赛门铁克终端管理方案

赛门铁克终端管理方案张晨CISSPCISA赛门铁克系统工程师ann_zhang@symantec.com22©2005SymantecCorporation,AllRightsReserved安全解决方案议程终端管理的现状和威胁引入的途径分析赛门铁克终端安全管理方案赛门铁克终端安全管理方案的特点33©2005SymantecCorporation,AllRightsReserved安全解决方案接入身份认证的方法论身份认证是安全的基础授权与控制的基础身份认证的方法密码证书一次性口令生物鉴别身份认证的位置和方式实体账户网络账户应用账户用户A1B1A2B2A3B3应用服务网络服务一机多用地址欺骗社会工程密码猜测用户身份与账户身份鉴别方式IP/Mac地址绑定FW用户认证应用身份认证系统SSLVPN802.1x认证私自接入网络接入FW用户认证SSLVPNMac地址绑定的管理问题：每天2-3个变更申请临时的第三方维护人员接入44©2005SymantecCorporation,AllRightsReserved安全解决方案身份认证不能解决的问题用户终端安全设置是否符合企业信息安全策略系统漏洞与补丁缺失病毒等终端安全软件缺失空密码用户终端网络行为是否合法蠕虫病毒扩散内网外联网络滥用：海量下载，游戏，闲聊恶意程序：ARP欺骗周期性安全审计保障成果的方式低效55©2005SymantecCorporation,AllRightsReserved安全解决方案管理员最担心的终端安全问题蠕虫病毒爆发导致的拒绝服务移动终端与非法接入安全防护软件管理失效补丁分发问题用户网络滥用12345邮件服务器瘫痪网络设备阻塞如何强制分发如何及时分发盗版系统的兼容性移动终端外来人员接入内网外联VPN接入一机多用聊天海量下载扫描工具黑客工具Arp欺骗防病毒软件不安装防病毒软件卸载病毒定义不更新其他终端防护软件的使用效果66©2005SymantecCorporation,AllRightsReserved安全解决方案病毒－核心交换机24小时流量采样图内部网络连续两周出现间歇性瘫痪的症状，平均每天瘫痪4次左右，持续时间不等，最长可达几个小时。症状较轻时，网络尚可联通，但网速异常慢，让人无法忍受。症状较重时，则网络彻底瘫痪，子网之间均不可达，且同一子网内丢包率很高。蠕虫病毒爆发导致的拒绝服务1177©2005SymantecCorporation,AllRightsReserved安全解决方案移动终端（临时接入维护终端）引入的安全威胁VPN移动终端网络/无线连接旅馆/餐厅/机场/家黑客网关邮件服务器文件服务器收发Email下载音乐、软件浏览新闻移动终端浏览器移动终端与非法接入移动终端与非法接入2288©2005SymantecCorporation,AllRightsReserved安全解决方案非法外连打开安全的天窗iMac服务器工作站工作站工作站互联网Internet接入网络99©2005SymantecCorporation,AllRightsReserved安全解决方案iMacUSB移动存储设备传播病毒服务器工作站工作站工作站互联网Internet接入网络1010©2005SymantecCorporation,AllRightsReserved安全解决方案终端安全管理的目标和期望企业终端安全策略－IT管理员对终端的安全期望和目标终端用户的安全期望和目标阻断恶意代码蠕虫病毒特洛伊木马间谍软件网络钓鱼…提升工作效率广告软件垃圾邮件合法用户的接入认证访问适当的网络资源使用适当的应用程序使用适当的计算机资源文件注册表进程网络适配器外设……已知的安全威胁未知的安全威胁目标一：应对终端安全威胁目标二：安全策略遵从/强制IT法规遵从1111©2005SymantecCorporation,AllRightsReserved安全解决方案议程终端管理的现状和威胁引入的途径分析赛门铁克终端安全管理方案赛门铁克终端安全管理方案的特点1212©2005SymantecCorporation,AllRightsReserved安全解决方案Symantec终端安全解决方案目标二：安全策略遵从/强制（合法用户，合规操作）目标一：应对终端安全威胁（已知和未知安全威胁）终端安全管理目标1313©2005SymantecCorporation,AllRightsReserved安全解决方案层次化的恶意软件防护入侵防护:基于漏洞的入侵阻断(SCS)•阻断RPC缓冲区溢出漏洞•阻断利用Web浏览器漏洞的攻击（间谍软件最常用的安装方式）防火墙(SCS)•阻断进入的对开放端口的攻击•阻断病毒向外扩散的途径•阻断非法的对外通信–间谍软件数据泄漏和连接控制站点的企图实时防护和阻断(SAV)•自动识别并清除蠕虫病毒•自动防护已知恶意软件（特别室间谍软件）的安装•如果恶意软件已经安装，在其运行时检测并阻断抑制未知的恶意软件(SAV＋WholeSecurity)•Bloodhunt启发式病毒扫描•根据恶意软件的行为特征发现和抑制其操作•邮件蠕虫拦截•间谍软件键盘记录、屏幕拦截、数据泄漏行为打分根本：系统加固•关键补丁•强口令•关闭危险服务和默认共享•匿名访问限制技术层面1414©2005SymantecCorporation,AllRightsReserved安全解决方案从管理口号到终端准入控制管理层面传统的管理方式红头文件/通告Mail、电话通知安全管理规章制度罚款、通报批评身份认证安全认证准许接入终端接入失败修复周期检查拒绝或隔离自愈(remediation)自驭(restrictandquarantine)自御(protection)Symantec的方法NetworkAccessControl策略制定策略执行1515©2005SymantecCorporation,AllRightsReserved安全解决方案终端策略一致性遵循与控制1.定义安全策略2.发现网络中不符合安全规范的终端InstalledAgentLoadableAgent网络审计3.强制网络准入控制LAN,DHCP,GatewayEnforcerSelf-EnforcementOn-DemandEnforcement和主流安全架构整合(CNAC,MSNAP,TNC)UniversalEnforcementAPI4.修复不符合规范的端点5.连续监控Policy与安全管理的周期高度吻合1616©2005SymantecCorporation,AllRightsReserved安全解决方案网络准入控制工作流程EndpointAttachesToNetworkConfigurationIsDeterminedStep1ComplianceOfConfigurationAgainstPolicyIsCheckedStep2✗TakeActionBasedOnOutcomeOfPolicyCheckStep3PatchQuarantineVirtualDesktopMonitorEndpointToEnsureOngoingComplianceStep41717©2005SymantecCorporation,AllRightsReserved安全解决方案LanEnforcerGatewayEnforcerDHCPEnforcerSygatePolicyServerSygateOn-DemandSelfEnforcementCNAC,MSNAP,TNCUniversalAPIAntiVirusHostFirewallServicePackSygateEnforcementAgent反间谍软件主机入侵防御Hotfix自定义…违规的程序NetworkSecurity＝SUM（HostIntegrity）策略执行策略强制策略制定1.定义安全策略1818©2005SymantecCorporation,AllRightsReserved安全解决方案发现网络中不符合安全规范的终端SPA代理•预先安装•主机完整性检查•终端管理、保护、加固LANSensor•安全代理的内置功能•在一个子网内有效•发现未安装安全代理的计算机提供了企业安全的全局视图SYGATEOn-Demand客户端•通过Web下载即时安装•主机完整性检查•创建虚拟桌面•安全保护和受控访问2.发现终端1919©2005SymantecCorporation,AllRightsReserved安全解决方案强制方式一：端点自强制(self-enforcement)当主机安全状态异常时控制终端计算机的网络访问策略:办公室允许访问企业网络策略:安全状态异常只能访问修复服务器3.准入控制2020©2005SymantecCorporation,AllRightsReserved安全解决方案强制方式二：802.1x局域网交换机强制(LANEnforcement)大部分局域网安全解决方案NAC状态,或NAC+用户身份验证基于标准协议几乎所有的厂商都支持（Cisco、Nortel、Alcatel、Foundry、Aruba、Extreme、HPProcurve、AireSpace(Cisco)、Enterasys、Huawei-3com）Ethernet802.1xNACWiredUserLE检查用户登录信息系统通过EAP协议传送NAC及用户身份数据RADIUSserverSygateLANEnforcerSygatePolicyServerSwitchforwardstoLanEnforcer隔离网络区隔离区补丁服务器LanEnforcer将终端连接到企业网络或隔离网络3.准入控制2121©2005SymantecCorporation,AllRightsReserved安全解决方案访客VLAN工作VLAN隔离VLAN未安装安全代理，被交换机放入访客VLAN安装安全代理，完整性检查成功，进入工作VLAN安装安全代理，完整性检查失败，进入隔离VLAN？LanEnforcer支持几乎所有主流交换机3.准入控制强制方式二：802.1x局域网交换机强制(LANEnforcement)2222©2005SymantecCorporation,AllRightsReserved安全解决方案VPN服务器策略管理服务器安装了安全代理的远程PCSYGATE强制服务器没有安装安全代理的远程PC强制方式三：网关强制(GatewayEnforcement)局域网PC3.准入控制2323©2005SymantecCorporation,AllRightsReserved安全解决方案强制方式四：DHCP强制接入(DHCPEnforcement)MobileUsers,WirelessEthernetSwitchWiredUserDHCPRequestUnknownsystem-sendroutefiltersProbeforagentandpolicystatusTriggerremediationonfailure10.1.1.100Route10.2.2.2blahPerformRemediationactionTriggerRelease/RenewuponcompletionRemediationServerDHCPRequestCompliant-Removeroutefilters10.1.1.100DHCPServerDHCPEnforcer3.准入控制2424©2005SymantecCorporation,AllRightsReserved安全解决方案强制方式五：Web应用准入强制(On-DemandProtection)3.准入控制2525©2005SymantecCorporation,AllRightsReserved安全解决方案SymantecSNAC的常见强制时间点交换机接入权限无线访问权限动态IP获取权限（DHCP）互