400-658-2855
< 返回 首页 > 产品中心 > 新一代终端准入 > 新闻动态 > 解疑答惑|哑终端安全如何防护?

解疑答惑|哑终端安全如何防护?

发布时间:2018-09-17 10:57:58 来源: 点击量:

IP/MAC地址伪造,传统哑终端认证再遇难题
越来越多的终端支持网络接入功能,相比较传统电脑,哑终端安全维护相对薄弱。传统MAC地址认证及黑白名单准入对ARP、DHCP的 IP/MAC地址伪造显得无缚鸡之力。如何在网络接入层加强哑终端的准入管理,防止IP/MAC伪造攻击?宁盾提供哑终端指纹绑定解决方案。
 
加强哑终端身份识别,杜绝非法伪造IP/MAC地址使用网络
终端身份又可称为终端指纹,就像人类将身份证、护照、指纹、面部作为识别通行证一样,哑终端MAC地址、IP地址、终端类型、操作系统、版本、品牌、型号等均可作为终端指纹及身份标识。通过可视化及自动化,宁盾新一代终端准入引擎主动扫描除IP/MAC地址外的终端指纹,并将其作为合规性准入条件,
通过自动化隔离IP/MAC地址非法伪造的终端,提升哑终端网络使用安全。
 
一、被动+主动式双重扫描提升终端指纹的精确度
大部分攻击者通过笔记本攻击哑终端并伪造其IP/MAC地址盗取企业资源。宁盾新一代终端准入(简称:ND ACE)采用User-Agent+ Nmap扫描的方式自动实时检测入网终端的终端类型、操作系统、版本、品牌等,提升终端识别的精准度,并及时阻断伪造IP/MAC地址的非法入侵。
 
1、被动扫描User-Agent:简称UA,由一系列特殊字符串组成,基于浏览器UA的被动识别方式。即用户打开浏览器时,ND ACE扫描浏览器UA以获取终端操作系统、版本等信息的扫描方式。
 
//对比User-Agent标准格式分析ND ACE被动探测的UA信息价值
UA字符串标准格式:浏览器标识 (操作系统标识; 加密等级标识; 浏览器语言) 渲染引擎标识 版本信息
下图为ND ACE对MacBook的UA 扫描信息,对比UA字符串来分析ND ACE的UA扫描结果得出:
Network Function:Apple Mac OS;
Operating System:Macintosh;Intel Mac OS X;
Operating System Version:10.11;


2、Nmap:Network Mapper(网络扫描和嗅探工具),具有主动发现终端、主动扫描端口、侦测版本及操作系统的功能。宁盾ND ACE通过Nmap主动扫描终端指纹信息提高终端身份指纹的精准度,如:终端类型、操作系统、版本、MAC地址、IP地址等。
 
//以camera Nmap扫描为例,对照扫描信息做如下解释:
a/ IP ADRESS:10.123.123.208;
b/ Product Info:Camera/Hikvision;
c/ MAC ADRESS:94:E1:AC:24:DD:CD;
d/ Service Info:Linux (后来扫描结果因操作系统版本升级而发生改变);
e/ Network Function:webcam(对应宁盾Network Function:camera);



二、增加哑终端合规化准入条件,自动化隔离非合规终端
自动化检测哑终端的终端指纹并将其作为准入条件,将其与VLAN及虚拟防火墙配合,自动化隔离非合规终端。以终端类型(Network Function)为例,宁盾ND ACE Network Function可支持检测(Windows、Mac、Linux、Unix)电脑、(Android、iOS、Windows)手机、打印机、摄像头、IP电话、路由、交换、无线AC、TV等IOT及哑终端的终端类型。以此确保哑终端网络接入时除IP/MAC地址外,只有在终端类型一致的情况下才允许通过。
 
// 以Printer Network Function准入条件为例:
1、前期准备,自动化对打印机组网进行分配;
2、准入控制,检测打印机组网的终端类型,确保只有终端类型为Printer的才允许通过,否则进行自动化隔离;



三、实时检测,及时排除非合规终端
可视化终端列表,第一时间掌握企业终端运行状态。实时扫描终端类型,并将伪造IP/MAC的笔记本终端排除网络。
1、可视化终端资产:可视化终端MAC地址、IP地址、Network Function等信息,即使笔记本伪造了MAC地址,也会因终端类型(windows、Mac、Linux、Unix)不符而被自动排除。



2、实时检测周期:Nmap扫描周期可需进行调整,最小周期为10分钟;并针对摄像头类型进行强化,将最小周期缩短至2分钟。从实时扫描检测到自动化终端隔离,宁盾ND ACE让整个准入及排障过程处于自动化状态,提高排障效率,减轻人为劳动成本。



越来越多的设备支持网络接入功能,大部分企业网络资产缺乏可视化及自动化管理。基于“安全、体验、效率”设计原则,宁盾新一代终端准入控制引擎自动检测入网终端的合规性,在扫描的过程中自动化实现分组、权限划分、准入控制及联动修复,实现终端准入的全方位安全防护。

©2018 年 宁盾科技 版权所有。

—END—

全场景身份与访问管理


申请试用 -->

上海宁盾信息科技有限公司
  • 产品咨询:400-658-2855
  • 售后电话:(021)5426-3385