端点和网络集成

艾迪生韦斯利专业

通过马克Kadrich

有个足球雷竞技app |

如果要实现可预测和可靠的控制，网络、设备和连接到它的人员必须像一个团队一样工作。虽然我们中的许多人将不得不处理随着时间的推移添加到我们网络中的遗留硬件和软件，但我们中的一些人正在设计未来的网络。

无论您当前的网络状态如何，如果您做出的决策将您的网络推向闭环过程控制模型，那么您将处于更好的位置来解决当前和未来的安全问题。

摘要

在本章的开始，我们将讨论架构，以及您现有的基础设施如何影响您在如何将CLPC集成到企业中的决策。讨论了“您是否需要一个叉车?”的问题，以及一些对您的网络进行完全重构的有趣替代方案。

然后，我们将讨论供应商社区如何支持端点安全性和完整性。我们讨论谁是一些球员和他们的优点和缺点。

在没有某种形式的补救的情况下做出允许或拒绝网络访问的决定显然是不可能的，因此我们将讨论漏洞和一些补救技术。

特别兴趣点

关于什么是脆弱性的讨论，似乎引发了一套充满争议的定义。虽然这是一个值得讨论的话题，但我们现在先不讨论它。在本章中，我们使用这个术语脆弱性指攻击端点和网络的一种方式。

我们拓展的定义认证包含一些操作系统和相关应用程序。这是CLPC概念的关键，因为信任是根据规定的策略进行度量的。

我们已经尝试在网络和终端上解决这个问题。供应商，根据他们的产品，选择一个方向，并从中工作，就像思科和微软一样。简单的事实是，网络需要帮助端点，而端点需要帮助网络。只有通过这种共生关系，我们才能提供构建CLPC所需的必要控制。

架构是关键

当我们开始任何设计过程时，谨慎的工程设计告诉我们应该从一些驱动架构的基本假设开始。当我们走在一个特定的架构路径上时，改变我们的想法或改变基本假设通常意味着做出降低预期设计的有效性的妥协。

有三种方法来构建我们的控制解决方案。一个基于行业标准，两个基于各自业务部门的领导者提供的专有解决方案。

思科是一个试图控制和保护终端的网络供应商，微软是一个试图使用部分网络基础设施来增加安全性的终端解决方案供应商。

一些供应商，如Juniper(通过收购Funk)和赛门铁克(通过收购Sygate)，已经扩展了802.1x supplicant的功能，而不仅仅是简单的身份验证，这就是我们开始看到真正的比例控制标准的基础，真正地结束了这个过程。

这些新产品，如赛门铁克的企业安全防护，¹超越检查端点，以保证系统级的政策问题，已符合允许与网络系统连接之前。他们还添加了一些保护，确保它是能够保护自身及其包含的数据的系统。

基础知识

要使CLPC工作，您需要有一个支持它的基础设施。你必须有某种机制来执行你的政策;否则，这就是一个自愿参与的模式。

如果您的目的是积极实施您的策略，您可以从两个基本的选择中工作:802.1x和动态主机配置协议(DHCP)。当然，您可以通过划分实现被动类型的策略强制。隔离的缺点是它增加了网络架构的复杂性，而复杂性意味着增加了失败的可能性。稍后将详细介绍划分。

多大岁数才算老?

假设我们将使用802.1x作为执行机制。我们购买了一个支持CLPC概念的产品，并在端点上安装了代理和请求程序。

拥有客户端支持802.1X是伟大的，但你也需要网络基础设施来支持它。许多，如果不是全部，上了年纪的基础设施并不支持802.1x的。一个简单的方法来告诉是看当你买了你的网络设备。如果您的无线前几天买了你的东西，你没有做的802.1x的能力。如果你足够幸运，你可以升级，但它会很昂贵。

在我的一天到一天的生意，我的一个客户，一家大型金融机构的过程中，做了他们的设备进行了调查，并确定它会花费超过一百万美元，他们的网络升级到这种地步，他们可以支持802.1X。

哦，还有就是仍然需要解决的所有那些讨厌的嵌入式系统中，我们看一下第12章，“嵌入式设备”，如打印机和呼吸器，不讲802.1x认证（或防病毒为此事）。

划分仍然有效

当您经历设计新的网络架构的痛苦时，您会意识到真正的乐趣将在开始转换时开始。我们中很少有人有机会从头开始建立一个全新的网络。您通常必须以某种可控的方式从旧架构转换到新架构。这种转变对并购人员来说是一个巨大的问题。

这就是分区可以用作迁移工具和安全工具的地方。通过在强制网络和遗留网络之间设置安全网关，可以减少对整个网络的安全风险。注意，我没有说“消除”;我说的是“减少”。

但是你是如何划分的呢?你是根据系统和数据的分类来做，还是把你的网络分成功能区?它会产生不同的效果，特别是在由路由器或防火墙中的访问控制列表(access control list, acl)管理区域之间的访问时。做出不正确的选择可能意味着业务流程受到重大影响。

例如，图5 - 1描绘了使用上的条块预测的基本方法。这是经典的同心圆结构。从互联网的用户必须根据业务需求和要求外联网服务有限。它们周围的虚线表明孔隙率一定程度必须与这种服务被容忍。但是，当你到了企业网络的外围，你招呼采用了经典的防火墙，防病毒（AV）和入侵检测。移动到内网的服务，我们会遇到一些访问控制该限制我们如何相互作用与所提供的服务。我们可能没有写权限，并且该服务可能无法使用到网络的各个领域。

网络的用户区域是我们的下一层。它将能够访问因特网、内部网和可能的外联网。它也将有限地获得关键的内部服务。关键的内部服务受到访问控制(如acl、身份验证和授权服务)的保护。在Windows世界中，这些控件是使用Active Directory (AD)和组来强制执行的。在非windows环境中，这意味着远程身份验证拨号用户服务(RADIUS)和轻量级目录访问协议(LDAP)。

这种体系结构的缺点是，它是相当混杂，如果你不上最新与您的AV数据文件，或者你被打到了一些零日漏洞，你就会有相当多的到地址的损害。

在此范围的另一端是一种用于划分网络的方法，该方法基于将网络划分为包含区域，如图5 - 2。通过创建大量的区域并通过使用防火墙控制区域之间的所有通信，您希望能够防止病毒的传播并控制数据的移动。

图5 - 1

经典的使用划分。核心基础设施系统受到严密的保护和管理。

不幸的是，潜在的消息是您不信任您的端点或使用它们的人。您不相信端点能够自我保护，这意味着您对自己的安全程序没有多大信心。我可以理解“背带和吊带”方法，但是必须适当地支持它们的规则、acl和复杂的过程开始看起来像是错误和失败的成熟场所。

正如你所看到的图5 - 2，每个区域都有一个防火墙，因此有一个与之关联的防火墙规则集。您必须明确地允许交通离开一个区域，也必须明确地允许交通进入一个区域。这意味着，如果您希望用户区1中的人员能够访问企业服务，您必须告诉用户区1防火墙允许流量通过出站，并且必须告诉企业服务防火墙允许入站流量。我知道您在想什么:“默认情况下，防火墙允许所有出站流量。”The firewall will allow outbound traffic unless you don't trust the systems on the inside and you configure the firewalls such that they stop all traffic by default. Remember that one of the purposes of such a design is to prevent the spread of viruses.

根据我的经验，如果管理不当，这种基于区域的体系结构可能会很快变得过于复杂。这种类型的体系结构很容易开发出自己的生命周期，并且在这个过程中成为用户和安全团队的噩梦。我见过这种体系结构的示例，其中对网络的每次更改都需要安全组的批准，因为需要更改防火墙规则。这造成了相当大的瓶颈。必须创建一个特殊的组来处理每天需要对防火墙进行的更改，以保证业务的正常运行。其结果是组织内的商业团体无法按照商业的速度进行创新。

图5 - 2

基于区域的条块分割可能会变得非常复杂。

在复杂的基于区域的架构的另一个受害者可能是服务水平协议（SLA）。SLA是有保证的功能的基本水平是始终存在的，这样的企业可以进行处理。服务水平协议确保文件服务器始终以最小的延迟和运行Web服务用户社区提供他们禁止功能。在复杂的基于区域的结构，所需的工具来测量和计服务水平可严重妨碍（如果不是完全切断）。

公平地说，这种类型的体系结构通常是由大量的合并和收购以及安全人员必须管理拼凑在一起的网络的整体安全性的需求造成的。我想这意味着网络过于复杂是金融人员的错。

我承认，条块分割，如果处理得当，也是控制恶意软件传播的有效工具。这回来到我问过，但这样的问题：你想通过数据分类或按功能划分到做什么？如果你是一个政府机构或军队，这个问题已经有了一个答案：你的数据分类条块。这似乎很容易，直到您需要的服务或共享数据分类区域之间的连接。如图图5 - 3， Bell/LaPadula规则规定，您不能有“写下”和“阅读”的能力。^2、3这意味着具有更高的分类是系统无法将数据写入到一个较低的分级制度也不能较低的分类系统从具有更高的分类系统读取。如果你认为你的网络“更高”的分类级别比上网本，你打破这个规则每次你的电子邮件服务器接收邮件的时间。