《宁盾物联网终端准入》由会员分享,可在线阅读,更多相关《宁盾物联网终端准入(5页珍藏版)》请在金锄头文库上搜索。
1、宁盾物联网终端准入之哑终端IP及MAC地址防伪造解决方IP/MAC地址伪造,传统哑终端认证再遇难题越来越多的终端支持网络接入功能,相比较传统电脑,哑终端安全维护相对 薄弱。传统MAC地址认证及黑白名单准入对ARP、DHCP的IP/MAC地址伪造显得 无缚鸡之力。如何在网络接入层加强哑终端的准入管理,防止 IP/MAC 伪造攻击? 宁盾提供哑终端指纹绑定解决方案。加强哑终端身份识别,杜绝非法伪造 IP/MAC 地址使用网络终端身份又可称为终端指纹,就像人类将身份证、护照、指纹、面部作为识 别通行证一样,哑终端MAC地址、IP地址、终端类型、操作系统、版本、品牌、 型号等均可作为终端指纹及身份标识
2、。通过可视化及自动化,宁盾新一代终端准 入引擎主动扫描除IP/MAC地址外的终端指纹,并将其作为合规性准入条件,通 过自动化隔离IP/MAC地址非法伪造的终端,提升哑终端网络使用安全。、被动主动式双重扫描提升终端指纹的精确度大部分攻击者通过笔记本攻击哑终端并伪造其 IP/MAC 地址盗取企业资源。 宁盾新一代终端准入(简称:ND ACE)采用User-Agent+ Nmap扫描的方式自动 实时检测入网终端的终端类型、操作系统、版本、品牌等,提升终端识别的精准 度,并及时阻断伪造IP/MAC地址的非法入侵。1、被动扫描 User-Agent简称UA,由一系列特殊字符串组成,基于浏览器UA的被动识
3、别方式。即用户打开浏览 器时,ND ACE扫描浏览器UA以获取终端操作系统、版本等信息的扫描方式。/对比User-Agent标准格式分析ND ACE被动探测的UA信息价值UA 字符串标准格式:浏览器标识 (操作系统标识; 加密等级标识; 浏览器语言) 渲染引 擎标识 版本信息下图为ND ACE对MacBook的UA扫描信息,对比UA字符串来分析ND ACE的UA扫描结 果得出:Network Function:Apple Mac OS;Operating System:Macintosh;Intel Mac OS X;Operating System Version:10.11;Endpoin
4、t DetailHIGeneral 匡User AgeniCountSessions :=Proce&s HMozliia/5.0 (MMlntosh. intel Mc 05 x 10.11 nn&i.Di Gecko/ZOIOOLOI Flrero)t/&1.D1ptch(Ua-cIhEo&h- Intel Mac 0S X 10 11.31 AppleWebKii37.36(KHTK1L. like Gecko)7Installed Software chrame/54io.2Bio.9B satan/537.36 QOBrser/4.z.47ia.ooFAmivirus 13MdZlI
5、la/S.D (MMlhCOS-h- intel Mac OS X 10 11J) ApplflWebKi;/&01.i|.4 (Ku!, like Gecko)Acc&ss&d Network 葩V&rsiona0.3 5afar|/6D1.4.4U&er Agent 日 |Nmap scan d2、Nmap:Network Mapper网络扫描和嗅探工具,具有主动发现终端、主动扫描端口、侦测版本及操作 系统的功能。宁盾 NDACE 通过 Nmap 主动扫描终端指纹信息提高终端身份指纹的 精准度,如:终端类型、操作系统、版本、MAC地址、IP地址等。/以 camera Nmap 扫描为例,对
6、照扫描信息做如下解释:a/ IP ADRESS:10.123.123.208;b/ Product Info:CameraHikvision;c/ MAC ADRESS:94:E1:AC:24:DD:CD;d/ Service Info:Linux (后来扫描结果因操作系统版本升级而发生改变);e/ Net work Func tion: webcam (对应宁盾 Net work Func tion: camera);增加哑终端合规化准入条件,自动化隔离非合规终端自动化检测哑终端的终端指纹并将其作为准入条件,将其与 VLAN 及虚拟防 火墙配合,自动化隔离非合规终端。以终端类型(Networ
7、kFunction)为例,宁 盾 ND ACE Net work Func tion 可支持检测(Windows、Mac、Linux、Unix)电脑、 (Android、iOS、Windows)手机、打印机、摄像头、IP电话、路由、交换、无 线 AC、 TV 等 IOT 及哑终端的终端类型。以此确保哑终端网络接入时除 IP/MAC 地址外,只有在终端类型一致的情况下才允许通过。/ 以 Printer Network Function 准入条件为例:1、前期准备,自动化对打印机组网进行分配;2、准入控制,检测打印机组网的终端类型,确保只有终端类型为 Printer 的才允许通 过,否则进行自动化
8、隔离;三、实时检测,及时排除非合规终端可视化终端列表,第一时间掌握企业终端运行状态。实时扫描终端类型,并 将伪造IP/MAC的笔记本终端排除网络。1、可视化终端资产可视化终端MAC地址、IP地址、Net work Func tion等信息,即使笔记本伪造了 MAC地 址,也会因终端类型(windows、Mac、Linux、Unix)不符而被自动排除。MAC;IPAdHrME :BytH *httwork P昨&冷洛E舶:新Mi.Xi.ta2.2只有在MAC地址和块端类型(Printer )個耳班1PnnScr同阿符合的请况下才允讦便霑网堆52:54 iD0:452E:FDE.V2L1M_121
9、DPnnar |osaQHK.3MPfflWBC 3a:D5:SC:E(MA:F71D.123L12S.1SBH3LKPnnifer2、实时检测周期Nmap扫描周期可需进行调整,最小周期为10分钟;并针对摄像头类型进行 强化,将最小周期缩短至2分钟。从实时扫描检测到自动化终端隔离,宁盾ND ACE 让整个准入及排障过程处于自动化状态,提高排障效率,减轻人为劳动成本。Delect User Agent:Nrnap ScanEnloted;scan inierMal ;SDgMMiftulSS最小扫髓周期対:LD分神”可抵需堆加时间;Scan Titneout:5MihuieMax Scan Crxjnt:2D如果扫描结果相同,可逬行鬣加Cairtera ScanEnahted ;IhltrvSl:gMinniesMax Scirt C&jnt:10MiAui.esThread Pool Size:12扫描垃程按盂选捏”越来越多的设备支持网络接入功能,大部分企业网络资产缺乏可视化及自动 化管理。基于“安全、体验、效率”设计原则,宁盾新一代终端准入控制引擎自 动检测入网终端的合规性,在扫描的过程中自动化实现分组、权限划分、准入控 制及联动修复,实现终端准入的全方位安全防护。
