首頁 > Emma 2007/12/20
最近我聽說了比較多的有關(guān)新型局域網(wǎng)攻擊的消息,例如VoIP攻擊,或者使用打印機(jī)作為攻擊源的探測。那么局域網(wǎng)安全措施如何保護(hù)我們免受這些攻擊困擾呢?這些攻擊正在上升,這絕對是個事實。實際上,SANs研究機(jī)構(gòu)最近將客戶端攻擊列為當(dāng)今最為嚴(yán)重的弱點之一。然而如果我們中的任何人認(rèn)為我們可以充分保護(hù),免受此類攻擊的話,那么就是有勇無謀的了,當(dāng)有攻擊威脅到你的企業(yè)的時候,你當(dāng)然可以有一些強(qiáng)有力的措施來減輕威脅。
要采用的第一個步驟就是在你的局域網(wǎng)中實現(xiàn)一個認(rèn)證的機(jī)制,這個局域網(wǎng)中包括了設(shè)備還有用戶。如果你購買了一些類似802.1x的產(chǎn)品,它們并不充分,因為電話、打印機(jī)、體檢設(shè)備,機(jī)器人,以及其他一些設(shè)備絕大部分都不支持802.1x的要求。
你需要一種方式去確保你知道每個插入網(wǎng)絡(luò)的非用戶設(shè)備,你也會知道它是什么樣的設(shè)備。尋找一種認(rèn)證方式,讓你可以將你的某些特定的設(shè)備列入優(yōu)良者名單,或者更好是,幫助你自動識別那些設(shè)備,通過使用反向DNS來講設(shè)備名與設(shè)備類型聯(lián)系起來。
接下來,你需要一種方式將這些非用戶設(shè)備放入一個角色,并給這個角色分配訪問權(quán)限。例如,你可以訂一個打印機(jī)角色,可以應(yīng)用給你的環(huán)境中的所有的打印機(jī)和打印機(jī)服務(wù)器。至于訪問權(quán)限,你可以指定打印機(jī)只能與打印機(jī)服務(wù)器通訊,所有的用戶設(shè)備都只能夠與打印機(jī)服務(wù)器進(jìn)行通訊。通過這種類型的策略,你可以訪問用戶設(shè)備和打印機(jī)之間的直接通訊。
在VoIP方面也類似,你可以指定VoIP電話給VoIP角色,然后定義這些VoIP電話只可以與呼叫管理器通訊。你甚至可以使用基于應(yīng)用的策略來超越這種基于地域的保護(hù)。例如,你可以說,具有VoIP角色的設(shè)備應(yīng)該只使用SIP,H.323,或者SKINNY來進(jìn)行通信,例如,更進(jìn)一步地保護(hù)免受基于數(shù)據(jù)的攻擊。
這種類型的領(lǐng)域劃分在保護(hù)電話、打印機(jī)或者其他可能作為攻擊發(fā)起點的設(shè)備方面非常有幫助。例如,被約束的打印機(jī),并且有漏洞掃描軟件安裝在上面的話,它是不會被尋找開放端口的所有網(wǎng)絡(luò)設(shè)備觸及的。還有VoIP電話不能用于發(fā)起一個針對其他服務(wù)器或者終端用戶機(jī)器的攻擊;通過應(yīng)用保護(hù),它甚至不能使用數(shù)據(jù)協(xié)議攻擊呼叫管理器。
那么你用何種方式能夠獲得這樣的局域網(wǎng)安全保護(hù)呢?你有很多選擇。下一代局域網(wǎng)交換機(jī),帶有802.1x之外的認(rèn)證,可以對用戶和設(shè)備應(yīng)用基于策略的訪問控制,這是將這種能力直接引入你的局域網(wǎng)的非常不錯的方式。如果你還不想升級交換機(jī),那么考慮一下具有認(rèn)證用戶和設(shè)備能力,能夠給設(shè)備自動分配角色,并且可以根據(jù)領(lǐng)域和應(yīng)用采用基于策略的控制的安全設(shè)備。
無論是選擇了訪問交換或者設(shè)備,關(guān)鍵是要把保護(hù)正確應(yīng)用到局域網(wǎng)的用戶邊緣上。這個地點對于減少這些基于客戶的攻擊是至關(guān)重要的。否則,你就沒有工具在他們開始的地方去阻斷運(yùn)輸流量。
IT專家網(wǎng)
