freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

宁盾客户端Linux电脑检测及网络准入控制管理
2018-11-17 18:47:06

受移动化影响,每时每刻,不同终端在企业内网与外网之间进进出出,这些终端是否是企业授权的?安全是否合规?由谁在使用?大部分企业对此束手无策。尽管企业大多数研发使用Linux/Unix终端,但市面上对于Linux终端的合规性检测及网络准入控制产品则是少之又少,导致Linux终端基本处于无人管理状态。

Linux电脑如何管理,如何在入网的时候排除非合规终端?

首先实现终端资产可视化;

入网身份认证,绑定用户身份与终端行为;

终端入网合规性检测、安全隔离;

入网自动化分类及实时检测;

可视化网络拓扑,帮助企业合理分配网络资源;

1、终端入网可视化

宁盾终端准入(NAC)在不改变网络架构的基础上,旁挂于核心交换机,主动探测入网的一切终端,通过直接或折叠的方式直观的方式展示于终端准入控制中台,实现终端可视化管理。

图片 1.png

更多折叠信息


终端网络信息:MAC地址、IP地址、认证账号、域账号、终端类型、数据包、流量、首次入网时间、最后离网时间、网络来源;

Linux电脑基础信息:终端类型、操作系统、功能及作用、CPU占用率、剩余内存、总内存;

终端安全信息:是否安装客户端、补丁版本是否更新、是否安装杀毒软件、病毒库是否过期、安装了那些应用、运行着那些应用等。

2、终端入网身份认证,绑定用户身份与终端行为

随着WiFi覆盖面积扩大,万能钥匙、虚拟热点等致使接入网络的身份不受控制,再加上WPA2认证使用同一个账号和密码,企业无法将接入网络的终端与身份进行匹配,更无法根据用户审计上网行为。因此,规范化入网流程,确保用户只有在完成认证后才允许接入企业网络,同时通过MAC地址绑定用户身份与终端,防止非法访问的接入。

员工认证:宁盾为员工提供Portal账号密码认证及802.1X认证,同时为弱账号密码隐患提供账号密码加固方案;更多访客认证可咨询:宁盾网络认证方案

图片 2.png

3、Linux客户端合规准入

客户端安全检测:因为Linux系统主要面向研发,不像windows那样有统一的AD域管控方式,所以只能通过安装客户端的方式来检测Linux终端的合规性。面向Linux系统宁盾客户端(User Connecter)提供32位/64位客户端。基于“主动防御”检测电脑是否安装杀毒软件、是否安装企业必须的应用,补丁版本是否更新等等;

图片 3.png

自动安全隔离:根据终端类型、杀毒软件安装及运行状态、补丁更新状态、合规应用、非合规应用、是否认证、是否安装客户端、MAC地址列表、IP地址、IP地址段及自定义标签检测入网终端的合规性,并通过虚拟防火墙、VLAN等方式将非合规终端隔离至安全区;以排除BYOD、非企业授权终端以及安全状态不合规的终端等。

图片 4.png

4、入网自动化分类及实时检测

根据企业业务自定义标签,实时检测终端的实际情景条件实现其动态分类匹配及过滤;

比如根据职能网段划分:生产、办公、数据中心;

根据网络资源IP划分:允许访问JIRA的终端组、允许访问Confluence的终端组等;

通过实时检测终端的合规性,及时将非合规终端归类到非合规终端组中,通过自动化运维提升企业运维效率。

5、可视化网络拓扑,帮助企业合理分配网络资源

通过可视化网络拓扑,查看每个交换机上连接了那些AC和AP,每个AP上连接了多少终端等,帮助企业实现合理的分配网络资源,优化老旧过度使用的网络设备,减少不必要的终端浪费。

图片 5.png

通过可视化及自动化,宁盾终端准入(NAC)帮助客户发现接入企业的一切终端,并排除BYOD、访客终端及非合规的终端,结合一体化身份认证,实现企业对入网终端及身份的双重信任。




本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者