1 / 41

赛门铁克终端管理方案

赛门铁克终端管理方案. 张 晨 CISSP CISA 赛门铁克系统工程师 ann_zhang@symantec.com. 议 程. 终端管理的现状和威胁引入的途径分析 赛门铁克终端安全管理方案 赛门铁克终端安全管理方案的特点. 接入身份认证的方法论. 身份认证是安全的基础 授权与控制的基础 身份认证的方法 密码 证书 一次性口令 生物鉴别 身份认证的位置和方式. Mac 地址绑定的管理问题: 每天 2-3 个变更申请 临时的第三方维护人员接入. 周期性安全审计. 保障成果的方式低效. 身份认证不能解决的问题.

nansen
Download Presentation

赛门铁克终端管理方案

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 赛门铁克终端管理方案 张 晨 CISSP CISA 赛门铁克系统工程师 ann_zhang@symantec.com

  2. 议 程 • 终端管理的现状和威胁引入的途径分析 • 赛门铁克终端安全管理方案 • 赛门铁克终端安全管理方案的特点

  3. 接入身份认证的方法论 • 身份认证是安全的基础 • 授权与控制的基础 • 身份认证的方法 • 密码 • 证书 • 一次性口令 • 生物鉴别 • 身份认证的位置和方式 • Mac地址绑定的管理问题: • 每天2-3个变更申请 • 临时的第三方维护人员接入

  4. 周期性安全审计 保障成果的方式低效 身份认证不能解决的问题 • 用户终端安全设置是否符合企业信息安全策略 • 系统漏洞与补丁缺失 • 病毒等终端安全软件缺失 • 空密码 • 用户终端网络行为是否合法 • 蠕虫病毒扩散 • 内网外联 • 网络滥用:海量下载,游戏,闲聊 • 恶意程序:ARP欺骗

  5. 移动终端 与非法接入 安全防护软件 管理失效 用户网络滥用 补丁分发问题 管理员最担心的终端安全问题 邮件服务器瘫痪 网络设备阻塞 1 2 4 5 3 蠕虫病毒爆发导致的拒绝服务 移动终端 外来人员接入 内网外联 VPN接入 一机多用 防病毒软件不安装 防病毒软件卸载 病毒定义不更新 其他终端防护软件 的使用效果 如何强制分发 如何及时分发 盗版系统的兼容性 聊天 海量下载 扫描工具 黑客工具 Arp欺骗

  6. 病毒-核心交换机24小时流量采样图 • 内部网络连续两周出现间歇性瘫痪的症状,平均每天瘫痪4次左右,持续时间不等,最长可达几个小时。 • 症状较轻时,网络尚可联通,但网速异常慢,让人无法忍受。 • 症状较重时,则网络彻底瘫痪,子网之间均不可达,且同一子网内丢包率很高。

  7. 移动 终端 VPN 移动终端(临时接入维护终端)引入的安全威胁 黑客 邮件服务器 网关 文件服务器 收发Email 下载音乐、软件 浏览新闻 浏览器 网络/无线连接 旅馆/ 餐厅/ 机场/家 移动终端

  8. 非法外连打开安全的天窗 Internet接入网络 互联网 工作站 服务器 工作站 工作站

  9. USB移动存储设备传播病毒 互联网 Internet 接入网络 工作站 服务器 工作站 工作站

  10. 企业终端安全策略-IT管理员对终端的安全期望和目标企业终端安全策略-IT管理员对终端的安全期望和目标 终端安全管理的目标和期望 • 阻断恶意代码 • 蠕虫 • 病毒 • 特洛伊木马 • 间谍软件 • 网络钓鱼 • … • 提升工作效率 • 广告软件 • 垃圾邮件 目标二:安全策略遵从/强制 目标一: 应对终端安全威胁 终端用户的 安全期望和目标 • 合法用户的接入认证 • 访问适当的网络资源 • 使用适当的应用程序 • 使用适当的计算机资源 • 文件 • 注册表 • 进程 • 网络适配器 • 外设 • …… • 已知的安全威胁 • 未知的安全威胁 IT法规遵从

  11. 议 程 • 终端管理的现状和威胁引入的途径分析 • 赛门铁克终端安全管理方案 • 赛门铁克终端安全管理方案的特点

  12. 目标一:应对终端安全威胁 (已知和未知安全威胁) 终端安全管理目标 目标二:安全策略遵从/强制 (合法用户,合规操作) Symantec终端安全解决方案

  13. 技术层面 层次化的恶意软件防护 • 防火墙 (SCS) • 阻断进入的对开放端口的攻击 • 阻断病毒向外扩散的途径 • 阻断非法的对外通信– 间谍软件数据泄漏和连接控制站点的企图 • 根本:系统加固 • 关键补丁 • 强口令 • 关闭危险服务和默认共享 • 匿名访问限制 • 实时防护和阻断 (SAV) • 自动识别并清除蠕虫病毒 • 自动防护已知恶意软件(特别室间谍软件)的安装 • 如果恶意软件已经安装,在其运行时检测并阻断 • 入侵防护: • 基于漏洞的入侵阻断 (SCS) • 阻断RPC缓冲区溢出漏洞 • 阻断利用Web浏览器漏洞的攻击(间谍软件最常用的安装方式) • 抑制未知的恶意软件 (SAV+Whole Security) • Bloodhunt启发式病毒扫描 • 根据恶意软件的行为特征发现和抑制其操作 • 邮件蠕虫拦截 • 间谍软件键盘记录、屏幕拦截、数据泄漏行为打分

  14. 传统的管理方式 身份认证 策略制定 策略执行 红头文件/通告 Mail、电话通知 安全管理规章制度 罚款、通报批评 终端接入 失败 安全认证 拒绝或隔离 修复 周期检查 准许接入 管理层面 从管理口号到终端准入控制 Symantec的方法Network Access Control 自御(protection) 自驭(restrict and quarantine) 自愈(remediation)

  15. Protect Discover Monitor Enforce Protect Protect Policy Remediate Protect 终端策略一致性遵循与控制 与安全管理的周期高度吻合 • 定义安全策略 • 发现网络中不符合安全规范的终端 • Installed Agent • Loadable Agent • 网络审计 • 强制网络准入控制 • LAN, DHCP, Gateway Enforcer • Self-Enforcement • On-Demand Enforcement • 和主流安全架构整合 (CNAC, MSNAP, TNC) • Universal Enforcement API • 修复不符合规范的端点 • 连续监控

  16. Step 1 Endpoint Attaches To Network Configuration Is Determined Discover ✗ Monitor Endpoint ToEnsure Ongoing Compliance Step 4 Monitor Enforce ü ü Step 2 Compliance Of ConfigurationAgainst Policy Is Checked Remediate PatchQuarantineVirtual Desktop Step 3 Take Action Based OnOutcome Of Policy Check 网络准入控制工作流程

  17. AntiVirus Host Firewall Service Pack Hotfix Sygate Enforcement Agent 反间谍软件 主机入侵防御 违规的程序 自定义… 1.定义安全策略 策 略 执 行 策 略 强 制 策略制定 Lan Enforcer Gateway Enforcer DHCP Enforcer Sygate Policy Server Sygate On-Demand Self Enforcement Universal API Network Security =SUM(Host Integrity) CNAC, MS NAP, TNC

  18. 2.发现终端 发现网络中不符合安全规范的终端 SPA代理 • 预先安装 • 主机完整性检查 • 终端管理、保护、加固 LAN Sensor • 安全代理的内置功能 • 在一个子网内有效 • 发现未安装安全代理的计算机 SYGATE On-Demand 客户端 • 通过Web下载即时安装 • 主机完整性检查 • 创建虚拟桌面 • 安全保护和受控访问 提供了企业安全的全局视图

  19. 策略: 安全状态异常 只能访问修复服务器 策略: 办公室 允许访问企业网络 3.准入控制 强制方式一:端点自强制 (self-enforcement) • 当主机安全状态异常时控制终端计算机的网络访问

  20. 系统通过EAP协议传送NAC及用户身份数据 Switch forwards to Lan Enforcer 隔离网络区 LE 检查用户登录信息 隔离区补丁服务器 3.准入控制 强制方式二:802.1x 局域网交换机强制 ( LAN Enforcement) Ethernet 802.1x NAC • 大部分局域网安全解决方案 • NAC状态, 或NAC + 用户身份验证 • 基于标准协议 • 几乎所有的厂商都支持(Cisco、Nortel、Alcatel、Foundry、Aruba、Extreme、HP Procurve、AireSpace (Cisco)、Enterasys、Huawei-3com) Wired User Sygate Policy Server Sygate LAN Enforcer RADIUS server Lan Enforcer将终端连接到企业网络或隔离网络

  21. 工作VLAN 访客VLAN 隔离VLAN 3.准入控制 强制方式二:802.1x 局域网交换机强制 ( LAN Enforcement) 支持几乎所有主流交换机 Lan Enforcer 未安装安全代理,被交换机放入访客VLAN 安装安全代理,完整性检查失败,进入隔离VLAN 安装安全代理,完整性检查成功,进入工作VLAN ?

  22. 3.准入控制 强制方式三:网关强制 (Gateway Enforcement) 局域网PC 没有安装安全代理的远程PC SYGATE强制服务器 VPN服务器 安装了安全代理的远程PC 策略管理服务器

  23. EthernetSwitch 3.准入控制 强制方式四:DHCP 强制接入 (DHCP Enforcement) Mobile Users, Wireless DHCP Server DHCP Enforcer Wired User DHCP Request 10.1.1.100 Route 10.2.2.2 blah Remediation Server Unknown system- send route filters Probe for agent and policy status Trigger remediation on failure Perform Remediation action Trigger Release/Renew upon completion DHCP Request 10.1.1.100 Compliant- Remove route filters

  24. 3.准入控制 强制方式五:Web应用准入强制 (On-Demand Protection)

  25. 身份识别 安全检查 权限请求 合规终端 合法终端 拒绝请求 拒绝请求 1 1 隔离到漫游区 隔离到修复区 2 2 3.准入控制 Symantec SNAC的常见强制时间点 • 交换机接入权限 • 无线访问权限 • 动态IP获取权限(DHCP) • 互联网上网权限 • 域名解析权限 • Web应用访问权限 • 远程接入权限 (IPSEC VPN/SSL VPN)

  26. 4.自动修复 安全策略自动化修复 自动化修复 • 动态提示 • 绿色通道 • 自动连接到相关服务器下载最新的版本、特征库和补丁 全面修复 • 安装缺失的安全应用 • 更新安全软件特征库 • 检查并安装系统关键安全补丁 • 检查并修复系统安全设置 • …… 主机完整性 : 主机系统所采用的安全措施的完整性

  27. Sygate Secure Enterprise Sygate On-Demand Sygate Magellan Correlator Sygate Discovery Engine Host Integrity Rule Host Integrity Rule Host Integrity Rule Host Integrity Rule Host Integrity Rule Host Integrity Rule Host Integrity Rule Status Status Status Status Status Status Status Anti-Virus On Anti-Virus On Anti-Virus On Anti-Virus On Anti-Virus On Anti-Virus On Anti-Virus On Anti-Virus Updated Anti-Virus Updated Anti-Virus Updated Anti-Virus Updated Anti-Virus Updated Anti-Virus Updated Anti-Virus Updated EAP EAP Status Status Personal Firewall On Personal Firewall On Personal Firewall On Personal Firewall On Personal Firewall On Personal Firewall On Personal Firewall On Service Pack Updated Service Pack Updated Service Pack Updated Service Pack Updated Service Pack Updated Service Pack Updated Service Pack Updated User Name User Name Patch Updated Patch Updated Patch Updated Patch Updated Patch Updated Patch Updated Patch Updated Password Password Token Token X X Sygate 网络准入控制效果演示 Sygate Management System Gateway/API Enforcement 802.1x Enforcement Guest Enforcement Sygate Enforcer Non-Compliant Compliant Radius Non-Compliant Compliant Remediation Applications 802.1x Switch Firewall ATM Printer Wireless Workstation IPSEC VPN Kiosk Guest SSL VPN Hotel Traveling Executive Partner

  28. Sygate独特的端点保护功能:多层面的、自适应性Sygate独特的端点保护功能:多层面的、自适应性 1、以应用程序为中心的主机防火墙 • 得到ICSA和公安部认证的全状态检测防火墙 • 基于规则的安全引擎(整合用户、网络应用程序以及网络信息) 2、主机入侵防护和系统保护 • 结合对应用程序的控制来识别和阻断网络入侵 • 更优的性能,更少的虚假报警 • 帮助审计,快速定位攻击源 • 针对程序、文件、注册表、外设、网络适配器的管控 3、自适应防护策略 • 基于网络环境、通信形式 • 适应不同的业务场景 Windows平台安全代理

  29. 威胁 多层面的、自适应性的端点控制 以应用程序为中心的主机防火墙 • 基于规则的安全引擎(整合用户、网络应用程序以及网络信息) • 将应急响应时间缩短到1/10 • 控制范围包括 • 可使用的网络应用程序 • 可访问的远程主机 • 使用什么类型的网络接口(网络适配器) • 在什么时间 • 使用什么类型的协议(TCP、UDP、ICMP) • 使用那些端口(本地/远程) • 一条网络访问规则通常是以上一个或多个参数的组合

  30. 主机型入侵防护和访问控制 功 能 • OS protection • 应用程序行为分析 • 进程管理 • 文件访问控制 • 注册表访问控制 • 强大的DLL管理 • System Lockdown • 设备管理 • 内存防火墙

  31. 自适应性的端点保护 • 一个终端多种用途、终端具有多个网卡、不同类型的接入终端、或者漫游终端在不同的网络中进行切换时: • 管理策略的适应性 • 针对不同的网络环境,网络连接方式有多套策略 • 可自动或手动在多套策略中切换,以应对不同的风险等级 自适应策略举例

  32. Symantec 策略保证系统规范终端网络行为

  33. 攻击发布 补丁被部署 补丁可获得 漏洞被发现 14-90 Days NAC架构作用 - 对终端安全和管理技术的整合 0-200 Days 3 Days to Never Behavioral (HIPS) & White List (Firewall) Network Access Control Blacklist (Anti-Virus & IDS Signatures) Patches 漏 洞 生 命 周 期

  34. 可扩展的多服务器架构 策略及日志复制 策略分发 (推/拉) 可配置的优先级/负载均衡 策略管理 可继承的多层组管理 能按计算机或用户管理 可重用的策略对象 活动目录用户及组同步功能 集中的日志与报表 事件转发 (Syslog, SIMs) 每日或每周通过E-mailed发送报告 企业级管理功能

  35. 议 程 • 终端管理的现状和威胁引入的途径分析 • 赛门铁克终端安全管理方案 • 赛门铁克终端安全管理方案的特点

  36. 有效解决当前终端管理四大威胁 • 防病毒、补丁个人防火墙、主机入侵预防 • 自适应保护 • 网络准入控制 • 网络程序管理网络访问控制 • 病毒 • Laptop • 内部未授权访问 • 内部网络滥用

  37. Symantec提供端点的全程、纵深端点安全保障体系Symantec提供端点的全程、纵深端点安全保障体系 Symantec 端点安全管理 网络准入控制 终端保护 终端管理 终端修复 系统安全检查 本地隔离 网络程序管理 终端防病毒 主机防火墙 文件访问控制 系统加固、修复 边界准入与隔离 主机入侵防御 网络适配器管理 局域网准入与隔离 软件分发 关键补丁强制 外设管理 DHCP IP获取准入 操作系统保护 内存防火墙 安全问题通告 自适应策略 Web应用准入控制

  38. 定义 控制 报告 ✔ 从端点策略遵从到IT法规遵从 • IT法规遵从 ✔ 发现& 实施 端点策略遵从 补救 黑客 间谍 盗窃者 端点保护 桌面反病毒

  39. Symantec 终端安全解决方案帮助用户: • 打造主动防御网络,避免事后处理的高额成本 • 将网络管理员从劳动密集型工作中解放出来 • 实现全网统一杀毒 • 将安全紧急事件的响应时间缩短为之前的十分之一 • 仅用了清除一次重大病毒疫的成本就换来了不间断自防御网络 “Taking vulnerability out of the network”

  40. Product of the Year 终端准入控制的领导者 • 端点安全市场的领导厂商 • Gartner and Meta Acclaim • 3个领域的技术领导者 • 端点安全 • Key Labs评测的优胜者 • 网络访问控制(Network Access Control) • 用户选择大奖 - Secure Enterprise Magazine (封面文章!) • On Demand Anti-Spyware + Firewall • 和Gartner共同发起网络研讨 • 市场上第一个 On-Demand 端点安全产品 • 网络访问控制革新的领导者 • Secure Enterprise NAC Bakeoff Winner • SC Magazine – 2005年最佳新解决方案 • Information Security Magazine 年度产品大奖 • InfoWorld – 第一名 • 公认的领导者– 不仅仅是检测终端对安全策略的依从 • 在出现问题之前 • Compliance on ContactTM

  41. 问题讨论

More Related