主动安全控制和安全的网络架构在抵御内部和外部攻击方面发挥着非常重要的作用,然而,如果没有适当的网络分段和访问控制,一旦攻击者获取对受害者内部网络的访问权限,一切就完了:敏感服务器就在内部网络中,等着被攻击者掠夺。
不过,安全泄漏事故的结果并不总是很糟糕的。美国卡罗莱纳州Advanced Digital公司首席信息安全官表示:“网络访问控制(NAC)属于哲学范畴,而不是技术范畴。”网络分段和访问控制采用纵深防御方法的话,将能够减缓恶意软件的传播速度,并且可以阻止敏感系统的泄漏。
在过去几个星期发现的嵌入式操作系统(例如VxWorks和QNX)中存在的漏洞突显了保护这些设备并尽可能将这些设备隔离而不影响生产力的重要性。然而,从多功能设备和类似系统的一般部署来看,显示出缺乏对对这些系统滥用所导致安全问题的影响的认识。
举例来说,为Metasploit Framework发布的新模块允许内存从有漏洞的VxWorks设备卸载。在内存信息转储中,可以找到允许攻击者登录到网络交换机的密码和内部IP地址并且将VLAN转变成一个设备,或者通过暴露的服务帐户来登录到服务器。
由于打印机和流媒体设备不仅仅是哑设备,而完全是客户端和服务器,所以必须创建一个网络分段将这些设备隔离并为业务需求提供足够的访问权限。
例如,用来电子邮件发送扫描文件的多功能复印机应该被允许在邮件服务器的端口25/tcp进行通信,而不是交换机上的远程登陆或者文件服务器上的windows服务器端口。同样,嵌入式系统不应该被允许访问互联网或者具有访问权限,除非是因为像Vbrick媒体流媒体设备的使用。
嵌入式设备是员工放在网路上而完全不会考虑它对安全的影响的设备。在对客户的漏洞评估中,AirTight Networks公司发现四分之一的网络中有员工安装的恶意无线网络。
不管是处于生产效率还是易于使用的目的,或者因为用户存在恶意意图,结果都是一样的:将内部企业网络曝露给无线端口范围内的任何人。政策声明中表示,对网络的任何变化,例如添加无线访问端口,最好应该进行严格的禁止,但是需要部署必要的技术控制来执行这种禁止,并且检测任何异常行为。
基本技术控制(例如限制每个网络交换机端口的一个MAC地址)是一个开始,但是这可以很容易地被技术娴熟的员工突破。在网络访问控制解决方案中应该添加更多高级控制,以帮助鉴定无线设备并通过关闭连接到的网络端口或者转移端口到隔离的VLAN来防止对内部网络的访问权限。
从纵深防御的角度来看,可以添加无线入侵检测系统(WIDS)来提供抵御恶意无线设备的额外保护层,并且因为无线入侵检测系统位于企业办公室范围内,还能够检测到新的无线网络,并且向安全人员发出警报。
PCI安全委员会意识到恶意无限网络的影响,并规定对PCI DSS每年进行四次无线扫描。不过一年四次扫描可能并不足够,恶意无线设备可能在扫描间隔的三个月内逃过检测。
无线供应商正在解决这些问题,包括企业管理系统内的WIDS功能。例如,思科无线服务模块(WiSM)能够识别、定位和控制企业网络中的恶意无线设备(一旦发现恶意无线设备)。
任何网络安全方案的最终目标都是防止泄漏重要数据的安全泄漏的发生,并且允许满足企业的需求。通过适当的网络分段、政策和技术控制能够帮助企业很好地实现这些目标。