网络拓扑可视化。
1、终端入网可视化
宁盾终端准入(NAC)在不改变网络架构的基础上,旁挂于核心交换机,主动探测入网的一切终端,通过直接或折叠的方式直观的方式展示于终端准入控制中台,实现终端可视化管理。
主视图
更多折叠信息
终端网络信息:MAC地址、IP地址、认证账号、域账号、终端类型、数据包、流量、首次入网时间、最后离网时间、网络来源;
Linux电脑基础信息:终端类型、操作系统、功能及作用、CPU占用率、剩余内存、总内存;
终端安全信息:是否安装客户端、补丁版本是否更新、是否安装杀毒软件、病毒库是否过期、安装了那些应用、运行着那些应用等。
2、终端入网身份认证
随着WiFi覆盖面积扩大,万能钥匙、虚拟热点等致使接入网络的身份不受控制,再加上WPA2认证使用同一个账号和密码,企业无法将接入网络的终端与身份进行匹配,更无法根据用户身份审计上网行为。因此,宁盾为员工提供Portal账号密码认证及802.1X认证,同时为弱账号密码提供账号密码加固方案;更多访客认证可咨询:宁盾网络认证方案
3、Linux客户端合规性检测
面向Linux系统,宁盾客户端(User Connecter)提供32位/64位客户端,用于检测电脑是否安装杀毒软件、是否安装企业必须的应用,补丁版本是否更新,是否认证,是否安装客户端,CPU占用率、剩余内存等;
检测终端安装的合规应用:
4、终端准入控制示例:以是否安装“Linux-image4.15的”为Linux电脑终端准入的条件
检测:以是否安装“Linux-image4.15”为例,主动监测终端installed software项目是否安装“Linux-image4.15”;
控制:检测所有接入该网段中的终端的终端类型,对已经安装应用“Linux-image4.15”的终端通过Vlan调控至Vlan116;
隔离:同时,通过Vlan或其他手段将未安装 “Linux-image4.15”的终端自动化隔离至外网。
终端准入控制条件及策略:
安装Linux-image4.15的合规终端的检测结果:
5、U盘安全管控
• 主动检测U盘序列号(识别码)防止非授权U盘接入企业终端;
• 控制U盘的读写状态:禁止读写、只读不可写入、可读写操作。
6、防私接
• 虚拟网卡防私接:基于虚拟网卡自动检测终端是否开启热点或是否使用万能钥匙,并对开启虚拟网卡的终端进行自动隔离及断网;
• 防私接路由:通过User Agent扫描终端操作系统,检测终端操作操作系统类型,对多余1个操作系统的终端进行安全过滤及管控。
7、网络拓扑可视化
通过可视化网络拓扑,查看每个交换机上连接了哪些AC和AP,每个AP上连接了多少终端等,帮助企业实现合理的分配网络资源,优化老旧过度使用的网络设备,减少不必要的终端浪费。
同时还可快速定位终端位置,帮助运维人员解决非自动化终端问题,比如摄像头等IoT设备。
基于“零”信任安全架构,宁盾新一代终端准入控制不信任未经检测就访问企业业务的一切终端。通过可视化及自动化“检测-控制-隔离”非合规终端,实现企业对终端身份及安全合规的双重信任。
来源:freebuf.com 2019-01-23 19:12:52 by: 宁盾nington
请登录后发表评论
注册