首頁 > 毋庸置疑的是,此類攻擊正在上升。事實上,美國計算機安全組織系統(tǒng)網(wǎng)絡安全協(xié)會(SANS Institute)最近已把這些客戶端攻擊列為最關(guān)鍵的安全隱患。雖然對于我們所有人來講,認為完全杜絕此類攻擊是愚魯?shù)模贿^,我們?nèi)匀豢梢赃x擇強有力的辦法來減少此類攻擊。
首先采取的步驟是,在一個包含眾多設備及用戶的局域網(wǎng)內(nèi)實施一個認證方案。如果一直采用的是802.1X協(xié)議的話,僅僅這樣做是不夠的,因為電話、打印機、醫(yī)療設備,機器人等大部分的其他設備無法支持該協(xié)議。這就需要一個途徑,確保你所知的每一個非用戶設備都連接在網(wǎng)絡上并了解此設備的類型。需要尋求一個認證方法,使得每一個具體已知設備都列入認證名單。如能利用反向域名解析(reverse DNS)來關(guān)聯(lián)設備名稱和類型從而自動識別這些設備那將更加完美。
接下來,需要給非用戶設備設置角色并分配權(quán)限。舉例說明,可以在你的網(wǎng)絡中定義一個適用于所有打印機和打印服務器的角色,至于訪問權(quán)限,可以指定打印機只能和打印服務器通信,而其他用戶設備也只能和打印服務器通信。(打印機和其他設備之間沒有通信權(quán)限)
同樣,在VoIP方面,可以賦予VoIP電話以VoIP的角色,并定義這些電話只與網(wǎng)絡電話管理員(call manager)通信。你甚至可以超越這種基于應用策略的分區(qū)保護模式。例如,可將扮演VoIP角色的設備只在SIP, H.323, 或是 SKINNY協(xié)議下通信,從而進一步防范基于數(shù)據(jù)的攻擊。此種分區(qū)機制非常有助于防止電話,打印機或是其他設備發(fā)起的攻擊。例如,一個裝有漏洞掃描軟件且處于險境的打印機,無法接觸任何網(wǎng)絡設備找到公共端口。同樣,一個VoIP電話也無法對其他服務器或是用戶終端發(fā)起攻擊,在應用保護的情況下,它甚至無法攻擊使用數(shù)據(jù)協(xié)議的網(wǎng)絡電話管理員。
有兩種選擇可以實現(xiàn)這樣的局域網(wǎng)安全保障。一種是使用新一代的局域網(wǎng)交換機,這種交換機在認證方面優(yōu)于802.1X,具備對用戶和設備基于應用策略的訪問控制能力,選用這種方式組網(wǎng),網(wǎng)絡便直接獲得了這種能力。如不考慮升級交換機,則考慮具備認證用戶和設備能力的安全應用程序,且要能夠自動設定角色并通過分區(qū)和申請?zhí)峁┗趹貌呗缘脑L問控制。
無論選擇訪問交換機還是應用程序,最關(guān)鍵的是在局域網(wǎng)的周邊提供恰當?shù)?保護,這個位置對于減少客戶端的攻擊至關(guān)重要。否則,一旦攻擊開始你將沒有任何工具能夠阻止。
IT專家網(wǎng)
