觀點

端點安全-誰在那?

2007 / 05 / 18
DAVID STROM
端點安全-誰在那?

你擁有哪些安全基礎建設
首先要了解現有的安全組合,端點安全解決方案是否與其切合。根據目前已有的設備,你可能會從各家端點解決方案中獲得重複的功能。

有些產品將入侵偵測、防護系統,及VPN閘道器視為是端點安全方案的重要必需品,而有些則是與現有的IPS、IDS,以及VPN等產品搭配。如果你正打算建置VPN,Juniper以及F5 Networks(或是Cisco)的VPN產品都提供了堅強的端點健康掃描功能。有一點必須注意的是,你的端點安全應該只涵蓋遠端使用者的機器,而不會掃描本端網路使用者的機器。

另外必須注意的還有,有些廠商會宣稱能支援其他廠商的VPN或IPS,但並不表示它們能夠緊密地結合,也不表示你只需建立一個統一的安全政策資料庫,就可以管控遠端以及LAN的連線。例如,AEP Networks提供了端點安全產品以及獨立的NACpoint產品線,但這兩類產品便無法共用安全政策資料庫,而且要到2007年之後才會做整合。同時,NACpoint產品線還會廣泛地支援各種VPN產品。
在這整合頻譜上的另一個極端則是Junipe r 的Unified Access Control。「管理員可在Secure Access SSL VPN與端點安全平台之間共用遠端存取以及LAN存取控制政策,以確保LAN與遠端存取都有共同的控制政策,」Juniper發言人Roger Fortier說。
若是進一步檢視其它產品,便可發現更細微的差異。例如,Lockdown Network的Network Access Control設備不具備任何IDS的功能,但卻可和Enterasys Network的Dragon IDS共同合作,最近還加入了自己的VPN功能。而大多數的產品都對IPsec VPN提供一般的支援,InfoExpress的CyberGatekeeper也支援Nortel Networks、F5、Juniper,以及Aventail的SSL VPN。ForeScout Technologies的CounterACT則對CheckPoint的VPN提供特別的支援,並即將支援Juniper與Nortel的VPN產品線。Vernier Networks提供了兩種不同的EdgeWall機型,7000與8800;每一種機型都有自己的IPS,而且7000型還支援自己的IPsec VPN功能。

還有一些端點套裝方案,也會在現有的網路基礎上提供重複的元件,要不然就是得下些功夫才能和你現有的設備完美運作。例如,Symantec的Network Access Control就使用了自家的RADIUS伺服器,並且還得在Microsoft的Active Directory上安裝額外的軟體來處理DHCP評估。而MetaInfo則會以自己的DHCP來取代你現有的DHCP伺服器,才能提供自己的端點安全功能。

另一項需要考慮的是你是否需要升級網路。例如,Nevis Networks與ConSentry Networks都提供了自己的48埠交換器以及整合的端點安全功能,如果你不想換掉現有的交換器的話,這可是項不小的花費。


你想保護什麼
接下來,你需要決定要在網路的什麼地方放置這些設備,以及你想保護哪些運算資源。有些設備應該直接放在防火牆後面,以便涵蓋整個網路;有些則最好放在交換器之後,伺服器之前,或是佈署在要保護的子網路或部門網路上。

有些設備是以共線(inline)的方式運作,這也意謂著在這些設備後的網路資源都會被保護,而且只有健康的網路用戶端才能通過設備並存取資源。有些設備則是以頻外(out-of-band)的方式運作,通常會以span port的方式來連接,可監看特定子網路的所有網路通訊,並在使用者成功通過Active Directory或VPN驗證之後,將其加入網路串流中。StillSecure則兩種方式皆有提供。

若要了解這些設備該放置在何處,有時得先了解它們能夠處理的相對流量有多少。Juniper的端點解決方案就提供了廣泛的處理流量,可從75MBps到30GBps。有些產品則受到限制,無法處理更高的流量或更大型的網路。


你的桌上型電腦佈署策略為何
每一項產品都結合了軟體代理程式,來對端點進行掃描並決定其健康程度。這項軟體也可以根據健康程度提供端點的修正以及網路資源的保護。

這些代理程式的工作非常繁重。它們必須檢查開放的通訊埠與執行的服務、在檔案系統上查看是否有問題的檔案與惡意軟體、監控Windows登錄、確定防毒軟體病毒碼的更新,以及檢查個人防火牆是否開啟或被竄改等。有些軟體可能會讓使用者登入多花上數分鐘,這讓某些使用者感覺困惑而去請求技術支援。

每種設備可能使用的代理程式可分為下列三個類型:
? 重型 (Thick) 代理程式:在每一台端點PC上永久安裝並執行。
? 隨選(on-demand)代理程式:PC連上網路的期間並不會一直執行,通常會隨著瀏覽器session或網路登入程序發佈。
? 無代理程式的解決方案:不需在端點上安裝任何軟體,但必須與PC既存的元件配合。

這三種方式各有顯著的差異,也會影響到你最終要使用哪一項產品。其中的差異包括了軟體發佈到端點的方式、執行時間的長短、在登入/連線程序中何時進行健康評估,以及當端點不再連接至網路時,程式本身是否會自動移除等。
「重型」代理程式最容易理解,但也最難全面佈署;這表示IT必須有能力管理並掌控這些系統。在大多數情況下,「重型」代理程式會需要各個電腦的Windows管理者帳號,以便在每一台機器上安全軟體。大多數廠商都提供了Windows 2000/XP上的「重型」代理程式,有些廠商(如AEP、InfoExpress與Lockdown等)還支援Mac OS。少數廠商,例如Symantec與ConSentry等,也在去年底宣佈支援Mac,或是會在接下來數月中在產品線加入對Mac的支援。

「重型」代理程式通常有能力對端點健康進行廣泛的評估,包括Windows登錄、檔案系統、系統服務,以及開啟的通訊埠的掃描,以確定機器是否具有風險。它也能夠對端點進行修復工作,以便將其調整成正常狀態。

未列管PC的問題是IT無法掌控,例如訪客或是企業夥伴所帶來的電腦。這是端點安全的邊緣地帶,在此你必須仔細了解各家供應商之間的差異。

主要的問題是受感染的電腦只要連接到特定的網路區段,便可在登入前損壞你的網路。大多數廠商的作法,是在提供端點IP位址前,先執行一些初步的健康評估。

「使用者驗證已不再表示能夠存取;使用者所使用的設備也必須先經過檢查。」F5的行銷經理Peter Silva說。

由於隨選代理程式無需安裝在嘗試連入的機器上,因此能涵蓋未受管理的PC。這些程式通常以JavaScript或Active X控制元件(或兩種都有)的型式,透過Web瀏覽時載入,和SSL VPN所使用的瀏覽器用戶程式類似。

有些隨選代理程式事實上會自我清除,業界稱之為「可溶性」(dissolvable)代理程式。「自動移除的功能讓我們的代理程式可在一定的時間後自己消失,很適合用來確認訪客的設備是否符合公司的規範,」Lockdown行銷經理Dan Clark說。

Lockdown與Mirage Networks等公司更進一步:這兩家公司都是把每一個端點置於自己的私有VLAN中,因此可確保具風險的設備能夠與其他設備隔離。

「因為這些被設備會互相感染,因此我們將其隔離出來,不與交換器整合,並把所有受感染的設備集中在同一個VLAN中,」Mirage的CTO,Grant Hartline說。

這些隨選代理程式需要特定的作業系統與瀏覽器,其中多數支援Firefox與Internet Explorer,而Windows之外的作業系統選擇就更少了。ConSentry具有Windows版的隨選代理程式,並計畫在今年提供Mac與Linux的版本,但其它廠商在非Windows系統上的支援則過於緩慢。

最後還有無代理程式的方法,雖然聽起來怪異,但道理卻很簡單,安全系統會利用端點上既有的一些資訊進行查詢。通常,這種作法無法提供太多的修正,但卻提供了最小化的驗證。同樣的,這些軟體也需要特定的作業系統。例如,雖然ForeScout的CounterACT完全沒有代理程式,但它在6.0版之前還是無法支援Mac OS的用戶端。

有些廠商提供了多種功能不同的代理程式。例如,Nevis提供了Windows的ActiveX控制元件作為健康評估之用。在其他作業系統上,則利用非代理程式的連線來做最小化的識別管控。Symantec的隨選代理程式可在Mac OS與Linux上執行,但「重型」代理程式只能夠在Windows 2000與XP上工作。

而Ve rni e r ( 使用隨選代理程式) 則是結合了Windows管控的介面來登入電腦並進行掃描。但評估的程度得視是否具有各台電腦的管理權限而定。若沒有管理權限,代理程式只會進行基本的漏洞評估,若需要更進一步的安全政策遵循掃描與修正,則需管理權限才能進行。


你必須管理非PC的端點嗎
若要找出合適的代理程式,還得先知道你的網路有什麼,要管理什麼。「重型」代理程式無法管理非PC設備,如企業網路中的印表伺服器、網路攝影機,以及PDA等,這些設備都各有獨自的作業系統與IP位址。它們無法輕易地被端點設備所控制。幾乎所有的廠商都能夠對MAC或IP位址做白名單或前置驗證,因此設備還是可以連上網路並進行工作。

但若是哪天嵌入式設備也被感染了怎麼辦?ForeScout的CounterACT有解決之道。「它有能力偵測這些設備並實行政策,不讓威脅隨著這些設備而爆發。」ForeScout的全球行銷副總Gord Boyce說。

「例如,我們可以利用政策來限制來自網路印表機的封包只能用作印表之用,」他說。「如果印表機開始運作的像其他設備一樣,而也有人假冒印表機的IP位址的話,CounterACT系統仍能夠偵測出改變,並將設備隔離並斷線。」

另外,像Mirage等廠商,也會監控這些設備,以確保它們不會帶來威脅。顯然要找出完美的端點安全方案非常不容易,尤其當企業有異質網路或設備及作業系統太廣泛時更為嚴重。雖然現今的設備都能夠幫助企業處理緊迫的問題,但若是Microsoft、Cisco,以及Trusted Computing Group等廠商能持續制訂出標準的話,端點安全的未來將更為輕鬆。

David Strom是密蘇里州聖路易士(St. Louis)市的作家、演講者,以及顧問,他時常撰寫有關安全的文章。