宁盾新一代终端与网络准入控制系统 – 作者:宁盾nington

每时每刻都有新的设备加入您的网络，未授权的笔记本、BYOD、访客终端及各种各样的IoT终端。越来越多的物联网及互联网OT设备向以IP为基础的IT设备转型。预计到2020年，全球将有270亿终端，其中100亿活跃于企业网络。

受移动化影响，内网对外开放接口引进云业务；Wi-Fi覆盖面积扩大，接入网络的身份未知；外网BYOD及访客终端开始进入内网，内外网边界逐渐模糊。传统以内外网边界为主的网络安全产品难以满足移动化及物联网发展趋势，由此引发了人们对于终端安全防护的思考：

如何知道企业内有哪些终端？

 如何确定终端的用户是谁？

 如何确定终端的安全性？

如何找到这些终端？

宁盾新一代终端准入（ND ACE）发现并识别企业业务范围内的一切IP终端，可视化统筹企业终端资产，快速定位终端位置及安全状态，通过“自动识别与检测”、“准入安全与自动隔离”、“第三方联动与安全信息共享”，为企业构筑终端可视化、管理自动化的安全准入管理平台。

通过可视化及自动化实现企业对终端及身份的准入信任

发现并识别接入企业的一切IP终端

实时检测并排除和控制风险性终端

通过网络认证实现用户身份及终端的统一

可视化统筹终端资产管理

一、宁盾终端准入：发现并识别接入企业的一切终端

1、终端发现与识别

从办公终端到数据中心、从云端到生产线终端，宁盾终端准入引擎（NDACE）主动探测接入网络的一切IP设备， 包括终电脑、手机、网络设备、服务器、生产IoT等的端类型、操作系统、设备厂商及用途、终端网路信息及安全状态。

2、基于业务的自动化分类

自定义业务模型标签及控制策略，当终端进入网络时，自动检测终端的否和条件，以此实现终端的自动化分类。比如：

办公区电脑类的控制策略是由widows、Linux、Mac三种终端类型相加再与办公区网络地址段混合而成；

防私接路由模型：则由一个IP地址与同时存在多个操作系统混合而成；

风险性终端模型：可能是多个业务模型的组合，比如没有更新补丁的业务or没有安装杀毒软件的业务or防私接路由模型、安装大型网游的业务模型等多个模型的组合。

3、可视化拓扑及终端定位

可视化全网网络拓扑，直观展示终端上下游结构，并快速定位终端位置：一个交换机上连接了多少AC，每个AC上连接多少AP，每个AP上连接了多少IoT等；

二、宁盾终端准入：实时检测、控制并排除风险性终端

宁盾终端准入根据不同的终端类型，检测及控制方式亦有所区别，对IoT及BYOD智能终端提供无代理的User Agent＋Nmap双重检测，电脑端则采用User Connector 客户端进行细粒度合规性检测。

1、无代理检测（User Agent＋NMAP）

终端类型：Windows电脑、Mac电脑、Linux电脑、Android Phone、iPhone、平板电脑、摄像头、IP电话、打印机、瘦客户机….

操作系统：Window、Linux、Mac OS、iOS、Android

设备厂商及用途：windows（小米、华为）、Mac、iPhone(苹果) 、Linux、AndroidPhone（小米、华为、oppo、vivo…）、摄像头（海康、大华）、IP电话、打印机（惠普、Browser）、瘦客户机（citrix）…

终端网络信息：MAC地址、IP地址、认证账号、域账号、操作系统、终端流量、数据包、首次入网时间、最后离线时间、在线时长、网络、访问资源…

2、客户端电脑检测（User Connector）

传统企业以windows终端为主，但随着生产技术的进步，企业研发以Linux系统为主，Mac电脑的占有率越来越高。为满足企业所有电脑端的安全管控，宁盾客户端（User Connector）支持windows32/64位、Linux32/64位、Mac OS版，检测所有电脑的安全性。客户端以后台运行为主，整个过程，用户处于无感知状态；

 检测电脑端基础信息：是否为域用户、CPU占用率、剩余内存，总内存；

检测是否加入域身份（仅限windows电脑）：域账号、手机号、邮箱、域角色；

检测补丁版本；

检测杀毒软件：是否安装杀毒软件、杀毒软件是否允许、病毒库是否过期；

终端安全状态：是否安装杀毒软件、病毒库是否更新、补丁版本是否更新、是否安装了非合规应用、运行了哪些应用、是否开启虚拟网卡…

3、终端问题定位及自动化隔离

实时检测终端类型、角色类型、补丁状态、杀毒软件状态、运行的进程、非合规软件、合规软件、域身份等，可视化问题终端，并进行提示。

检测终端的合规性，通过虚拟防火墙、VLAN、IP地址段、业务标签等队非合规终端进行自动隔离。

对工控终端等不允许进行网络变更的终端，检测终端的合规性，将结果反馈至管理员进行操作。

4、第三方联动与安全信息整合

宁盾终端准入与杀毒软件（赛门铁克、360杀毒）、桌管工具（LANDesk）、文件加密工具(IP-Guard)等联动，对没有安装合规软件的终端进行软件推送，实现终端准入与病毒防御、补丁修复、文档管理、加密管理的一体化安全管理，帮助企业建立高度融合统一的网络管理环境。

5、外部设备安全

U盘管控：为防治文件泄漏，宁盾ND ACE 检测U盘的合规性，防止非企业U盘接入企业内脑拷贝文件；

防私接：检测终端是否开启虚拟网卡，防止万能钥匙、虚拟热点占用网络带宽。检测一个IP下是否存在多个终端类型及操作系统，防止非法路由私接，规范化企业网络环境。

三、通过网络认证实现用户身份及终端的统一

入网用户需先经过认证之后才允许接入网络，仅允许合规终端接入企业内网。绑定终端及用户，帮助运维人员掌控谁使用什么网络（内外、外网、VPN）、使用哪些终端（企业）、访问了哪些网络资源IP、访问了哪些应用、安装运行了哪些应用等。

1、多样化网络接入认证

员工网络认证：在入网接入时，员工可采用Portal用户名密码认证、802.1X认证，及动态密码认证加固功能。

访客网络认证：仅允许访客接入外网，且提供短信、微信、协助扫码、邮件审批等认证方式。
2、终端及用户绑定

可视化终端及用户信息，快速定位终端位置及用户，及时锁定问题并通知用户。

四、部署架构

以旁路模式部署在网络中，无需对网络进行改造，对现有网络架构没有任何影响。 部署时将需要进行管理控制的终端流量镜像到ND ACE的分析口，提供终端网关所在设备SNMP（V2c）的Community值即可。网络拓扑图如下所示：

宁盾终端准入通过可视化及自动化，帮助企业快速有序统筹终端资产，检测入网终端及终端的安全合规性，提升企业对身份及终端的双重信任。

来源：freebuf.com 2018-11-21 12:11:31 by: 宁盾nington