freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据库安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
FreeBuf+小程序

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

宁盾物联网终端准入之常见网络身份认证及准入控制对比分析
2019-01-30 11:09:03

受移动化影响,访客、合作伙伴、员工BYOD、及企业授权设备游走于企业网络中,常见网络身份认证方式包括Portal认证、802.1x认证、终端AD域检测及IoT身份认证。

一、常见网络身份认证及访问控制管理对比分析

对比项 Portal认证 802.1x认证 终端AD域检测
适用对象 访客、员工 企业员工 AD域员工
适用场景 内/外网 内/外网 内网
认证方式 短信、微信、协助扫码、邮件审批、用户名密码等多种认证方式 用户名密码 免认证
认证类型 三层网络认证 二层网络认证 终端准入认证
传输加密 —— 支持 ——
账号安全性 与动态密码融合加强账号安全性 定期修改密码或与Portal认证、动态密码结合实现账号安全加固 免密认证,高安全性
部署难度 win7及以下配置麻烦,故障较多
功能亮点 区分访客及员工身份 员工身份确认 阻止员工BYOD、访客进入企业内网,只允许企业派发AD域终端进入企业
终端安全性 —— —— 与其他终端准入条件联合,实现身份与终端的双重信任。

二、常规网络身份认证的应用场景

1、自助式访客认证

短信、微信认证:适用于对外开放式网络服务场景,访客自助连接企业网络并进行认证。
宁盾物联网终端准入之自助式访客认证短信、微信认证.jpg 

2、授权式访客认证

协助扫码认证:适用于限制访客接入企业网络的场景,访客只有在企业授权后才允许访问企业网络资源。

邮件审批认证:适用于长时间使用企业网络的外包人员。用户在认证前先需要向企业提交网络使用申请,企业审核后并将网络账号及密码发送至用户手机供用户上网认证。避免重复性认证及授权次数。

宁盾物联网终端准入之授权式访客认证协助扫码认证、邮件审批认证.jpg 

3、员工认证

802.1X认证:因8021.X 在win7及以下操作系统的配置较为复杂,所以该认证方式适用于办公设备以win10 操作系统为主的网络环境,同时802.1X 在Android、iOS的兼容性较好,也可适用于BYOD 认证场景。

用户名密码Portal认证:员工通过Portal认证的方式接入企业网络,为避免弱账号密码、账号密码共享的现象,可在账号密码的基础上增加动态密码进行加固。

宁盾物联网终端准入之员工入网802.1X认证、portal用户名+密码认证.jpg

4、终端AD域检测

如果说Portal认证的不同认证方式可以帮助企业区分员工与访客身份,那么终端AD域检测则可用于区分员工BYOD及企业派发设备

通过宁盾终端准入引擎(ND ACE)检测终端是否加入AD域,并通过Virtual Firewall 、Vlan、自定义Tag技术将非合规终端隔离至外网,实现终端及身份的自动合规准入。

宁盾物联网终端准入之终端AD域检测区分员工与访客身份1.jpg

宁盾物联网终端准入之终端AD域检测区分员工与访客身份2.jpg

5、终端及身份的安全性扩展

Forrest认为:“零”信任模型应建立在假设任何访问组织数据的人或设备对企业构成威胁的基础上的,即我们不应该信任网络中任何未经合规性检测的身份及终端。一般情况下,企业可以通过网络身份认证实现身份的校验。宁盾新一代终端准入引擎(ND ACE)主要用于实现终端的安全性、合规性准入,通过与网络身份认证集成,实现企业对访问业务的终端及身份的双重信任。

比如,将没有安装杀毒软件的终端隔离至外网

宁盾物联网终端准入之终端杀毒软件安装检测及未安装指定杀毒软件自动隔离终端.jpg 再比如,将没有更新WannaCry补丁的终端隔离至外网

宁盾物联网终端准入之终端wannacry补丁检测及未更新指定补丁自动隔离终端.jpg

还可做其他更多安全管控,如U盘管控、防私接热点、防蹭网等

被攻击的终端往往是由于终端安全环境较弱所导致的,企业除了保证入网身份的合规性,同时还应该加强终端安全合规性管理,更多终端安全功能请访问宁盾网站查看和咨询。

本文作者:, 转载请注明来自FreeBuf.COM

被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦