下一代网络准入控制行业技术发展趋势-上篇
责任编辑:盈高科技 时间:2024-04-15 浏览次数:1846
总体说来,现行的网络准入控制技术,不管是哪一种准入技术方案,都不能独自包完成准入过程中的所有环节,在摸清家底、建立信任、阻断可疑这三个方面,每种技术都各有优缺点。
在使用过程中,往往需要用户自己,根据自身的网络构成、规模、安全性需求、管理性需求、网络管理人员素质、企业网络建设目标等多方面因素综合考虑选用哪一种或哪几种技术方案的组合来在企业里踏实落地。
而关于下一代的网络准入技术发展趋势,未来在3个方面或将有所突破:终端信息收集技术、终端大数据构建与互操作技术以及缓解APT攻击技术
今天我们来聊聊【终端信息收集技术】、【终端大数据构建与互操作技术】
关于【终端信息收集技术】
(1)被动发现技术
将端口镜像技术(Mirror或Span)应用于下一代网络准入中,通过捕获网络中进出的所有流量,能够发现流量中的设备信息和各种异常行为,尤其是来自内网的终端信息。
(2)主动发现技术
被动的镜像技术并不能发现设备的所有属性,因此下一代网络准入还需要主动向网络中的周边设备进行查询,以获取更多信息。
1)二、三层网络信息发现。
通过动态主机配置协议(DynamicHostConfigurationProtocol,DHCP)及地址解析协议(AddressResolutionProtocol,ARP),监测并获取设备的数据链路层和网络层信息。
2)第四层和高层网络信息发现。
将网络连接端扫描软件(NetworkMapper,NMap)应用于下一代网络准入控制,用于探测网络层、传输层甚至是应用层的数据。
3)用户、组织结构及高级属性发现。通过向网络中的认证服务器(包括活动目录(ActiveDirectory,AD)、轻量目录访问协议(LightweightDirectoryAccessProtocol,LDAP)、远程用户拨号认证服务(RemoteAuthenticationDialInUserService,RADIUS)等)主动发起查询请求,可获取必要的应用信息,包括用户和设备信息。
4)安全及网络环境数据发现。
向网络设备发起查询,包括防火墙、路由器、交换机、VPN等,通过Syslog、SNMP等接口获取终端设备的实时安全数据和网络环境信息。
l 关于【终端大数据构建与互操作技术】
关于终端大数据的构建,至少应覆盖以下信息。①物理层信息:包括交换机、VLAN、物理端口、802.1x、设备的共享端口和物理位置等信息;②设备信息:包括IP地址、MAC地址、主机名、设备类型(PC、移动设备、打印机、无线路由、其他附加属性等);③操作系统信息:包括操作系统类型、防病毒软件的更新状态、未打补丁的漏洞、开放的服务、内存中的进程等;④应用程序信息:包括应用程序、版本号、注册表信息、文件信息等;⑤用户信息:包括用户名、用户组、认证状态、Email地址、角色、部门等;⑥设备行为信息:包括网络策略、恶意行为以及各种即时行为特征等;⑦状态信息:包括时间、物理位置、属性、变更情况等。
构建的终端大数据的分享应该是双向的,即实现与以下技术手段/工具的互操作。①网络设备:包括交换机、路由器、防火墙、VPN、无线AP、打印机等;②网络服务:包括AD域、LDAP、域名系统(DomainNameSystem,DNS)、DHCP、RADIUS等;③终端:包括Windows、Mac、Linux/UNIX、移动设备、虚拟设备等;④终端管理技术:包括补丁管理系统、移动设备管理(MobileDeviceManagement,MDM)等;⑤终端防护技术:包括防病毒技术、数据防泄露技术、主机IPS、加密产品等;⑥安全管理平台:包括安全信息和事件管理(SecurityInformationandEventManagement,SIEM)、漏洞评估、IDS/IPS、APT防御产品等。
从以上两方面可以看出,下一代的网络准入技术发展趋势通过主动发现和被动发现技术,可以不依赖客户端即可实现现有网络准入技术的许多功能,早期的网络准入技术通过客户端收集终端信息,但受客户端与平台之间兼容性等问题的影响,信息收集不全面。在终端大数据的构建方面,将包括物理层、设备、操作系统、应用程序、用户等7个层面的信息,且构建的终端大数据与网络设备、终端相关的技术/工具之间是共享互通的,不是单向的。这两块技术的突破,将帮助企业在网络终端接入层面,更高效的摸清家底、构建可信网络体系。