思科认证之确保网络端点安全的制胜之道
0 I& Z" v8 Q* ?. @% e如果将网络比作人的神经系统,那么端点就是其神经末梢。端点包括PC、笔记本电脑、手持设备及其它的特定设备。服务器或网关主管着集中化的安全软件,在必要时,还要验证终端用户登录,并向终端发送更新和补丁等。我们可以将端点安全看成是一种战略,其安全被分配到终端用户设备,但必须实施集中管理。端点安全系统往往以客户端/服务器模式运行。, h" p2 b4 t& ~& O: G! q3 D( i/ U
本文涉及到的关于端点安全的制胜之道全部来自于有着丰富实战经验的开发安全软件公司,作者择其要旨与读者分享它们关于反病毒、基于主机的入侵防御系统、行为保护、网络访问控制、应用程序控制等的技巧。( o6 g4 o/ ^- n% z1 ?0 j
要选择一种端点安全解决方案:无论你选择什么工具,都应当寻求对活动目录的本地支持,并且要能够支持你所拥有的设备类型。只有这样,才能更容易实施安全控制。第一步是确认用户或工作站。一种简单而基本的方法是在活动目录中定义下面这两个组,一是工作站(笔记本/桌面),二是安全组(IT 管理员/用户/临时用户)。& \) Z" D% F! G: ]5 q- j
当然,管理员可以根据需要定义其他的组,用以提供更精细的控制。/ X3 v& h8 z; @; }
第二步,阐述安全策略。为此,笔者提供了一些终端安全项目的制胜之道。记住,你可能需要逐个检查这些方法,但需要将其整合为一套策略,使其可以协同工作,以便于提供最佳的保护和控制。
5 `( B; L2 a6 q3 J' q, X2 ~" ~反病毒的制胜之道
, @; x" u' t; J! e& `1、至少每周执行一次扫描,最好在午饭时间进行。至于笔记本电脑,在其每次连接到公司网络时,都应当激发并实施完全扫描。3 |# s+ j4 Y1 Z! J
2、在移动设备插入到系统中时,应当执行完全扫描。$ L- I3 m' t; `+ g
3、每三小时执行一次反病毒签名的更新。
3 {3 ` ~' N; d) l% v) p4、需要配置工作站,使其在内部服务器发生硬件或软件问题而导致反病毒服务器发生故障时,能够从反病毒厂商的公共服务器直接下载签名更新。
4 V) i5 a R+ Y3 H o1 v2 X设备控制的制胜之道
& h% }! A& z$ ^8 Y0 x8 J1、公司内部必须禁用Wi-Fi。此规则还适用于所有的工作站、笔记本电脑和服务器。$ X m3 I, _' l4 ~1 U( X! r
2、为了阻止公司策略无法控制的通信,应当禁用modem、蓝牙及红外线等。# R* S$ h' a: a/ |* y
3、必须禁用USB key中的U3特性,因为它可用于虚假的光驱检测,使得恶意软件能够自动在工作站上运行。在浏览端点上的可移动设备时,U3 CD-ROM会被误认为是真实的光驱。! F' e- i5 D5 C0 o
4、在将文件写入可移动设备时,要审计插入的所有设备并捕获所有的活动。这样,你就可以监视信息的提取,并监视USB设备的使用。使用这些信息,就可以根据你的发现设置另外的策略。: U/ f9 D$ ~3 q# i( x
5、阻止从可移动设备和CD或DVD访问任何可执行的文件和脚本。这会阻止未知的漏洞被攻击者利用,从而防止恶意软件的运行。
6 |. U! X+ p, h5 U9 a0 R, l: j6、对写在大容量可移动存储设备(如CD、DVD和USB备份卷)上的所有数据进行加密。
" \& S2 x0 c7 i( s v" I主机IPS和行为保护的制胜之道
, o* [/ Q8 \- o+ \/ y1、键盘记录器保护:多数恶意软件都包括某种形式的键盘记录器引擎,借以恢复口令、信用卡号和其它的个人数据。一定要将键盘记录器的防护作为主机IPS策略的一部分。
) j0 M, |) E. Q7 J4 L2 E1 w2、网络监视:建立策略,使其可以监视任何企图访问网络的应用程序。未授权的连接有助于检测那些恶意软件进程。* o' D6 t. w( n
3、Rootkit保护:使用Windows所加载的驱动程序的预定义白名单,你可以检测貌似合法的恶意软件,可以挫败其盗用驱动程序的硬件厂商或软件厂商授权证书进而实施罪恶行径的企图。5 W3 A; E# O* ]9 P) j
4、防止DLL(动态链接库)注入:恶意软件最喜欢的一种用来阻止反病毒产品将自己清除出去的技术,即将其自身注入到一个正在运行的动态链接库中。反病毒产品无法将已经加载的动态链接库清除或隔离。一般情况下,恶意软件会将其自身加载到winlogon.exe或explorer.exe等系统进程中。( Z8 x% f2 o3 U- m4 X
5、使用入侵防御或行为保护的学习模式或测试模式应当成为一种强制要求。这样做可以防止一些似是而非的现象,而且有助于改善部署软件时的信任水平,特别是在涉及到更新或安装新的应用程序时,因为这通常是会导致假象的行动。6 B, m3 n8 N) v2 V
对缓冲区溢出的保护如今成为强制性要求。一个很好的例子是前些日子针对微软Windows和Adobe Acrobat的漏洞。须知,收到修复的时间可能要达一个月之久,而互联网上对漏洞的利用在几小时之内就可实现。3 `$ X, J s' ^' |! k& I
网络罪犯会利用用户的操作系统。因为操作系统经常发生改变,其目的是为了支持合法的应用程序。因而,管理员必须保障Windows注册表的安全,只有这样才能防止恶意软件的自动加载。例如,恶意软件可注入到系统的DLL、Windows服务、驱动程序中。* c* {; r" M8 I" w& N
4 L8 p& ]% q/ E) N0 s5 O: k" z# z0 A3 [6 X5 Y
应当防止应用程序将可执行文件或脚本复制到网络共享中。这会防止蠕虫在公司网络内的传播。
' t/ @1 w# }& y9 z! L8 A应当禁用敏感的应用程序(如财务软件)中“打印屏幕(Prt Scr)”以及“复制/粘贴”功能。2 `6 m6 ~) [; ?& v* F
应当强化规则,仅准许特定的应用程序在远程服务器上存储文件。
4 f7 I' B3 G) F8 a/ z安全水平不仅以当前登录的用户为基础,而且还依赖于用户的连接位置和连接环境。如果是笔记本电脑,根据其位置就应当存在着三种不同的策略水平:公司网络内部、公司网络外部、通过VPN连接到互联网。可以阻止其它的连接类型,如试图通过不安全的Wi-Fi网络连接至互联网的企图。
3 Y2 [ q# h, s3 |) e7 ?3 k g1 o5 n2 o为决定设备的位置,你需要一种能够检测被激活的网络接口所在位置的解决方案,还要能够收集该设备的IP信息(IP地址、DNS等),能够使用本地和网络的活动目录信息,以决定设备的类型、角色、组等。仅使用一台服务器来测试设备的位置是很危险的,因为如果服务器离线了,就再也无法得到合法的位置,并且所有的工作站无法连接到公司网络,因而就会按照一种错误的策略来运行。* a) T) X( `# E' _ Y
下面的这个例子中所展示的位置设置适用于多数公司:
8 l* w$ p v* ]6 C5 d% X! v9 `$ H1、内部定位:由于仅激活了局域网接口,所以可检查工作站是否用LDAP进行认证。, q: `& R8 |- l8 R
2、VPN定位:激活了VPN接口,并且拥有VPN子网的正确IP地址。$ C+ x3 d; ?5 C8 r# Y8 B* P
3、外部定位:既非内部又非VPN。6 b* Y+ ^1 N F6 o! w+ B
在确认了这三个位置之后,就可以应用下面的策略:
' [6 ]. T) L9 h5 m4 s. c) Z3 p/ i1、内部策略:仅准许白名单列表中的网络接口。这会防止非法或不安全的桥接通过网络接口。/ D* v& k5 Z! b4 g
2、VPN策略:将网络进入或转出的连接限制到最小值。这有助于增强安全性,更有助于节省VPN的带宽。
5 e3 O, l6 ^' c: L$ y1 M4 a4 E: L3、外部策略:应当将网络连接限制到有限的时间,并且仅能用于建立VPN连接。首先要测试用户通过热点进行连接的情况。然后,给用户一个“机会窗口”(也就是一小段时间,如三分钟),此时,用户可以打开一个web连接来进行验证并进入热点入口(如宾馆的热点入口)。一旦通过认证进入了热点入口,就可以建立VPN连接。& l6 [4 V. u/ W X$ W
网络访问控制的制胜之道
: q5 Z: G: ]" z7 |" d为部署基本的NAC功能,802.1X可成为防止未授权工作站与公司网络建立连接的核心层。对于一个基于Windows的环境而言,实现这一点的最简单的方法是通过活动目录。! [' h9 [* P6 e4 A& G0 O) N$ }
在部署了802.1x之后,下一步就是实施一个基于网络的NAC方案,如微软的NAP等。这一步骤会提供必要的机制,用于根据工作站的状态(是否感染恶意软件、客户机的系统等)来与VLAN建立连接。& u3 Q6 k" H/ f8 E
最后,与你的NAC方案兼容的端点保护技术可以提升NAC的功能,因为端点代理除了有助于隔离、修复、控制工作站之外,还可提供工作站的深层次的健康状态。
Q# P2 z6 ?' {. |, R) d! B2 b, w为确保基于NAC的安全策略的良好水平,笔者给出下面的一些控制手段:
' ]; I# t( V8 G4 V/ R( P& [+ W1、检查工作站是否有操作系统及应用程序的所有补丁。& o9 N7 o+ J+ q. `$ @6 A
2、检查反病毒工具的状态和签名是否最新,并确保用最新的签名对系统执行扫描。4 O5 G0 Z# A6 |8 d% f2 ^3 z
3、检查所安装的和正在运行的软件部署、管理,或检查其是否缺乏配置或配置错误。- w5 i7 r% @! v1 D& D/ Q: E0 N
如果一台工作站无法通过上述的任何一个或所有的检查,就应当对其进行隔离,并限制它,使其仅能做如下操作:
* W3 b: L! ?/ `" X接收一个通过邮件通知,此通知会向用户和管理员解释工作站的状态。( o& s9 n: |/ k) v$ X' [5 l6 w4 R
如果802.1x可用,应当将工作站置于专用于隔离的虚拟局域网中。( r6 F. k: n) m6 ]: h
仅能读取USB设备或其它的移动设备(例如,可通过无线网络实施访问的设备)。
2 n) }) F# \4 K4 }* T0 |对网络连接进行限制,只能将其用于修复活动、更新、告知用户等。; u$ [/ s3 t! ]' s
电子邮件及浏览器应用程序应当拒绝访问被下载的、打开的或上传的任何文件,其目的是为了防止蠕虫扩散,但要准许雇员使用邮件工作。( C' g; e; i2 P+ D) k4 ~
端点保护产品应当提供自动修复,修复工作站,而无需任何管理员的干预,要能够在完成修复后自动地将工作站从隔离性VLAN转移到生产性VLAN。- B" s7 v( Y5 a* `( [! Q
在选择端点保护方案时,NAC的健康检查应当快速高效,最好能在一分钟内完成。此外,在加载系统之后,应当立即加载端点保护的NAC功能。最后,即使端点并没有连接到公司网络或VLAN,端点保护产品也应当为端点提供相同的NAC水平的保护。 |
发表于 2012-8-3 20:03:30
