安全漏洞以及數(shù)據(jù)丟失事件越來越多，與此同時，非托管設備的數(shù)量也在迅速增加，這導致許多企業(yè)開始采用網(wǎng)絡訪問控制技術(shù)（NAC），以此監(jiān)視那些經(jīng)常連接到他們公司網(wǎng)絡的非公司設備。NAC技術(shù)具有對所有用戶進行身份認證的能力，并且能夠確保他們的終端設備滿足最低的網(wǎng)絡安全要求以及規(guī)則遵從要求。

然而，雖然NAC能夠幫助人們隔離惡意設備，但是它往往不能對同一個網(wǎng)絡上的大多數(shù)非計算（non-computing）設備進行識別和分類。

非計算終端設備有時被稱為“笨設備（dumb devices）”，比如IP電話以及打印機等，對它們進行追蹤并且分類非常的困難。由于這些設備的存在，越來越多的安全職業(yè)人員在審計中遭遇失敗，因為這些設備可以允許惡意用戶騙取資源，繞過控制，并取得未經(jīng)授權(quán)的網(wǎng)絡訪問。此外，缺少這種設備的“終端發(fā)現(xiàn)策略”導致設備記錄會由不同的軟件進行管理，并且會出現(xiàn)在不同的數(shù)據(jù)庫中。

終端設備指紋識別是解決這個問題的好辦法。終端設備指紋識別可以讓NAC產(chǎn)品去收集非傳統(tǒng)網(wǎng)絡終端設備的IP和MAC地址，并且跟公司的身份驗證、授權(quán)和賬戶控制服務器上的內(nèi)容相比較，從而發(fā)現(xiàn)、分類并監(jiān)視他們，以此確認它們的分類或者設備類型，以及它們在網(wǎng)絡中的位置等。

Forrester Research公司認為，當終端設備指紋識別作為NAC產(chǎn)品的一項功能時，這項技術(shù)有助于對網(wǎng)絡附帶的終端設備（比如散布在網(wǎng)絡中的IP電話、HVAC系統(tǒng)、標記閱讀器（badge reader）、IP監(jiān)視攝像機，以及智能儀表等等）進行自動化安全性能分析以及操作管理?，F(xiàn)在，有些NAC供應商把終端設備指紋功能內(nèi)置在他們的產(chǎn)品中，有些則與其他廠商開展合作來使用這個技術(shù)。

假設你的企業(yè)已經(jīng)選擇了一款能夠提供終端設備指紋識別的NAC安全產(chǎn)品，那么進行終端設備指紋識別有四個步驟：

步驟1：確定問題之所在

在開始進行發(fā)現(xiàn)或者監(jiān)控之前，請決定你想要完成的任務?？傊?，就是要確定關(guān)鍵問題是什么，或者說你需要解決的問題是什么？如果網(wǎng)絡是靜態(tài)的，即意味著會有大量的終端設備需要識別，或者不同的地方記錄了大量的未識別設備，那么首先要開啟發(fā)現(xiàn)功能。如果你有一個動態(tài)的網(wǎng)絡，即意味著你的網(wǎng)絡上會經(jīng)常出現(xiàn)新的設備，那么請開啟終端設備監(jiān)控。

步驟2：創(chuàng)建一個設備清單

IT安全和操作人員通過開啟設備發(fā)現(xiàn)和目錄功能就可以減少數(shù)周的手工勞動。為什么呢？從本質(zhì)上講，這個功能會自動掃描網(wǎng)絡并找到所有連接的終端設備，包括計算以及非計算設備，認證的以及非認證的設備等，掃描之后會得到一個集中的設備清單。對于一個大型企業(yè)來說，非計算設備的數(shù)量至少會與傳統(tǒng)計算設備的數(shù)量一樣多（甚至有時會多兩到三倍），這很正常。

步驟3：確定位置并驗證身份

下一步就是利用一個包含位置和身份的拓撲結(jié)構(gòu)來擴大這個現(xiàn)存設備以及新設備的清單。最初，你只能夠收集到靜態(tài)以及動態(tài)IP地址和媒體訪問控制（MAC）地址。然而，隨著計算環(huán)境變得越來越好，你將能夠查看ARP表格、打印服務、以及網(wǎng)頁服務器信息等，從而收集其他信息。

一旦終端設備指紋識別系統(tǒng)收集到了IP地址以及MAC地址，就可以通過LDAP將這個信息與身份認證、授權(quán)，以及賬戶服務器上的內(nèi)容相比較，以確定設備的位置并且驗證設備身份。這讓網(wǎng)絡安全團隊能夠監(jiān)控訪問中的所有變化。如果一個設備被移除，而另一個設備連接到該端口，這個變化就會被標記，并且會給管理系統(tǒng)發(fā)送一個警報。

步驟4：監(jiān)控并且發(fā)送警報

對于任何擁有動態(tài)環(huán)境（在這種環(huán)境下設備經(jīng)常改變他們的NIC和OS）的企業(yè)來說，持續(xù)不斷的監(jiān)控非常有價值。這個功能不僅監(jiān)測MAC欺騙、集線器插入、端口交換，以及配置文件的改變，而且還可以用各種方式進行部署。例如，你可以創(chuàng)建配置文件為第二層到第七層選擇操作模式、收集網(wǎng)絡流量數(shù)據(jù)，或者為先進的監(jiān)控集成SNMP等。

終端設備指紋識別在有些虛擬環(huán)境（工作負載分享在單個物理終端上，并且經(jīng)常被移動）中同樣非常有用。在這種情況下，F(xiàn)orrester公司推薦企業(yè)選擇比如Vmware 公司的Vmotion或者Xen公司的Life Motion這樣的服務。此外，如果這些企業(yè)在網(wǎng)絡中擁有現(xiàn)成的安全信息和事件管理（SIEM），或者入侵防護系統(tǒng)（IPS）設備，那么這種監(jiān)控將非常的有用，因為它能夠給這些系統(tǒng)發(fā)送警報，并能關(guān)聯(lián)這些信息。

終端設備指紋識別對于企業(yè)安全職業(yè)人員來說是必須的技術(shù)工具。NAC往往不能對所有的企業(yè)IP地址連接設備進行深入的掃描，而資產(chǎn)管理工具則過于廣泛，以至于它們沒有處理打印機、IP電話、HVAC系統(tǒng)等設備的具體政策。終端設備指紋識別彌補了這些技術(shù)的缺點，特別有助于對NAC的部署，因為它可以發(fā)現(xiàn)基于IP的終端設備，并對其進行分類和監(jiān)視。  

【編輯推薦】

1. 專題：NAC安全訪問控制
2. 終端安全系列談：準入控制保障“內(nèi)網(wǎng)合規(guī)”