宝界准入产品与360企业版结合
解决方案
一、需求背景
1.1、360企业版功能优势与劣势
360单机版已广泛被用户认可,用户量突破3亿。360又发布了一款终身免费、不限点数的360企业版(网络版),终端用户量已突破760万,它为企业提供一站式安全桌面解决方案、全网木马查杀、内网打补丁、软硬件资产管理、软件分发、流量监控、U盘管理等功能。
优势:
1、免费:无装机点数的限制
2、用户基数大:有利于有害域名、病毒库的云收集
3、兼容性好、稳定:企业版与个人版一键切换
4、杀毒与桌面管理结合
5、功能强
劣势:
1、缺乏强制全网安装的手段,那台装了360客户端,那台没装?
2、缺乏对能安装但不愿安装360企业版客户端的入网终端的监控
3、无法区分员工与访客的入网权限
4、缺少与交换机、路由器的联动,某些非法行为在网络设备上阻断更彻底
5、无法管理不能安装360企业版的LINUX终端、监控设备、哑终端、医疗设备
6、没有上网行为管理的功能
1.2、宝界终端准入与360企业版结合可解决那些问题
1、全网安装360企业版客户端
2、入网用户统一实名认证
3、区分访客与员工的权限
4、ARP病毒的防御
5、监控私接路由器、私接随身WIFI的行为
6、资产管理的补充与强化(不装客户端的主机)
7、流量控制功能的互补
8、全网病毒控制
9、全网U盘管理
10、统一入网日志
1.3、什么样的网络环境, 准入能与360企业版相结合?
1、隔离网环境
终端数从几十台到几百台不等,网络管理情况比较严格,不允许终端连接互联网。所有终端都集中在一个局域网内,有专门的网络管理员或者安全管理员。
在企业内部部署控制中心和企业版终端,企业版终端根据控制中心制定的安全策略,进行体检、杀毒和修复漏洞等安全操作。使用隔离网工具,定期从360相关的服务器下载病毒库、木马库、漏洞补丁文件等,更新到控制中心后,所以企业终端都可以自动升级和修复漏洞。有专人负责控制中心的日常运行,定时查看各终端的安全情况,下发统一杀毒、漏洞修复等策略。
在隔离网的网络环境中,可以用终端准入设备旁路方式接在交换机,实现对所有终端主机强制安装360客户端。
2、联网环境
企业规模一般,终端数从几十台到几百台不等,网络管理情况不是很严格,允许终端上网。所有终端都集中在一个局域网内,有专门的网络管理员或者安全管理员。
在企业内部部署控制中心和企业版终端,企业版终端通过控制中心连接到360的升级服务器进行升级、更新等,控制中心具有缓存功能,同样的数据文件只会下载一次,可以极大的节省企业总出口带宽。企业版终端根据控制中心制定的安全策略,进行体检、杀毒和修复漏洞等安全操作。进行杀毒扫描时,企业终端可以直接连接360的云查杀系统,进行云查杀。有专人负责控制中心的日常运行,定时查看各终端的安全情况,下发统一杀毒、漏洞修复等策略。
联网环境下,方法一是用应用准入网关设备以网桥方式串接在出口,或放在关键服务器前面,这样所有终端主机流量从准入设备通过时,准入会判断有没有安装360客户端,没有安装的则提示安装。方法二是采用终端准入控制系统旁路接在交换机上,实现终端主机接入网络时,强制安装360客户端。
3、无线环境
现有的无线路由使用共享简单密码,极易泄漏;无法区分无线用户是外来访客还是内部员工;访客可随意访问公司内部应用服务器;难以保证无线接入用户是否安装360客户端。
采用无线准入网关,以路由网关或网桥或策略路由方式,来对无线接入终端强制安装360客户端。
二、解决方案
2.1、全网安装360企业版客户端
通过准入与360服务器的联动,准入系统分析所接入网络的终端主机有没有相应数据包与服务器通讯,有则立即放行,允许接入内网,没有则弹出友好界面,引导客户端安装。
提示安装客户端
终端主机没有安装360, 限制模式提示
没有安装360客户端的终端主机,打开IE时,弹出网页提示没有安装客户端,这时可以点击下载安装,只要按默认的提示下一步,直到安装完成,无需网管现场安装,大大减轻网管工作量。同时又确保了所有主机都全部安装客户端。
2.2、入网用户统一实名认证
不管网络中各终端IP是DHCP自动获取,还是手动设置IP,对入网的主机要求做到对应到人,准入系统要求入网主机,只有实名认证通过后才能接入内网。
实名认证
终端主机没有实名认证, 限制模式提示
终端主机点实名认证,输入用户名和口令,认证通过后,才能接入内网。
显示已实名验证成功的用户列表
2.3、区分访客与员工的权限,访客在隔离网段可以不装
1、准入系统, 分两个DHCP地址池,一个是访客的DHCP地址池,即隔离网段,一个是员工的DHCP地址池,即工作网段;
2、对于外来访客,允许在隔离网段,不安装360客户端软件,通过准入系统做安全策略,允许访问指定的服务器或访问互联网,
3、内部员工则要求必须安装360客户端才能接入工作网段。一些服务器可以不安装360客户端也能接入内网。
访客网段、工作网段两个DHCP地址池
隔离网段访问控制
2.4、A RP病毒的防御(双方绑定IP/MAC,DHCP SNOOPING)
攻击的基本原理就是强制被攻击的主机更新ARP缓存表,将目的IP与攻击者的MAC联系起来,这样,当被攻击者与目的IP通信时,报文都被发送到了攻击者上。
常见的一种ARP攻击是中间人攻击。攻击者向被攻击的主机和目的主机同时单播发送主动ARP报文更新通信双方分ARP缓存表(由于主机上的处理程序不区分单播、多播,因此发送单播消息可以增加隐蔽性)。当收到通信双方的报文后,除了上送到攻击程序处理外,还充当软网关,向通信的另一方转发这个报文,因此通信双方无法发现窃听者。当目的IP在其它网段或是公网时,攻击者仿冒的是网关。
ARP病毒。它实际上是自动化的中间人攻击,它通过被感染主机来仿冒网关,进而来监听网络中的所有报文从中获取所需的用户私密信息。
解决ARP病毒方法是利用准入控制系统,一是与交换机智能联动,直接绑定合法主机的IP,MAC 以及所在端口,二是针对DHCP的终端主机,,由准入设备提供DHCP服务,启用交换机的DHCP SNOOPING 功能,防止非法的DHCP服务。
另外在360内网管理功能上启用IPMAC绑定
IPMAC绑定
2.5、监控私接路由器、私接随身WIFI的行为
准入系统通过识别网卡制造商,能识别非法接入的终端是否无线路由,再由网管对其阻止入网。
判断非法路由的接入
随着无线网络的普及,随身WIFI可以任意插到主机USB口,从而手机等智能终端随意上网,造成了这些终端的接入没法有效管理,准入系统强制所有终端主机安装360客户端,然后在360控制台可以对全网的主机进行外接设备管控,限制USB无线网卡与热点。
私接随身WIFI
2.6、资产管理的补充与强化(不装客户端的主机)
准入系统对没有安装360客户端的终端主机,作为限制主机。由于没有安装客户端的主机,360 服务器是管理不到的,所以准入系统可以通过对限制主机强制安装相应360客户端,从而纳入360服务器的统一管理。
2.7、全网病毒控制(注意是全网)
由于准入系统可以在全网范围内强制360客户端的安装,解决了少数主机不安装360客户端,或恶意卸载,或重安装系统带来的客户端丢失。这样全网所有主机安装了360客户端,在360控制台就可以对终端主机全部启用360防病毒。
2.8、全网U盘管理(注意是全网)
由于准入系统可以在全网范围内强制360客户端的安装,解决了少数主机不安装360客户端,或恶意卸载,或重安装系统带来的客户端丢失。这样全网所有主机安装了360客户端,在360控制台就可以对所有终端主机全部启用U盘管理。
2.9、统一入网日志
主界面系统状态栏事件日志,可显示客户端上下线日志及主机对应的MAC地址、IP地址、用户/部门、交换机、时间信息。
三、终端准入与360结合的技术实现
3.1、终端准入与360企业版网络拓扑
INTERNET
Cisco 3560
hub
二层交换
Cisco 3560
Cisco 6509
……
宝界终端准入网关
核心业务
服务器
无线AP
正式用户,
安检通过,
允许访问
访客,可以访
问外网,禁止
访问内网
例外设备,直接放行
正式用户,
存在安全漏
洞,被隔离
到修复区产品部署拓朴结构
网络拓朴说明:
1、终端准入设备是旁路方式接在核心交换机上, 由于准入设备是多接口的,对于网段数不多的网络,可以一个接口管理一个VLAN,各网段分别接入准入设备的不同接口,各自进行准入控制。
2、对于多VLAN的,可以采用核心交换机的TRUNK口接准入设备的一个接口,这样可以一个准入接口可以管理多个VLAN。实现每个VLAN的准入控制。
3、准入与核心交换机通过TELNET/SSH方式联动。
4、汇聚层或接入层交换机启用DHCP Snooping +IP SOURCE GURARD或DAI,DHCP Snooping有效防止网络中的非法DHCP服务。IP SOURCE GURARD或DAI功能有效解决终端主机私自设置IP,同时解决了内
网中固定IP的服务器, 直接在交换机上建立合法的绑定表。
3.2 采用DHCP准入与360结合
宝界终端准入控制系统旁路接在三层核心交换机的一个TRUNK口,原有的三层核心提供的DHCP服务由宝界终端准入控制系统提供,由宝界终端准入控制系统对内网的所有终端做扫描检查,采用DHCP准入控制技术,所有主机先获取到隔离网段的IP地址,只有通过实名/CA认证检查,以及360客户端安装检查,通过后才能分配到内网的工作VLAN的IP。
3.3 采用IPMAC准入+ARP重定向实现与360结合
宝界终端准入控制系统旁路接在三层核心交换机的一个TRUNK口,原有三层核心提供的DHCP服务仍不变,或原有的专门DHCP服务器仍正常提供DHCP服务,由宝界终端准入控制系统与三层核心交换机做联动, 对内网的所有终端做扫描检查,可以对现有的合法主机建立白名单体系,针对不同的主机可以做灵活的检查规则,如只需要实名/CA认证检查,或360客户端是否安装检查,也可以二者都要求符合才能接入内网。外来的非法主机,打开IE 自动跳转到认证页面, 进行实名认证以及360客户端安装,符合这二个条件才能接入内网。
针对固定IP的网络环境,由宝界终端准入控制系统与三层核心交换机做联动, 对内网的所有终端做扫描检查,可以对现有的合法主机建立白名单体系,准入设备采用IPMAC准入+arp重定向实现, 针对不同的主机可以做灵活的检查规则,如只需要实名/CA认证检查,或360客户端是否安装检查,也可以二者都要求符合才能接入内网。外来的非法主机,打开IE 自动跳转到认证页面, 进行实名认证以及360客户端安装,符合这二个条件才能接入内网。
3.4、终端准入与360企业版结合入网流程
DHCP准入与360结合的准入流程
通过宝界终端准入管理系统,与现有的360内网管理服务器的有效联动,接入的主机,首先动态分配到宝
界指定的隔离网段IP地址,其网关指向到宝界准入设备,打开IE,自动跳转到实名认证、CA证书验证页面,输入网管人员分配的实名帐号或USB接口插上分配的CA证书,认证通过后,如果该主机已安装了360客户端,就可以分配到合法的工作网段的IP地址,网关指向到三层交换机VLAN接口地址。如果该主机没有安装360客户端,则跳转到客户端安装页面,安装好后才能分配到工作IP。
1、启用DHCP准入方式
2、设置隔离网段与工作网段,以及检测条件
3、接入主机先分配到宝界准入控制系统指定的隔离网段:
4、打开IE会跳转到实名认证、CA证书验证页面:
如果需要实名认证的,选择实名登录,输入网管分配的实名用户帐号登录