我需要叉车吗?
正如我在前面指出的,并不是所有的网络基础设施设备可以支持你的决定依赖于802.1 x。作为我们的网络增长和扩大这些年来,我们积累了不同的供应商和不同版本的每个供应商的设备。他们所有的人都不会有相同的能力。加上这一事实有成千上万的“哑巴”开关(或更糟的是,简单的中心),你开始看到问题如何迅速失控。
我们中的一些人将不得不扯掉和取代大量的设备。
升级是昂贵的
硬件供应商喜欢改变。改变意味着他们可以卖出更多的硬件!当人们停止购买新硬件或硬件升级,“网络铁”公司会倒闭。我们看到这发生在“泡沫”破灭了。人们等待“杀手级应用”,而在预期其他人疯狂安装大量的纤维和基础设施。有一天有人醒了,说:“嘿,我们有很多黑暗的纤维和填充比特没有杀手级应用。也许我们应该停止买东西。”
旋转失速,崩溃,燃烧,死亡。
由此产生的事故并没有真正降低设备的价格,很遗憾。我的最新数据来自一个金融客户计划升级到802.1 x-capable设备。他称他的网络硬件供应商在聊天,告诉他他打算做什么。供应商告诉他,他所有的中心将不得不被替换,因为802.1 x只允许一个连接端口,每个新连接需要身份验证和会杀死最后一个连接。大多数用户将分类为“坏。”Some of my friend's switches were a couple of years old, and they didn't have the memory capacity for the new code; and because they were so old, they couldn't have more memory added. They would have to be replaced. However, a good number of the switches could be upgraded and would have to be to support the 802.1x-capable code. Yay! Now, you probably need some professional services people to help with such a huge upgrade. After all, a lot of details and configuration changes need to be accounted for. Oh, and he needed a "good solid project manager" to pull all those PS people together. By the time it was over, my friend was looking at a $2 million plus, one year to complete, "you get to keep the forklift" upgrade.
让我们没有提到的时间和潜在的灾难用户而言。新设备成为选择的借口。“因为你填空打嗝,我错过了我的交货日期!”
好消息是,他能说服董事会,它更重要的是一个领导者在安全空间比明天的头条新闻,和他们去实现CLPC-enforced网络。
更便宜的方式
所以,你不想帮助你的本地网络代表偿还他的崭新的宝马吗?有更便宜的方式。它不是那么有效,但它的工作。我所说“这是有效的”,因为它依赖于自愿参与。
而不是依靠开关来做这个决定,你可以使用互联网协议(IP)的端点使用IP地址和它的相关子网掩码接受交通。你可以使用这个优势的一种误用实现IP协议。通过使用DHCP,你可以控制一个端点是否和如何谈判到网络。这个作品,因为交换机工作在二层和路由器运行在第三层。利用开关使单个端点之间的连接基于媒体访问控制(MAC)地址和使用路由器控制如何使用IP地址,网络交流可以获得大量的控制网络上的所有端点。
让我们来看看它是如何工作的,从DHCP协议。动态主机配置协议,4简称DHCP,进化的引导协议(BOOTP)用于互联网的早期。DHCP是向后兼容BOOTP并支持租赁的概念。而不是得到一个永久的IP地址,DHCP允许您使用的IP地址只要租赁是有效的。租赁期满时,端点上的DHCP客户端“释放”回到了DHCP服务器的IP地址。
如果你的端点不配置一个静态或固定的IP地址,通常是问一个DHCP服务器的地址。您通常会第一个DHCP租期第一端点连接网络时,但还有其他的时候,你可以得到一个。许多操作系统与网络配置出来的盒子和一个DHCP服务器。
完整的协议交换是相当优雅。请求的端点发送一个广播数据包的目的地址1和0的源地址。一听DHCP服务器响应数据包的IP地址、子网掩码,默认网关,租赁的长度,和至少一个DNS服务器,如表5 - 1所示。
表5 - 1简单的DHCP网络范围
参数 |
设置 |
|---|---|
IP地址 |
192.168.168.21 |
子网掩码 |
255.255.255.0 |
默认网关 |
192.168.168.1 |
租赁时间以秒为单位 |
7200年 |
DNS服务器 |
192.168.1.25 |
它可以发送更多的信息,特别是如果你是一个微软的端点,但我们会停止在这个级别的细节,因为这不是一本关于DHCP协议。端点已经收到了IP地址信息后,它将一个消息发送回服务器承认它将使用的地址。
使用信息表中,我们可以看到,我们现在的端点设备访问网络两个小时。当两个小时,它将不得不又问DHCP服务器的地址。
那么,为什么这个很酷,我们可以使用它对我们有利吗?开始,它很酷,因为我们大多数人都懒惰和DHCP很容易支持一个基于IP的网络,因为你没有配置静态IP地址和时间浪费在与他们的所有信息。每次你摸一个端点是一个机会搞砸,你消除DHCP。不利的一面是,如果你错误地配置DHCP服务器,你可以真正“螺丝狗”为所有的用户。
我们如何使用这个对我们有利?容易,大多数DHCP服务器可以管理多个范围。一个范围是一个极客术语定义每组参数为每个组DHCP服务器的IP地址范围将分发。一个范围可能说的IP地址范围的参数描述在表5 - 1,而另一个范围中定义的参数表5 - 2。表5 - 2中,范围作为修复范围;底部范围允许连接到生产网络。
表5 - 2两个DHCP作用域
参数 |
设置 |
|---|---|
IP地址范围开始 |
192.168.168.2 |
IP地址范围结束 |
192.168.168.31 |
默认网关 |
192.168.168.1 |
子网掩码 |
255.255.255.224 |
租赁时间以秒为单位 |
7200年 |
DNS服务器 |
192.168.1.25 |
IP地址范围开始 |
192.168.2.2 |
IP地址范围结束 |
192.168.2.127 |
默认网关 |
192.168.2.1 |
子网掩码 |
255.255.255.128 |
租赁时间以秒为单位 |
14400年 |
DNS服务器 |
192.168.1.25 |
范围通常是与网络有关,但这可以用第三方软件,硬件,或魔法。
如果你认为一个范围是一个可信的网络,另一个不可信的网络,你明白我们要做什么。当端点启动时,它会得到一个地址不可信或隔离网络。当它可以证明DHCP服务器,它可以被信任,DHCP服务器给了它一个地址在信任的企业网络。
神奇的一部分与路由器如何处理DHCP请求。因为一个DHCP服务器可能不是在同一网段作为客户端,路由器必须告诉DHCP服务器网络客户端请求住在DHCP请求。所以,当路由器看到DHCP请求,它附加的网络数据包的包。DHCP服务器使用这些信息来决定哪些范围为一个地址。DHCP强制使用,选择网络端点会被分配到。网络访问控制(NAC)客户端附加合规信息,路由器附加网络信息,信息是拆卸和/服务器发送到DHCP执行者。有很多方法可以做到这一点,它取决于供应商使用的是什么方法。它可以改变DHCP软件,也可以是一个代理服务器在DHCP服务器的前面。
为什么这个工作吗?因为路由器可以支持多个IP地址范围的接口,从而使可路由和unroutable IP地址范围在同一网络。对于这个问题,如果路由器不知道一个IP地址范围,它就像伪造地址将数据包。即时控制!在图盘中,里面的端点的虚线框将无法获得网络的其余部分,因为他们的IP地址不会通过路由器。
DHCP执行。通过巧妙的使用代理服务器和路由器,DHCP NAC执法提供容器。
既然我们已经看了为什么DHCP的作品,让我们考虑一下为什么它不工作。这是自愿的。如果我决定,我要手动指定一个IP地址从一个观察到的IP列表,我可以击败DHCP执法。你应该考虑DHCP迁移机制,但完全依靠它可能不是最好的主意。
技术承诺和期货
技术让我们这里,和技术会拯救我们。我可以证明这一点!技术让我们“这里”在过去的50年。自从第一台计算机,技术已经承诺我们一个更好的未来,它会很快的某个时候拯救我们。任何时刻现在技术是要骑着大白马和拯救我们的屁股。然而,我不是屏息以待。
正如技术提供了一个救世主,技术还将提供三个新的对手。我们将添加执行我们的解决方案,但就像一个水气球,你挤在中间,我们的问题将出现在其他地方。如果我们继续治疗技术作为一系列点解决方案旨在解决我们的问题,我们会很失望很长一段时间。
所以,未来将会是什么?如果我们不改变我们的方法并不多。我们不能继续让供应商驱动的解决方案通过营销和威胁。安全是铰链的未来将其转化为一个工程领域完成流程和假设。从这些假设,我们将能够工艺具体测试,运行测试,分析测试结果,看他们是否同意我们的假设。如果他们这样做了,我们更近一步更好的安全性。如果没有,我们可以重新审视和重新组织我们的假设。
我们可以设置一些里程碑,但当我们对他们来说,我们需要准备好继续下一个。我们保护我们的环境,我们需要把注意力转向我们生成的数据。
在前面的段落中,我们讨论了划分我们的网络保护他们。方法之一是网络的划分根据数据分类。使用我们目前的操作系统架构,这是我们所能做的。我们没有标签,我们无法做出决定基于数据的分类。当然,第三方的数据保护解决方案确实存在,但他们完善,因此不考虑投入操作系统的一部分。
端点支持
我们的解决方案是如何工作的将是基于视觉,简单性和常识。每个端点将不得不接受一种不同的支持,因为每个端点类型有不同的相关联的用户配置文件。一些端点,比如我们的工业控制器,没有用户本身;他们有“演员”,如“机器人”。
身份验证
身份验证用于识别用户。近年来,已经扩大到包括定义系统在某种程度上。通过使用证书,你可以相当肯定你真的说到服务器,你打算谈谈。
可信计算组织(TCG)扩大了身份验证机制,它包括硬件。这是一个伟大的事情,因为它应该降低未来笔记本盗窃的发生率,使其更容易跟踪(因此更难出售)赃物。然而,应该说所有的可信平台模块(TPM)是,是一个安全的地方来存储密钥和证书。我们如此痛苦地意识到,每一个安全解决方案,我们已经想出过去已经绕过或破碎,从而让我们在方向盘上的痛苦。
CLPC和南汽的目的,我们要信任元素包含在我们的认证协议。这种信任元素将包含一个决心对端点的状态。简而言之,它将检查端点是否符合预设的遵从性,因此一个隐含的信任度。
供应商支持
我已经说过了,没有很多的选择来帮助集成端点和网络。我们指望NAC(任何形式)来帮助,但供应商正在进入市场。一个警告:以下信息是准确的。供应商快速改变方向,虽然有预期从思科和微软产品,推动各自的解决方案,这可能会改变后的第二天发表。
硬件供应商,如Enterasys铸造网络,极端的网络,目前瞻博网络提供了一些,如果不是全部,部分的解决方案。5Juniper购买恐慌和钢束腰半径的产品线;与此同时,结合现有的产品线,他们似乎除了端点诚信合规提供一些。
Enterasys文献显示他们做系统的远程扫描,他们声称他们的代理解决方案,也可信终端解决方案,适用于其他产品,管理政策和身份验证、授权和审计(AAA)。6深入了解一下他们的产品表明Enterasys依赖Sygate(现在赛门铁克)和区(现在检查点)代理检查完整性。
铸造了同样的方法,Enterasys没有太奇怪考虑铸造是一个硬件供应商。7使他们的解决方案工作,你需要一个好的代理端点,这意味着赛门铁克或检查。铸造和赛门铁克是一个解决方案,我亲眼看过工作。花了一点工作得到补救工作的一部分,因为它必须有一些自定义脚本,但它确实工作。
极端也与另一个供应商(在这种情况下,StillSecure)提供众多的南汽的解决方案。8他们声称提供无代理测试通过StillSecure安全访问的解决方案。这个过程使用Windows远程过程调用(RPC)和凭证查询端点,因此每个端点必须配置为接受StillSecure访问完成测试。端点防火墙必须配置为允许这种类型的访问。值得庆幸的是,我们还没有看到任何RPC的缓冲区溢出漏洞,允许攻击者自2003年底以来执行任意代码。9但是,如果使用Windows RPC让你紧张,你可以使用基于浏览器的ActiveX工具!如果你想避免ms06 - 014的远程执行代码表示是可能的(除非你补丁“最早的机会”),10不过,你总是可以使用StillSecure代理。
赛门铁克现在南汽提供由于其购买Sygate。赛门铁克Sygate企业保护(SSEP)解决方案是一个基于代理的解决方案,利用802.1 x(额外的模块),DHCP,或网络划分。代理都可以做,从而消除对802.1 x或DHCP的依赖。然而,安全的一个基本原则是,如果你可以把你的手放在它,你可以进入它。都是最后一招,如果你没有其他的选择,你没有一个非常复杂的用户社区。SSEP的确有一个完整组件,确保了系统所需的软件和补丁,积极防止恶意软件时下机器。操作系统保护检查系统调用是如何制造的;如果他们表现出未知的行为,调用终止。
赛门铁克/铸造组合也是一个解决方案,我所见过的工作。通过使用的802.1 x能力铸造FastIron开关,不合规的端点是转向一个补救局域网,他们可以被修复。SSEP提供补救服务以及与第三方修复和补丁管理产品。
检查完整性有一组类似的特性对南汽,但包装VPN的支持和与其他检查安全产品集成到混合。完整性也有一个端点完整性选项,可以用来评估端点的安全状态,如果需要,启动补救行动或隔离。
思科和微软,在撰写本文时,尚未完全部署解决方案。他们似乎有一个很好的愿景,但实现方面有点慢。
Infoblox11是一个有趣的解决方案,因为它是一个工具包,只有地址DHCP-based南汽。让我在这里画一个类比。你走进一家宠物店,要求一只狗。店员问道,“你想要什么样的狗?”Check Point and Symantec products are kind of like that pet shop. Do you want DHCP, 802.1x, compartmentalization, or do you want a mutt? On the other hand, you can walk into a pet shop, ask the clerk for a dog, and the clerk can hand you some DNA and tell you that you can make any kind of dog you want. Toolkits are like that.
漏洞和补救
正如前面提到的,一个令人难以置信的行业是致力于识别和分类的弱点在您的网络。公司如Qualys和nCircle已经成功地实现了一个商业模式,以漏洞检测和分析。
我想我应该清楚当我让下一个点,因为我要用棍子戳一些人的眼睛。的漏洞评估(VA)行业的营销模式是基于两点:
消除暴露弱点会让你安全的。
修复扫描,扫描模型是有效的。
我认为有更多的问题比供应商“黑客的眼睛视图”也许会让你相信。
首先,你的网络是变化的速度比你可以扫描它。在最好的情况下,扫描的快照是一个快速移动的场景。想象试图找出一个电影是通过观察每第一万帧!
第二,仅仅扫描网络行为本身可能产生问题。如果你有任何类型的入侵检测软件,它确保警报在端点被扫描的事实。当然,你可以添加例外你的基于网络的入侵检测系统(NIDS)和基于主机的入侵检测系统(HIDS),但是你必须做,每次扫描源的变化。即便如此,一些应用程序不喜欢被扫描并可能通过崩溃或减慢,服务水平受到影响。
第三,尽管他们可以配置为,这些扫描不扫描每一个端口。他们只扫描数量相对较小的港口。如果有人想隐藏一个非法应用程序,它不会很难。
扫描也对网络上的端点。一个漏洞是一个弱点。
为什么扫描吗?嗯,一个简单的答案是,它帮助一个组织满足外部评估的监管要求。萨班斯-奥克斯利法案(SOx)是一个完美的例子。你可以拥有世界上最好的安全,但你仍然需要外部评估来填补一个复选框。我反对外部评估吗?不,我不是。我只是觉得,如果你想花你的钱,有更好的花钱的方式。偶尔的扫描,但小心你支付多少。这种类型的服务现在是商品。补救,记住,你还有你会发现在某个时间点上。
检测
现在,我已经完全猛击VA市场,我们可以谈论如何在你的端点检测漏洞。可以使用一些方法来检测漏洞。第一个我谈到在前面的页面:你可以扫描和最好的希望。但是当我讨论,扫描也有它的缺点。除了我之前提到的原因,我相信扫描是反应和不准确的。
另一个,我相信更有效的方法,就是跟踪的添加或删除端点。如果你知道的端点,可以比较,到一个已知的漏洞和风险做出决定和曝光。
这意味着你必须有访问端点通过一个智能代理,提供一个库存函数或通过远程协议。
另一种方法是安装的库存软件跟踪软件系统上加载。它不会在南汽要求的频率,但它给你一些反馈什么生活在你的端点。
漏洞跟踪服务
多个服务跟踪缺陷,您可以使用这些信息来检查你的端点的漏洞。大多数网站使用一个命名格式称为常见的漏洞和风险,他们的漏洞或CVE的名字。CVE允许出版商的弱点使用常见的术语词典,希望这将使我们能够更有效地沟通。你可以找到这些数据库如下:
Secunia,http://secunia.com
国家标准与技术研究院http://nvd.nist.gov
脆弱性管理
所以,有什么区别脆弱性管理(VM)和漏洞扫描吗?承诺的过程。VM将信息对端点的状态,他们的弱点,了解什么类型的缓解。再一次,有一个微妙的语调,这里我想说什么。仅仅因为你有一个弱点并不意味着你必须冲出去安装补丁。VM并不是盲目相信供应商完善他们的产品的能力。大概了解漏洞,利用潜力,业务流程相交形成一个可行的解决方案。
VM是基于这一过程不断地再评价你的姿势的脆弱性,同时应用适当控制,以确保业务目标实现。您可以使用扫描,评估、评估、优化,实现,验证周期作为您的流程的基础。我们大多数人承认这是基本的测试,分析、解决过程中,虽然有些需要适当的控制,以确保成功。当你阅读接下来的几个段落,使用图5 - 6作为参考。
扫描。使用黑客的眼睛对VA扫描仪或系统所有者的代理人或库存控制工具,生成一个列表,你根据你安装的软件漏洞。
评估。确定你的暴露水平根据可用的攻击和接近攻击。的风险所使用的开发成功是什么对你的弱点吗?的漏洞有讨厌的交互与其他漏洞吗?被禁的行动方针是什么?
评估。确定补丁或修复将如何影响您的生产流程。是补丁需要定制代码的重写吗?修复真的减轻漏洞吗?是修复比风险?
优先考虑。确定哪些系统会根据他们的价值关键资源组织,成功攻击的风险,和能力作为出发点。
实现。安装补丁,改变程序,或删除的对象。它可以是代码,如Windows需要一个补丁的情况下,也可以是类似Napster,需要删除。或者,正如一节中讨论“渗透测试”,它可能是一个过程必须改变。
核实。您需要确保决定修复已经完成。这可能是一个重新扫描或审计。对于这个问题,它可能是一个充实渗透测试。无论如何,你真的需要验证修复已经实现。我建议,无论你使用的过程保持验证的乐队,或以外的,正常的VM的过程。这将作为一个整体VM过程检查和平衡。
重新开始。
VM过程定义了一组程序发现和管理漏洞在网络环境中。
修复
没有痛苦。透明的。这两个词,在我看来,准确地描述一个修复过程的两个最重要的品质。当然,修复必须可靠和准确,但修复无痛或透明;否则,人们会找到办法的。如果太严格或耗时,修复将被视为“一个productivity-sucking安全流程”,最终将被管理在危机时候绕过。
当AV第一次出来和文件被隔离的邮件管理必须释放他们,人们四处的过程文件复制到软盘(还记得这些吗?)。时间仍然传播的病毒,因为人们只是通过可移动媒体提供恶意软件不同的载体。AV供应商必须包含一个新特性,允许杀毒引擎扫描磁盘。因此,典型的武器升级配置文件仍在继续。
为了解决这个问题,一些厂商已经建立了他们所谓的“自动化”修复工具。这个概念是,当用户连接时,相关决策是用户的补丁级别。我说的“补丁”,因为大部分的修复供应商在脆弱性管理空间或补丁管理空间。
渗透测试
让我们开始本节说,社会工程的方法绕过技术控制通过操纵的人。我们将回到这几个段落。
的目标是抗渗透测试,看看你的企业是攻击。首先学习目标的过程。所以你先问几个简单的问题:
什么目标;他们的业务是什么?
目标的威胁状况是什么?
目标依赖于网络技术吗?
从这些基本问题,更多的可以问,但你真的需要开始。
通过找出目标公司做什么,你了解公司的组织和业务流程会有什么地方。业务流程可以攻击。