我需要一个叉车?
正如我在前面指出的,不是所有网络基础设施设备都支持您依赖于802.1x的决定。多年来,随着我们的网络不断发展壮大,我们中的大多数人已经积累了不同的供应商以及每个供应商设备的不同版本。不是所有的都有相同的能力。除此之外,还有成千上万的“哑”开关(或者更糟的是,简单的集线器),这样你就可以看到问题是如何迅速失控的。
我们中的一些人将不得不撤换许多设备。
升级是昂贵的
硬件厂商喜欢变化。变化意味着他们获得销售更多的硬件!当人们停止购买新的硬件或升级他们有硬件,有“铁网”公司要去的企业出来。我们看到这种情况发生时,“泡沫”破灭。人们都在等待的“杀手级应用”,并期待其他人疯了安装大量的纤维和基础设施。有一天,有人醒了,说:“嗨,我们有很多的暗光纤的存在,并且没有杀手级的应用与比特填充它。也许我们应该停止购买的东西。”
失速,旋转,崩溃,燃烧,死亡。
产生的碰撞并没有真正降低设备的价格,很遗憾。在此我最近的数据来自金融客户谁正计划升级到所有支持802.1x的设备。他聊了一会叫他的网络硬件供应商,告诉他什么,他打算做。卖主告诉他,他的所有集线器将不得不被替换,因为支持802.1x只允许每个端口一个连接,每个新的连接都需要身份验证,并会杀死最后一个连接。大多数用户将归类,作为“坏”。我的一些朋友的开关是一对夫妇岁,他们没有为新代码的内存容量;因为他们是如此的时候,他们不能拥有更大的内存增加。他们将不得不被替换。然而,开关的一个好数字可升级,将必须支持802.1x能力的代码。好极了! Now, you probably need some professional services people to help with such a huge upgrade. After all, a lot of details and configuration changes need to be accounted for. Oh, and he needed a "good solid project manager" to pull all those PS people together. By the time it was over, my friend was looking at a $2 million plus, one year to complete, "you get to keep the forklift" upgrade.
就用户而言,我们更不用提发生灾难的时间和可能性了。新设备成为选择的借口。“因为你的填充物打嗝,我错过了我的交货日期!”
好消息是,他能够说服董事会,在安全领域成为领导者比未来的头条新闻更重要,而且他们正在实现clpc强制网络的道路上走得很好。
一个更便宜的方式
所以,你不想帮助你的本地网络代表支付他闪亮的新宝马?有一个更便宜的方法。虽然没有那么有效,但确实有效。我说“它没有那么有效”是因为它依赖于自愿参与。
您可以使用基于Internet Protocol (IP)的端点使用IP地址及其相关联的子网掩码来接受流量,而不是依赖交换机来做出决策。您可以在IP协议的一种非标准化实现中利用这一点。通过使用DHCP,您可以控制端点是否以及如何与网络通信。这是可行的,因为交换机在第2层操作,路由器在第3层操作。通过使用交换机在基于媒体访问控制(MAC)地址的各个端点之间建立连接,以及使用路由器控制使用IP地址的网络通信方式,您可以获得对网络上所有端点的大量控制。
让我们来看看它是如何工作的DHCP协议开始。动态主机配置协议,4DHCP的简称,这是在互联网的早期使用的引导程序协议(BOOTP)演变而来的。DHCP向后兼容BOOTP和支持租赁的想法。而不是被给予永久的IP地址,DHCP让您只要只租用有效使用的IP地址。当租约到期,在端点上“释放”的IP地址返回给DHCP服务器的DHCP客户端。
如果您的端点不与静态或固定的IP地址配置,它通常设置为向DHCP服务器的地址。你通常会得到你的第一个DHCP租约当端点第一次加入网络,但也有其他时候,你可以得到一个。许多操作系统来与配置为与DHCP服务器网络的开箱即用。
完整的协议交换相当优雅。请求端点发送一个广播包,其目的地址都是1,源地址都是0。侦听DHCP服务器响应一个包,该包具有IP地址、子网掩码、默认网关、租约长度和至少一台DNS服务器,如表5-1所示。
表5-1一个简单DHCP网络范围
参数 |
设置 |
|---|---|
IP地址 |
192.168.168.21 |
子网掩码 |
255.255.255.0 |
默认网关 |
192.168.168.1 |
租期(以秒为单位) |
7200 |
DNS服务器 |
192.168.1.25 |
它可以发送更多的信息,特别是如果你是一个微软端点,但我们将停止在这个层次的细节,因为这不是一本关于DHCP协议的书。在端点接收到IP地址信息后,它将向服务器发送一条消息,确认它将使用该地址。
使用表中的信息,我们可以看到我们的端点现在已经具备了两个小时的网络访问能力。两个小时后,它将不得不再次向DHCP服务器请求地址。
那么,为什么这很酷呢?我们又该如何利用它呢?首先,它很酷,因为我们大多数人都很懒,而DHCP使支持基于IP的网络变得很容易,因为您不必配置静态IP地址并处理与之相关的所有信息。每次触及一个端点都是一个把它搞砸的机会,而DHCP消除了这个问题。缺点是,如果错误配置DHCP服务器,您可能会对所有用户“搞砸”。
我们如何利用这一点?很简单,大多数DHCP服务器可以管理多个作用域。一个范围是一个极客术语,它定义了DHCP服务器将给出的每组IP地址范围的每组参数。一个作用域可能说IP地址范围具有表5-1中描述的参数,而另一个作用域具有表5-2中定义的参数。表5-2中,最上面的范围为补救范围;底部范围允许连接到生产网络。
表5-2两个DHCP作用域
参数 |
设置 |
|---|---|
IP地址范围 |
192.168.168.2 |
IP地址范围结束 |
192.168.168.31 |
默认网关 |
192.168.168.1 |
子网掩码 |
255.255.255.224 |
租期(以秒为单位) |
7200 |
DNS服务器 |
192.168.1.25 |
IP地址范围 |
192.168.2.2 |
IP地址范围结束 |
192.168.2.127 |
默认网关 |
192.168.2.1 |
子网掩码 |
255.255.255.128 |
租期(以秒为单位) |
14400 |
DNS服务器 |
192.168.1.25 |
范围通常与网络相关联,但这可以通过第三方软件、硬件或魔法来解决。
如果你计算过,一个范围是一个可信任的网络,另一个是一个不可信的网络,你明白我们正试图在这里做。当端点启动时,它得到的信任或隔离网络中的地址。当可以证明给DHCP服务器,它可以被信任的DHCP服务器给它信任的企业网络中的地址。
神奇的部分与路由器如何处理DHCP请求做。由于DHCP服务器可能不是同一网段的客户端,路由器必须告诉DHCP服务器什么网络的客户端请求的DHCP请求生命。所以,当一个路由器看到DHCP请求,其附加什么样的网络数据包进来到包。DHCP服务器使用这些信息来决定哪些范围从服务的地址。DHCP强制使用该选择什么样的网络端点将被分配到。网络访问控制(NAC)客户端追加遵从信息,路由器附加网络信息,并且该信息被拆开并发送至DHCP实施者/服务器。有多种方法可以做到这一点,这取决于使用什么方法供应商。这可能是一个变化的DHCP软件,或它可以在DHCP服务器前面的代理服务器。
为什么这项工作?因为路由器可以支持它们的接口多个IP地址范围,从而允许在同一个网络上的路由和不可路由的IP地址范围。对于这个问题,如果路由器不知道的IP地址范围,它看起来像伪造地址和丢弃数据包。即时遏制!在图盘中时,点盒内的端点将无法访问网络的其他部分,因为它们的IP地址将无法通过路由器传递。
DHCP强制实施。通过巧妙地利用代理和路由器,DHCP NAC实施提供了遏制。
现在我们已经了解了为什么DHCP可以工作,让我们考虑一下它为什么不能工作。这是自愿的。如果我决定从一个观察到的IP列表中手动分配一个IP地址,我就可以击败DHCP执行。您应该将DHCP视为一种迁移机制,但从长远来看,完全依赖它可能不是最好的主意。
技术承诺及期货
科技把我们带到这里,科技也将拯救我们。我可以证明!在过去的50年里,技术一直在把我们带到这里。自从第一台计算机以来,技术一直在向我们承诺一个更好的未来,它将在不久的将来拯救我们。现在科技随时都会骑在一匹大白马上拯救我们的屁股。然而,我并没有屏息以待。
正如技术提供了救世主一样,技术也将提供三个新的对手。我们会给我们的解决方案添加强制执行,但是就像你挤在中间的水球一样,我们的问题会在其他地方跳出来。如果我们继续将技术视为一系列旨在解决当前问题的点式解决方案,我们将在未来很长一段时间内失望。
那么,什么是未来?不多,如果我们不改变我们的生活方式。我们不能继续让供应商通过营销和威胁大谈特谈推动我们的解决方案。安全的未来铰接在将其转换成工程领域的完整流程和公设。从这些假设,我们将能够工艺特定测试,运行测试,分析测试结果,并看自己是否认同我们的公设。如果他们这样做,我们是一步一步接近更好的安全性。如果没有,我们可以重新审视和重新制定我们的公设。
我们制定了一些里程碑,但是,当我们得到他们,我们需要准备好进入到下一个。正如我们保护我们的环境,我们需要把我们的关注,我们正在生成的数据。
在前面的文章中,我们谈到了compartmentalizing我们的网络来保护他们。其中一种方法是在网络的基础上,数据分类的划分。用我们现在的操作系统架构,这就是所有我们能做的。我们没有标签,基于数据的分类,我们不能做出决定。当然,第三方数据保护解决方案确实存在,但他们螺栓组件,因此不考虑投入操作系统的一部分。
端点支持
如何以及我们的解决方案的工作将是基于视觉的,简单,和常识。每个端点将不得不接受一个别样的支持,因为每个端点类型有一个与之相关的不同的用户配置文件。一些终端,比如我们的工业控制器,没有本身的用户;他们有“演员”,如“机器人”。
身份验证
身份验证过去用于识别用户。近年来,该定义已经扩展到一定程度上包含了系统。通过使用证书,您可以相当确定您确实在与您想要通信的服务器进行通信。
可信计算组(TCG)扩大了认证机构,使得它现在包括硬件。这是一个伟大的事情,因为它应该更容易追踪(因此不好卖)失物减少未来笔记本盗窃的发生。但是,应该说,所有的可信平台模块(TPM)真的是,是一个安全的地方来存储密钥和证书。由于我们是如此痛苦地意识到,每个安全解决方案,我们已经想出了在过去一直被忽视或以其它方式破裂,从而保持我们对疼痛的车轮。
对于CLPC和NAC的目的,我们要包括我们的认证协议信任元素。这种信任元素将包括有关端点的状态确定。总之,这将检查端点是否符合合规性的一个预先设定的水平和信任这样一个隐含的水平。
供应商支持
正如我所说的,在集成我们的端点和网络方面并没有太多的选择。我们指望NAC(任何形式)的帮助,但供应商正在努力进入市场。这里有一点警告:在本文写作时,以下信息是准确的。供应商们很快就改变了方向,尽管思科和微软都推出了他们各自的解决方案,但这种情况可能会在发布后的第二天发生改变。
硬件厂商如Enterasys公司,Foundry网络,Extreme网络和Juniper网络公司目前提供了一些,如果不是全部,部分解决方案。五Juniper收购了Funk和Steel Belted Radius产品线;与此同时,再加上他们现有的产品线,他们似乎提供了一些除了端点完整性遵从之外的一切。
Enterasys的文献显示他们对系统进行远程扫描,并且他们声称他们的代理解决方案、受信任的终端系统解决方案与管理策略、身份验证、授权和审计(AAA)的其他产品一起工作。6对其产品的深入调查表明,Enterasys依赖Sygate(现在的赛门铁克)和Zone(现在的检查点)代理来检查完整性。
Foundry采用了和Enterasys一样的方法——考虑到Foundry是一家硬件供应商,这并不奇怪。7要使他们的解决方案发挥作用,您需要在端点上有一个优秀的代理,这意味着赛门铁克或检查点。Foundry和赛门铁克的结合是我见过的一个解决方案。由于需要一些自定义脚本,所以修复部分需要做一些工作,但它确实可以工作。
Extreme还与另一家供应商(这里是StillSecure)合作,提供大量的NAC解决方案。8他们声称通过仍然安全的安全访问解决方案提供无代理测试。此进程使用Windows Remote Procedure Call (RPC)和凭证来询问端点,因此每个端点必须配置为接受仍然安全访问来完成测试。您的端点防火墙必须配置为允许这种访问类型。幸运的是,自2003年末以来,我们还没有看到RPC中有任何允许攻击者执行任意代码的缓冲区溢出漏洞。9但是,如果使用的是Windows RPC让你紧张,你总是可以使用基于浏览器的ActiveX工具!如果你想避免的代码MS06-014说是可能的(除非你打补丁“尽早”)的远程执行,10但是,你可以随时使用代理StillSecure公司。
赛门铁克现在有一个NAC产品由于其购买的Sygate的。赛门铁克的Sygate企业保护(SSEP)的解决方案是在基于代理的解决方案,它利用支持802.1x(附加模块),DHCP或网络条块。代理是能够做自我强制执行,从而消除了802.1X或DHCP的依赖。然而,安全的基本规则是,如果你可以把你的手放在它,你可以闯了进去。自执行是最后的手段,如果你没有其他选择,你没有一个非常成熟的用户群体。SSEP确实有一个完整组件,保证了系统具有所需的软件和补丁程序,并积极防止恶意软件侵扰的机器。操作系统保护检系统调用是如何制造的;如果他们表现出未知的行为,呼叫被终止。
赛门铁克/铸造厂的结合也是我见过的一个有效的解决方案。通过使用Foundry FastIron交换机的802.1x功能,不兼容的端点被切换到一个可以修复它们的修复LAN。SSEP提供补救服务以及与第三方补救和补丁管理产品的接口。
Check Point的完整性具有类似的一组相对于NAC功能,但它包装VPN支持以及与其它Check Point安全产品混进去。诚信也具有可用于评估端点的安全状态,如果需要,启动补救措施或隔离端点完整性选项。
在撰写本文时,思科和微软还没有完全部署他们的解决方案。他们似乎有一套很好的愿景,但在实施方面有点慢。
Infoblox11是一个有趣的解决方案,因为它是一个工具包,只解决基于DHCP的NAC。让我在这里打个比喻。你走进一家宠物商店,并要求狗。店员问,“你想要什么样的狗吗?”检查点和赛门铁克的产品是一种这样的宠物商店。你想DHCP,802.1x的,条块分割,或你想要一个狗?在另一方面,你可以走进一家宠物商店,询问店员的狗,和店员可以交给你一些DNA,并告诉你,你可以做任何你想要的那种狗。工具包是这样的。
漏洞和补救
正如前面提到的,一个令人难以置信的行业致力于只是识别和网络上的漏洞进行分类。公司如Qualys公司nCircle公司和已经成功实施了商业模式上的漏洞检测和分析的饲料。
我想,我应该清楚,当我提出这一个点,因为我要戳一些人的眼睛用棍子。对于漏洞评估(VA)行业营销模式的前提是两件事情:
消除暴露的漏洞将使您更安全。
该扫描、修复、扫描模式是有效的。
我认为,这种“黑客视角”存在的问题比供应商让你相信的要多。
首先,您的网络变化的速度比您扫描它的速度还要快。充其量,扫描只是一组快速移动的场景的快照。想象一下,通过观察每万分之一帧来判断一部电影是怎么回事!
其次,仅仅是扫描网络的行为本身就会产生问题。如果您有任何类型的入侵检测软件,它肯定会在端点被扫描时发出警报。当然,您可以向基于网络的入侵检测系统(NIDS)和基于主机的入侵检测系统(HIDS)添加异常,但是每次扫描源发生变化时都必须这样做。即便如此,一些应用程序还是不喜欢被扫描,并且可能会崩溃或减速,从而影响服务水平。
第三,尽管它们可以被配置为,这些扫描不扫描每一个端口。他们只扫描相对少数量的端口。如果有人想掩盖非法的应用程序,它不会很难。
扫描也是不敏感的端点是在网络上。漏洞是一个漏洞。
那么,为什么扫描呢?那么,一个简单的答案是,它帮助企业满足外界评估的监管要求。萨班斯 - 奥克斯利法案(SOX)就是一个很好的例子。你可以拥有世界上最好的安全性,但您仍需要一个外部评估,以填补一个复选框。上午我反对外界评估?不,我不是。我只是觉得,如果你打算花你的钱,有更好的方法来花掉。找一个偶然的扫描,但你付出多少就小心。这种类型的服务现在是一种商品。请记住,你还是要纠正你发现在某个时间点的东西。
发现
既然我已经彻底抨击了VA市场,我们可以谈谈如何在你的端点检测漏洞。您可以使用两种方法来检测漏洞。我在前几页谈到的第一点是:你可以浏览并期待最好的结果。但正如我所讨论的,扫描也有它的缺点。除了我之前提到的原因,我认为扫描是被动的和不准确的。
另一种,我认为是更有效的方法,是跟踪从端点添加或删除的内容。如果您知道端点上有什么,您可以将其与已知的漏洞列表进行比较,并确定风险和暴露。
这意味着,必须通过提供库存功能的智能剂或通过远程协议来访问端点任一。
另一种方式来做到这将是安装跟踪什么软件装在系统上的库存软件。它不会在频率上运行的是NAC需要,但它确实给你一些反馈,什么是生活在你的端点。
漏洞跟踪服务
多种服务跟踪漏洞,并且可以使用这些信息来检查端点安全漏洞。大多数网站使用称为通用漏洞披露,或CVE命名格式,说出自己的弱点。CVE允许使用漏洞的出版商达成共同的字典,希望它将使我们更有效地沟通。可以按如下方式找到这些数据库:
Secunia,http://secunia.com
SecurityFocus的,http://www.securityfocus.com
NIST,http://nvd.nist.gov
脆弱性管理
那么,漏洞管理(VM)和漏洞扫描有什么区别呢?对过程的承诺。VM的作用是获取有关端点状态、它们的漏洞的信息,并了解使用何种类型的缓解措施。再一次,我想说的有一种微妙的语气。仅仅因为你有一个漏洞并不意味着你要冲出并安装补丁。VM并不盲目相信供应商完善其产品的能力。它是关于理解漏洞、潜在的利用和您的业务流程如何相互交叉以形成一个可行的解决方案。
VM是基于不断重新评估您的漏洞姿势同时应用控制,确保业务目标是适当地满足的过程。您可以使用扫描,评估,评价,排序,实施,验证周期你的过程的基础。我们大多数人认识到这是基本的测试,分析,修复过程中,尽管有一些必要的控制,以确保成功。当你阅读下面几段,使用图5 - 6作为参考。
扫描。使用黑客眼中的VA扫描器或系统所有者的视图代理或库存控制工具,生成一个基于您所安装的所有软件的漏洞列表。
评估。根据可用的攻击和攻击距离来确定暴露的程度。该漏洞被成功利用来抵抗您的漏洞的风险是什么?该漏洞是否与其他漏洞存在恶意交互?什么是被禁止的行动方针?
评估。确定补丁或修复程序将如何影响您的生产过程。补丁需要重新编写定制代码吗?修复程序真的能减少漏洞吗?补救措施比风险更糟糕吗?
优先考虑。根据系统对组织的价值、成功攻击的风险和作为起点的能力,确定哪些系统将获得您的关键资源。
实行。安装补丁,更改程序,或删除有问题的对象。它可以是代码,比如Windows需要一个补丁,也可以是像Napster这样需要删除的东西。或者,正如在“渗透测试”一节中所讨论的,可能需要更改程序。
核实。你需要确保规定整治已经完成。这可能是一个重新扫描,也可能是审核。对于这个问题,它可能是一个完全升渗透测试。无论如何,你需要验证补丁确实已经实施。我建议,无论处理您使用您保持验证带外或外,正常的虚拟机的过程。这将作为一个检查和平衡你的整个虚拟机的过程。
重新开始。
VM进程定义了一组发现和管理网络环境中的漏洞的过程。
整治
无痛。透明。在我看来,这两个词准确地描述了补救过程的两个最重要的品质。当然,补救必须是可靠和准确的,但补救必须是无痛或透明的;否则,人们会找到绕过它的方法。如果它的限制太严格或太耗时,补救将被视为“那些生产力消耗的安全过程之一”,最终将被管理层在关键时刻绕过。
当AV先出来,文件被隔离,使得电子邮件管理员不得不将他们释放,人们围着过程将文件复制到软盘(记得那些?)。时的病毒仍流传,因为人们通过移动媒体只是提供的恶意软件不同的载波。杀毒软件厂商必须包括一项新功能,允许AV引擎扫描软盘。因而,典型的武器升级配置文件会继续。
为了解决这个问题,一些供应商已经构建了他们所谓的“自动化”补救工具。其概念是,当用户连接时,将确定用户的补丁级别。我之所以说“补丁级别”,是因为大多数补救供应商要么在漏洞管理领域,要么在补丁管理领域。
渗透测试
让我们说,社会工程是通过对人的操纵规避技术控制的方法开始本节。我们会有几段回本。
它是渗透测试,看看您的企业如何抵抗是攻击的目标。该过程通过学习目标开始。所以,你问几个简单的问题开始:
什么是目标做;什么是他们的事?
目标的威胁轮廓是什么?
目标是否依赖网络技术?
从这些基本的问题,更多的都可以问,但你真的需要从那里开始。
通过找出目标公司做什么,你了解他们要去该公司如何组织,哪些业务流程,以有到位。业务流程可以被攻击。