概述
隨著 SSL VPN 技術日趨主流,企業允許外部的用戶利用其內部基礎設施,因此,端點安全性也就越來越受到關注。僅僅保護自己的資產免受惡意入侵者的攻擊已經遠遠不夠了。企業需要保護其資產,避免信任的員工從尚未安裝補丁的家用電腦進行連接,還需要防止在開會時,這些員工在公用終端輸入他們敏感的認證憑證。
遠程訪問既變得更容易,同時也變得更加復雜。IPSec 通常僅供員工使用,它具有嚴格的設置和特定的端口,并且無需進行端點檢查。SSL VPN 使任意用戶都能夠更輕松地連接到網絡資源上,而由于同樣的原因,也使其變得更加復雜。隨著許多不同類型的用戶通過各種各樣的設備進行連接,同時訪問大量不同的內部資源,要求對每個請求主體進行檢查,以確保用戶和設備都是值得信任的,這一點變得愈加重要。
挑戰
SSL VPN 使遠程訪問向公眾開放,而實現該訪問所需的僅僅是一個瀏覽器,所以您不僅需要能夠檢測計算機類型(如,便攜式電腦、PDA 或信息亭等),同時還必須能夠檢測其安全狀況。由于市場上存在大量可訪問互聯網的設備,因此,在任意給定時刻,都可能會有 Windows 計算機、Linux設備 和 WAP 電話同時要求訪問。在用戶輸入認證憑證前,對每個設備進行檢測,以確保該設備是您允許訪問的設備,這一點是非常必要的。如果檢測失敗,又如何解決這個問題以使用戶可以具有某種等級的訪問權限?如果請求主體是可允許訪問的,您又如何決定哪些是他們有權訪問的內容?并且,如果允許用戶和設備進行訪問,那么采用什么機制才能夠保證他們沒有帶走或留下任何保密信息?關鍵的問題是確保僅有“安全”的系統才能訪問您的高敏感基礎設施。
實現該目標的第一步是列出使用環境。同安全策略配合使用,為不同類型的用戶及他們可能使用的多種設備揭示使用環境和訪問模式是非常重要的。下表是不同使用環境的一個很好的示例。
![]("http://www.f5.com.cn/tpl/website/images/solution/technology/fp_endpointsecurity1.gif")
圖 1:使用環境——資料來源:SSL VPN 中心
該圖表可能會發生變化,但是這一練習可以使管理員開始制定端點計劃。該圖顯示了用戶類型、從何處進行連接、誰擁有并管理設備(如可能,還顯示了設備類型)以及是否允許 ActiveX 或 Java 下載(通常用于運行端點檢測器)。工作環境也可能會發生改變,因為在某些時刻,通常通過公司電腦連接到 LAN 的“辦公室工作人員”,可能需要在一個開放的 Wi-Fi 系統上訪問他們個人電腦里的資源。立即識別這種改變是非常重要的,因為用戶雖然可能是有效用戶,但他們的設備也許是不可信任的,這時您應該采用更精細的訪問控制,僅允許他們訪問通常訪問的子集。
解決方案
允許受感染的設備訪問網絡,同允許無效用戶訪問專有內部信息一樣糟糕。在這種情況下,可采用 F5 FirePass 強大的端點安全性。端點安全性可阻止已受感染的個人電腦、主機或用戶設備與網絡進行相連。對已受感染的個人電腦進行自動重新路由可減少呼叫幫助中心的次數,并防止按鍵記錄器和惡意程序對敏感數據的竊取。
預登錄檢測
決定訪問的第一步已不再是確認用戶,而是首先檢查用戶正在使用的設備。預登錄檢測(見圖 2)在實際登錄頁面出現之前運行,所以如果客戶端不符合標準,則用戶無法獲得登錄機會。這些檢測和其它許多檢測器一起,可以測定客戶端設備是否運行了防病毒軟件或防火墻,以及這些軟件是否為最新版本。
FirePass 可以將用戶引導入糾正頁面來獲得更多指示,甚至還可以為用戶打開防病毒軟件或防火墻。檢測器可以搜索特定的注冊密碼或文件(這些密碼或文件是您公司電腦架構/映像的一部分),以決定它是否是公司的資產。預登錄可以檢索擴展的 Windows 和 IE 信息,以確保安裝了某些特定的補丁。如果根據這些檢測,FirePass 發現客戶端不符合規定,但是用戶是經過授權的用戶,則它會為該會話創建一個安全的、受保護的工作區,并且使用戶可以用安全虛擬鍵盤 (Secure Virtual Keyboard) 輸入他們的敏感信息。該功能可利用 FirePass 易于使用的可視化策略編輯器 (Visual Policy Editor) 完成。
![]("http://www.f5.com.cn/tpl/website/images/solution/technology/fp_endpointsecurity2.gif")
圖 2:FirePass 預登錄檢測
可視化策略編輯器是一個簡單的圖形用戶界面 (GUI),它使復雜的執行簡單化并靈活化。使用可視化策略編輯器,可以創建一個預登錄安全策略,該策略可對每個要求登錄 FirePass 控制網絡的端點系統進行評估。FirePass 提供各種不同的預制模板,包括超過 25 個不同的防病毒/防火墻廠商、Google 桌面和客戶端證書,用于對策略進行自動初始化。它還允許您以空白模板開始,從而進行完整的定制構建策略。管理員所需做的僅是“指向并點擊”,即可建立規則,并根據結果采取行動。FirePass 集成的端點安全性為內置,但同樣能夠與第三方端點檢測器共同使用,如,WholeSecurity 公司的 Confidence Online Server。
用戶輸入安全 FirePass 地址后,當收集關于最終用戶系統的信息時,用戶可以得到檢測的可視化指示。預登錄序列(見圖 3)根據評估來決定激活哪個檢測器。
![]("http://www.f5.com.cn/tpl/website/images/solution/technology/fp_endpointsecurity3.gif")
圖 3:FirePass 預登錄序列
如果順利,結果將會成功,用戶可以進入登錄頁面。當然,另一個結果就是拒絕登錄。告知用戶發生失敗的原因,以及解決問題的方法:“我們發現您安裝了防病毒軟件,但沒有運行。請啟用您的防病毒軟件再進行訪問。”在某些拒絕訪問的例子中,FirePass 可以立即將客戶端重新引導至糾正服務器。您可以將他們自動帶入用來改正或更新用戶軟件環境的糾正網站,無需任何用戶交互即可滿足預登錄檢測所要求的策略,從而不必拒絕用戶訪問,并寫出詳細信息。
如果管理員對設備仍然不確定,或希望實現可控制的訪問,那么就可以使用受保護的工作區。受保護工作區 (PWS) 允許您在客戶訪問 FirePass 上對最終用戶打印、保存文件,或存儲信息進行限制。它將用戶限制在遠程系統上臨時的工作區內,該工作區包含臨時的 Desktop(桌面)和“My Documents(我的文檔)”文件夾。在受保護模式下,用戶不會無心地或意外地將文件寫入到臨時文件夾以外的位置。PWS 控制會在會話結束時刪除臨時工作區和所有的文件夾內容。當用戶在不應存儲信息的設備上工作時,如不受 IT 控制的拇指驅動器 (thumb drive),受保護工作區尤為有用。
預登錄檢測在端點安全性中,是非常重要的第一步,因為它使管理員能夠在允許登錄前對請求設備進行評估。
受保護的資源
最后,隨著不斷擴大虛擬網絡的持續增長,企業的內部資源最需要受到保護。大部分企業并沒有必要讓所有的用戶設備一直能夠訪問全部資源。和預登錄序列配合使用,FirePass 可以收集設備信息(如,IP 地址或時間),從而決定是否提供資源。
一個受保護配置可以通過預登錄序列收集的信息權衡風險因素,因此它們是配合使用的。FirePass 可以利用各種安全措施創建詳細的受保護配置。它可以檢測到一個登錄是否來自可信任的網絡,端點運行的是什么防病毒軟件,或客戶端正在使用的是哪種認證方式。大量不同的檢測涵蓋了保護標準(見圖 3),如,鍵盤記錄器 (logger)、病毒感染、信息泄露以及非法訪問。然后,管理員可以為每種風險因素選擇所需要的安全特性。
![]("http://www.f5.com.cn/tpl/website/images/solution/technology/fp_endpointsecurity4.gif")
圖 4:保護標準
例如,ABC 公司有一些承包商需要能夠訪問 ABC 的企業 LAN。這在工作時間并不是什么問題,但是 FCI 不希望在下班后這種訪問還繼續。通過恰當的配置,承包商可以在下午 10 點登錄, FirePass 能夠檢測到該時間;它還知道只有在正常的工作時間內“承包商”才能夠訪問他們所需的資源,這一時段是從上午 9 點到下午 5 點。“承包商”在正常工作時間能夠看到的網絡訪問鏈接現在已經消失了。如果用戶的端點保護不能滿足定義的等級,則系統將不允許用戶訪問資源。
![]("http://www.f5.com.cn/tpl/website/images/solution/technology/fp_endpointsecurity5.gif")
圖 5:端點安全性:受保護的資源
ABC 公司可能允許“承包商”在工作時間后訪問某些 web 應用(如,外聯網門戶),但不是完整的 SSL VPN 隧道。這種組合可能是無止境的,但 FirePass 端點安全性使這望而生畏的工作變得非常簡單。
當通過預登錄檢測,并確定設備是安全的,則第二步就是保護您的資源。
登錄完畢后
登錄后操作可以保護敏感的信息不被“遺留”在客戶端上。FirePass 可以利用高速緩存清除器清除所有用戶遺留下的信息,如瀏覽器的歷史記錄、窗口、cookies、自動完成信息以及其它更多內容。FirePass 能夠關閉 Google 桌面搜索,因此在會話過程中任何信息都不會被編入索引。對于不能安裝“清除”控制的系統,可以配置 FirePass,以攔截所有的文件下載,從而避免無意中遺留臨時文件的可能,同時仍允許訪問所需的應用。對于那些允許不可信任設備訪問,但不希望它們在會話后保留任何數據的情形,登錄后操作顯得尤為重要。
![]("http://www.f5.com.cn/tpl/website/images/solution/technology/fp_endpointsecurity6.gif")
圖 6:登錄后操作
總之:第一步,檢測請求設備;第二步,依據檢測中獲取的數據對資源進行保護;第三步,確保沒有留下任何會話遺留信息。
結論
典型地,安全是信任的問題。是否存在足夠的信任,能夠允許某個特定的用戶和特定的設備對企業資源進行完全訪問?端點安全性使企業能夠核實信任的程度,從而決定客戶端可以訪問全部資源、部分資源還是根本不允許訪問。
FirePass 集成的端點安全性提供了:
☆ 安全兼容系統自動檢測,防止受到感染
☆ 與業內數量最多的病毒掃描及個人防火墻解決方案(超過 100 種不同的防病毒和個人防火墻版本)自動集成。
☆ 自動攔截受感染的文件上傳或電子郵件附件
☆ 自動重新路由并隔離受感染或非標準的系統,將其放入自我補救網絡中 (self remediation network)——以減少呼叫幫助中心的次數。
☆ 安全工作區可阻止竊聽及竊取敏感數據
☆ 使用隨機鍵輸入系統進行安全登錄可防止按鍵記錄器的竊聽
☆ 由于能夠與 FirePass 可視化策略編輯器完全集成因此,可創建基于端點訪問您的網絡及您公司的安全配置文件的定制模板策略
