IP/MAC地址伪造，传统哑终端认证再遇难题

越来越多的终端支持网络接入功能，相比较传统电脑，哑终端安全维护相对薄弱。传统MAC地址认证及黑白名单准入对ARP、DHCP的 IP/MAC地址伪造显得无缚鸡之力。如何在网络接入层加强哑终端的准入管理，防止IP/MAC伪造攻击？宁盾提供哑终端指纹绑定解决方案。

加强哑终端身份识别，杜绝非法伪造IP/MAC地址使用网络

终端身份又可称为终端指纹,就像人类将身份证、护照、指纹、面部作为识别通行证一样，哑终端MAC地址、IP地址、终端类型、操作系统、版本、品牌、型号等均可作为终端指纹及身份标识。通过可视化及自动化，宁盾新一代终端准入引擎主动扫描除IP/MAC地址外的终端指纹，并将其作为合规性准入条件， 通过自动化隔离IP/MAC地址非法伪造的终端，提升哑终端网络使用安全。

一、被动＋主动式双重扫描提升终端指纹的精确度

大部分攻击者通过笔记本攻击哑终端并伪造其IP/MAC地址盗取企业资源。宁盾新一代终端准入（简称：ND ACE）采用User-Agent＋ Nmap扫描的方式自动实时检测入网终端的终端类型、操作系统、版本、品牌等，提升终端识别的精准度，并及时阻断伪造IP/MAC地址的非法入侵。

1、被动扫描User-Agent

简称UA，由一系列特殊字符串组成，基于浏览器UA的被动识别方式。即用户打开浏览器时，ND ACE扫描浏览器UA以获取终端操作系统、版本等信息的扫描方式。

//对比User-Agent标准格式分析ND ACE被动探测的UA信息价值

UA字符串标准格式：浏览器标识 (操作系统标识; 加密等级标识; 浏览器语言) 渲染引擎标识 版本信息

下图为ND ACE对MacBook的UA 扫描信息，对比UA字符串来分析ND ACE的UA扫描结果得出：

Network Function：Apple Mac OS；

Operating System：Macintosh;Intel Mac OS X;

Operating System Version：10.11；

2、Nmap:Network Mapper

网络扫描和嗅探工具，具有主动发现终端、主动扫描端口、侦测版本及操作系统的功能。宁盾ND ACE通过Nmap主动扫描终端指纹信息提高终端身份指纹的精准度，如：终端类型、操作系统、版本、MAC地址、IP地址等。

//以camera Nmap扫描为例，对照扫描信息做如下解释：

a/ IP ADRESS：10.123.123.208；

b/ Product Info：Camera／Hikvision；

c/ MAC ADRESS：94:E1:AC:24:DD:CD；

d/ Service Info：Linux (后来扫描结果因操作系统版本升级而发生改变)；

e/ Network Function：webcam（对应宁盾Network Function：camera）；

二、增加哑终端合规化准入条件，自动化隔离非合规终端

自动化检测哑终端的终端指纹并将其作为准入条件，将其与VLAN及虚拟防火墙配合，自动化隔离非合规终端。以终端类型（Network Function）为例，宁盾ND ACE Network Function可支持检测（Windows、Mac、Linux、Unix）电脑、（Android、iOS、Windows）手机、打印机、摄像头、IP电话、路由、交换、无线AC、TV等IOT及哑终端的终端类型。以此确保哑终端网络接入时除IP/MAC地址外，只有在终端类型一致的情况下才允许通过。

// 以Printer Network Function准入条件为例：

1、前期准备，自动化对打印机组网进行分配；

2、准入控制，检测打印机组网的终端类型，确保只有终端类型为Printer的才允许通过，否则进行自动化隔离；

三、实时检测，及时排除非合规终端

可视化终端列表，第一时间掌握企业终端运行状态。实时扫描终端类型，并将伪造IP/MAC的笔记本终端排除网络。

1、可视化终端资产

可视化终端MAC地址、IP地址、Network Function等信息，即使笔记本伪造了MAC地址，也会因终端类型（windows、Mac、Linux、Unix）不符而被自动排除。

2、实时检测周期

Nmap扫描周期可需进行调整，最小周期为10分钟；并针对摄像头类型进行强化，将最小周期缩短至2分钟。从实时扫描检测到自动化终端隔离，宁盾ND ACE让整个准入及排障过程处于自动化状态，提高排障效率，减轻人为劳动成本。

越来越多的设备支持网络接入功能，大部分企业网络资产缺乏可视化及自动化管理。基于“安全、体验、效率”设计原则，宁盾新一代终端准入控制引擎自动检测入网终端的合规性，在扫描的过程中自动化实现分组、权限划分、准入控制及联动修复，实现终端准入的全方位安全防护。