使用NAC终端识别来清查哑设备

日期: 2010-01-25 作者:Shamus McGillicuddy翻译:曾少宁 来源:TechTarget中国 英文

企业网络中非传统IP设备,即所谓的哑设备的数量和种类在不断增加。从HVAC系统和支持IP锁到IP照相机和打印机,这些设备被连接到网络的许多位置,给网络管理人员带来很大的问题。新的网络访问控制(NAC)终端识别特性可能能够解决这个问题。   根据Forrester Research的分析师Usman Sindhu的观点,网络中的哑设备是黑客发动中间人攻击的最佳场所。

  “如果你能够伪装一个设备的IP地址,你基本上就已进入该网络环境了,”Sindhu说道。   哑设备,棘手的问题   未管理和非计算的IP终端在企业网络中并不是什么新鲜事。毕竟,大多数网络中的打印机都是安装很长时间的。但在最近几年……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

企业网络中非传统IP设备,即所谓的哑设备的数量和种类在不断增加。从HVAC系统和支持IP锁到IP照相机和打印机,这些设备被连接到网络的许多位置,给网络管理人员带来很大的问题。新的网络访问控制(NAC)终端识别特性可能能够解决这个问题。

  根据Forrester Research的分析师Usman Sindhu的观点,网络中的哑设备是黑客发动中间人攻击的最佳场所。

  “如果你能够伪装一个设备的IP地址,你基本上就已进入该网络环境了,”Sindhu说道。

  哑设备,棘手的问题

  未管理和非计算的IP终端在企业网络中并不是什么新鲜事。毕竟,大多数网络中的打印机都是安装很长时间的。但在最近几年这个问题变得更严重了,因为传统的设备安全方法已经不再适用了。

  “这个问题已经存在很长时间了,”Cisco Systems的技术市场经理Alok Agrawal说道。“公司只要在实现物理安全性时就开始思考,这就足够了。公司内的任何人都是一个可信的用户和可信的设备。但现在你有了IP电话,然后就会有访客用户和临时工进入受控制的环境。而且数目越来越大,从而物理安全性已不够。你不可能保证物理边界内的每一个设备都是可信的。”

  许多企业缺乏一个关于他们网络中非计算设备的完整清单,或者说没有对这些设备的基本监控和认证。其它的企业是通过手工方式清查他们的哑设备,这是一个很耗时的过程,并且只能产生一个表态的清单。

  “几乎你可以想像到的任何医疗设备,现在都有网络连接的功能了,”Wenatchee Valley Medical Center的高级工程师Don Lester。“但在过去的几年里,供应商只是使用普通的接口来实现网络连接,这些其实不过就是一个安装了定制的软件来将设备上串行端口上流量转换成网络帧的PC。所以,即使对于我们来说它不是新鲜的东西,我们也没有更好的解决方案,”Lester补充道。“我们会保存一个IP地址清单,而这些设备大多数都被赋予静态IP,并且在IP数据库中有它们对应的条目。我们知道它们是什么,在哪里,以及它们产生哪类流量,但这是它扩展的部分了。”

  使用NAC终端识别

  Forrester客户最近抱怨他们无法进行安生性审计,因为他们缺乏关于这些设备的全面清单和对它们的控制。所以Forrester推荐企业开始使用终端识别技术,这是许多NAC供应商所提供的附加特性。终端识别是对网络中终端的发现、分类和监控。

  “这其中的许多设备,如打印机,都会被记录在许多地方并制作成清单,但是没有一个集中的位置系统能够查询到它们,”Sindhu说道。通过终端识别,NAC产品能够发现所有和列出网络中的所有设备。它能够收集IP和MAC地址,并将这些信息发送到公司的认证、授权和帐户控制服务器来确定位置并验证设备的标识。

  这些企业也可以使用它的NAC系统设置策略来监控这些设备,并在有变化时向网络发送警告。

  Cisco的NAC产品监控哑设备传输的数据包并分析其中是否有可疑的东西,Agrawal说道。

  “我们持续监控设备,如果有变化发生,我们会修改授权警告并采用更进一步的操作,”他说。“如果一个设备昨天是一台打印机,而现在变成了一个Windows桌面,我就知道它的形态被修改了。我会对它进行检查,并派一个人去手工地检查它。如果该笔记本电脑打开了一个浏览器,我们将捕获其中的HTTP流量。”

  有几个NAC供应商——包括Cisco、Juniper Networks、Forescout和Bradford Networks——都正开始将终端识别特性作为一个附件添加到它们的产品上。

  “这些非传统终端以前并不被认为是NAC应该涉及的部分,”Sindhu说道。“现在我们看到供应商正越来越关注它了。”

翻译

曾少宁
曾少宁

TechTarget中国特约技术编辑,某高校计算机科学专业教师和网络实验室负责人,曾任职某网络国际厂商,关注数据中心、开发运维、数据库及软件开发技术。有多本关于思科数据中心和虚拟化技术的译著,如《思科绿色数据中心建设与管理》和《基于IP的能源管理》等。