LANDesk准入控制系统技术白皮书.docx
- 文档编号:6238481
- 上传时间:2023-01-04
- 格式:DOCX
- 页数:51
- 大小:2.30MB
LANDesk准入控制系统技术白皮书.docx
《LANDesk准入控制系统技术白皮书.docx》由会员分享,可在线阅读,更多相关《LANDesk准入控制系统技术白皮书.docx(51页珍藏版)》请在冰豆网上搜索。
LANDesk准入控制系统技术白皮书
LANDesk准入控制系统
技术白皮书
蓝代斯克(北京)软件有限公司
2009年6月
1LANDesk产品简介
虽然安全技术发展至今已经有了长足的进步,然而,病毒、蠕虫、间谍软件和其他形式的恶意软件仍然是企业面临的主要问题。
安全漏洞与日俱增,新的病毒不断充斥网络,原有的手工安装和分发升级文件包和补丁需要更多的人力资源,还会造成时间的迟滞,影响企业的运行效率,给企业带来损失。
企业每年遭遇的大量安全事故造成系统中断、收入损失、数据损坏或毁坏以及生产率降低等问题,带来了巨大的经济影响。
此外,XX的内部访问引发的盗取企业知识产权和客户数据的事件时有发生。
随着企业网络外延的扩展,企业局域网开始对外部用户、合作伙伴、客户开放合适的权限需要耗费大量的财力和精力。
由此,限制这些“非安全”,“非信任”的用户对局域网数据中心及其敏感数据的访问成为一个挑战。
如何解决这些痛苦的管理问题?
您需要一套高效和易于使用的准入控制解决方案。
传统的安全解决方案已经无法解决这些问题,大多数的网络安全解决方案仅仅是将内部系统和Internet隔离开来,在过去的几年中,整个IT安全领域对桌面准入系统寄予极高的期望。
LANDesk作为桌面准入管理行业的领导厂商,开发和提供领先的桌面设备、服务器和移动设备准入管理的软件与服务。
LANDesk准入管理管理系统作为一个完全集成的模块化系统,拥有准入扫描、补丁管理、安全套件等多个模块和插件。
同时支持网关类型、802.1X类型、DHCP类型、IPSecVPN类型的准入控制形式。
这套系统能实现企业IT设备全生命周期管理并且在企业信息资源管理系统发生意外损失时,能将损失减少到最低点,同时最大程度的提高IT的投资回报。
除了传统的准入控制方法外,LANDesk还独创性地提出“嵌入式网关+终端检测”的一体化解决方案,提供嵌入式的网络访问控制,结合客户端验证,确保只有授权且遵从策略的终端才能访问企业核心业务资源和数据中心。
独特的阻止和隔离技术消除了对网络交换机和网络服务的依赖,简化了网络访问控制的部署,
准入网关利用与LANDesk安全扫描客户端联动,全面、准确和实时地获得企业网络上所有终端的关联状态信息,以及使用者的身份信息,。
根据收集到的大量关联信息,对允许访问网络的终端进行细粒度授权。
产品运行之后,LDAC立刻执行实时的终端状态发现和授权强制。
在企业网络中任何未授权的终端都无法访问LDAC所保护的任何部分。
基于LANDesk策略服务器的策略引擎,IT管理人员可轻松地定义安全状态检查规则并下发至每台客户端执行检查,LANDesk安全扫描客户端将实时反馈终端的安全状态,并由LDAC执行阻断。
LANDesk安全扫描客户端持续地监视终端状态,实时地发现企业网络上已授权终端的属性所发生的任何变化。
一旦发现某台终端的特征发生了变化,LDAC立刻将该设备隔离起来,禁止其访问。
严格的身份认证技术确保授权终端的属性不会被滥用,可防止未授权终端冒充授权终端。
例如,防止未授权设备利用MAC地址冒充已授权的设备。
LANDesk准入控制系统是应用于大中型企业环境下的计算机准入管理的最佳解决方案,已经成为国外电信、金融、保险、证券、政府、制造以及各计算机厂商进行企业IT管理的必备工具。
LANDesk的技术源于国际知名的芯片厂商INTEL的核心软件技术,是IT管理产品的领导厂商。
LANDesk产品的用户包括可口可乐、HONEYWELL、美国航空航天局、汉莎航空、TOSHIBA、东京三菱银行、美国第一银行、SUNTRUST保险、国电信息中心、温州电业局、宁波电业局、中国建设银行、中国人民银行、中国石化、中央电视台等,已在全球部署了超过2亿5千万个节点。
LANDesk在提供业界领先的管理产品的同时,也为提高各PC厂商的产品的高可管理性提供解决方案。
LANDesk的OEM客户包括Gateway、TOSHIBA、ACER、华硕等,国内的大型PC厂商如联想及同方也均以OEM的方式使用LANDesk的部分技术为新产品提供高可管理性。
LANDesk的服务策略
LANDeskSoftware与全球上千家LANDeskESP(专业解决方案提供商)合作为客户提供最佳的服务。
同时,LANDeskSoftware提供全球7*24小时的电话支持服务。
2产品架构
2.1准入策略管理网络拓扑图(二级架构)
2.2管理模式介绍
根据客户实际网络架构和部署规模的不同,LANDesk准入管理系统有两种管理模式:
单服务器管理模式(管理上限为10,000个节点)和多服务器分区管理模式(管理规模可以达到数十万点)下面就分别介绍这两种模式。
单服务器管理模式在该种模式下,使用单台LANDesk核心服务器管理全网所有客户端,单台核心服务器可以管理的客户端数量为10,000台。
核心服务器通过连接到internet上的LANDeskpatchserver(安全内容服务器)更新安全内容。
(包括:
补丁、间谍软件等)
分级管理:
核心服务器上可以连接多个管理控制台(分布在网络的任何位置)进行分级管理,如上图所示。
所有的管理数据统一保存在核心服务器后台的数据库中。
该种方式的实现特点是架构简单,易于部署和管理。
比较适用于企业网络连接比较正规,管理模式比较简单,带宽资源比较丰富的环境。
多服务器分区管理模式在该种模式下,多个准入管理系统核心服务器分别管理各自区域的客户端,每个核心服务器可以管理多达10,000个客户端。
所有核心服务器管理的客户端数据可以通过汇总的方式统一由汇总核心服务器进行集中存储和展现。
该种方式还可以在企业网络中架设安全定义更新服务器来统一更新所有核心服务器的安全定义。
该种方式的实现特点是管理层次比较清晰,管理规模比较大。
适用于网络分布式非常明显,管理机构和部门比较复杂,企业规模比较大的环境。
2.3基于角色的管理
LANDesk管理权限的划分可以和本地帐户或活动目录的管理进行无缝的集成。
LANDesk管理员可以通过对域帐户或本地帐户进行详细的功能和范围授权,无缝集成现有网络目录和本地对象,同时该目录或者对象必须是核心服务器本地LANDesk管理组的成员才能够登录到LANDesk系统。
通过角色管理可以使用准入管理系统控制台直接查看AD架构,而无须在准入管理系统中复制AD角色。
同时可以分配准入管理系统权限给AD组或OU(organizationunits),在分配权限时支持继承的概念。
2.4本地帐户管理
LANDesk准入管理系统可以对受管理客户端的帐户做全面管理,通过远程访问客户端本地的用户和组对象,管理员可以方便的对客户端本地帐户进行添加,删除,修改等操作。
同时,管理员可以方便的修改客户端的用户密码,无论是修改某台指定客户端的密码还是批量修改客户端密码,使用该功能,管理员可以回收客户端帐户的密码并强制客户端使用受限身份登录系统。
2.5客户端部署方式
LANDesk的客户端有多种部署方式,包括直接通过连接到服务器共享安装,,通过Web共享安装,域登录脚本安装和从控制台进行的后台远程推送安装。
除此之外,LANDesk提供了高级客户端安装功能,该功能允许首先发送一个基本的MSI代理到客户端(大小仅为完整客户端的几十分之一),然后通过基本代理逐渐将完整客户端下载到本地安装。
该方式的优点是可以支持低速带宽的分发并且可以利用域分发策略对MSI包直接分发。
2.6异构客户端支持
LANDesk管理的客户端不仅包含从Windows9x到Windows2003全系列的Windows平台,而且包含部分Linux/Unix平台。
在windows平台上LANDesk支持本文当中描述的完整的功能集。
在Linux/Unix支持上包括常用的平台和功能。
平台支持
功能支持
Windows
9x(95/98)
Me
NT(server/workstation)
2000(server/workstation)
XP(home/professional)
2003(standard/advanced/enterprise)
资产扫描
软件分发
远程控制
软件授权监控
操作系统分发
自动客户端部署
Linux/Unix
Redhat9
SuSe9
Mandrake
HPUno11.x
通用基本代理
资产扫描
RPM包分发
自动客户端部署
3
LANDesk准入管理系统解决方案
3.1LANDesk网关准入解决方案
LANDeskLDAC“网关+客户端”模式把关注重点放在了企业的关键业务服务群,通过一台强制性网关,将客户端域与主机域进行隔离,客户端在通过这台强制性检测网关的准入检测,才能获得对关键应用的访问权限。
LANDeskLDAC网关实现原理是,LDAC网关通过串接方式部署,强制拦截流量,根据客户端的认证及安全策略匹配情况决定是否放行,如果客户端未通过认证,或不符合预设的策略要求,它们会被禁止访问位于LDAC网关之后的网络资源。
对端点的评估通过LANDesk安全扫描客户端执行。
LANDesk客户端可以扫描文件、进程、防病毒软件和注册表键等以帮助确保端点符合当前准入和漏洞清除策略。
除了可以对端点的安全状态进行评估和准入外,LDAC可以进行资源授权分配,LDAC可以根据预设用户的权限划分,给端点相应的访问权限。
LANDesk网关准入的组件
基于LDAC网关准入的LANDesk信任准入服务必须具有下列组件
LDAC网关准入流程说明:
a,端点PC发起对核心业务的访问,该请求被LDAC拦截,LDAC的LANDesk安全扫描客户端检测模块检查端点是否部署运行了LANDesk安全扫描客户端,如果没有,则重定向至客户端下载链接
b,LANDesk策略服务器下发客户端至端点。
1,端点进行域登录操作
2,客户端单点登录检测组件将端点域登录情况(成功或失败信息,账号信息)传递至LDAC网关
3,LANDesk策略服务器实时将预设的安全策略同步至LANDesk安全扫描客户端
4,端点LANDesk安全扫描客户端检测端点的安全状况,并将安全结果(是否允许放行)反馈至LDAC
5,LDAC放通端点对业务资源的访问,同时对其流量状况及会话状况进行监测,如果流量或会话超出预设限制,对流量或会话进行限制。
LDAC审计模块也对端点向后端系统的访问行为进行记录
LDAC逻辑组件
1.认证检测模块:
对于端点访问流量,首先由LDAC的认证检测模块对该部分流量是否已经通过身份认证,对于未通过认证的端点流量,拒绝通过。
LDAC支持四种认证机制
(1)将认证信息转发至第三方认证服务器方式,支持微软AD域,SUNLDAP,OpenLDAP
(2)微软AD域单点登录方式(3)本地账号数据库存储用户名和密码(4)基于非账号方式认证,包括IP,MAC认证,以及指定不认证范围。
2.LANDesk安全扫描客户端检测模块及扫描结果检测模块:
客户端检测模块包括检测端点是否运行LANDesk安全扫描客户端,以及LANDesk安全扫描客户端对端点的安全策略扫描是否满足预设策略。
只有在二者都满足的情况下,LDAC放通数据流。
3.网络流量监测模块:
对允许通过的数据进行流量及会话状态检测,如果单个端点的流量及会话大小超出预设阈值,则进行流量整形或会话限制。
4.访问审计模块:
对允许通过的数据进行访问行为审计以及实时状态登记,该模块监控用户的实时会话信息并排名;监控用户的实时流量信息并排名;监控用户的实时链接信息(包括源IP、源端口、目标IP、目标端口);可监测、审计和报告网络上所有用户的行为,包括访问的资源、使用的服务。
根据源地、目的地和服务提供网络使用统计。
从账号、客户端IP地址,服务端IP,服务协议,访问情况,流量大小,访问频率等多个层面提供流量的可视报告。
流程其它说明:
1.LANDesk策略服务器保存用户管理结构,安全策略信息。
所有LANDesk安全扫描客户端仅从策略服务器获得安全策略准则。
LDAC不存储安全策略。
2.LDAC在数据流通过时判断1,是否安装准入客户端,2,是否通过认证,3,扫描结果是否允许其通过。
3.对于没安装准入客户端的pc,如果进行http访问,将会对其web访问重定向至下载页面,下载页面含有准入客户端下载链接,实际指向LANDesk策略服务器的某个链接。
如果非http应用,使用者可以手动登录认证界面(指定URL)。
4.LANDesk策略服务器通过以上方式把已经预设了规则的客户端下发到PC,并通过心跳机制与端点保持策略同步。
5.LANDesk安全扫描客户端具备单点登录功能,这个单点登录组件判断客户端是否登录域,以及传递登录账号。
6.管理员不强制要求先登录域的情况下,对未登录域的用户,如果如果是http应用,可由LDAC重定向web认证框,用户可输入域账号方式登录,LDAC将端点提交的域账号转发至域服务器,判断是否正确。
如果非http应用,可以手动登录认证界面(指定URL)。
7.对于强制要求登录域的管理方式,对未登录域的用户,LDAC不允许通过WEB认证方式通过认证,此时,重定向web将提示用户必须先登录域。
8.对本地存储方式认证的用户,对未通过认证的用户,LDAC重定向web认证框,用户输入账号密码,由LDAC本地账号数据库进行验证。
9.LDAC实时监测准入客户端的运行情况,心跳扫描周期默认40s。
10.准入客户端将根据LANDesk策略服务器预设的策略对本机安全措施进行扫描,LDAC判断准入客户端的扫描结果,如果不符合要求,有两种处理方式,1弹出警告框,并禁止接入,对客户端进行隔离,2,对所有或特定用户的流量放行,但是记录是否有用户不符合企业的安全策略;弹出警告框,警告框内容可由管理员自定义。
11.对不符合安全策略的端点,客户端提示进行修补。
LANDesk网关准入解决方案总结
优点:
◆无需802.1X交换机及DHCP,VPN等网络服务
◆控制粒度更细
◆更易于部署
◆可视化更强
缺点:
◆需部署独立的网关
◆对隔离威胁端点对其他端点的访问
3.2LANDesk802.1x解决方案
LANDesk802.1x解决方案是基于802.1x的解决方案,需要支持802.1x的设备。
LANDesk802.1x的网络拓扑
LANDesk802.1x的组件
基于802.1x的LANDesk信任准入服务必须具有下列组件
组件
说明
LANDesk核心服务器
提供安全扫描及修补工具,用于:
下载安全性内容(例如操作系统和应用程序漏洞定义、间谍软件定义、系统配置安全威胁、防病毒和防火墙配置定义等)、定义遵从性条件、配置状态验证服务器和修补服务器以及配置和发布可信访问设置(包括用于扫描和修复设备的遵从性安全规则或策略和修补资源)。
Radius服务器
主要担当802.1x网络准入的验证工作,在它上面可以配置准入原则。
状态验证服务器(由核心服务器承担)
基于两个因素确定连接设备是否处于健全状态:
遵从性安全策略工具中遵从性组的内容和根据配置可信访问对话框中的健全的定义设置中的指定进行健全性扫描以来的小时数。
专用的状态验证服务器是验证过程中决定策略的位置。
修补服务器
包含所需的设置和支持文件(安全客户端、安全类型定义和所需的修补程序以及HTML模板页),用于扫描设备上通过安全策略标识的漏洞,并修补(修复)任何检测到的漏洞,使设备可以扫描为健全或符合安全策略并访问网络。
路由器或交换机
作为实现遵从性安全策略网络访问设备。
与尝试访问的连接设备以及评估端点设备的状态凭证的Radius服务器进行通信。
路由器或交换机是网络上实现策略的位置,授予或拒绝访问权限。
设备
尝试访问企业网络的移动用户设备或来宾用户设备以及常规的网络用户设备。
典型的端点设备包括台式机和笔记本电脑,但是也可以是打印机等“无客户端”设备。
通过LANDesk信任准入可以评估这些连接设备的健全性状态并根据状态凭证控制网络访问。
隔离VLAN
虚拟的安全网络区域,在该区域可以保护、修补、重新扫描不符合策略的设备,并为该设备授予对企业网络的完全访问权限,或允许对网络资源(例如Internet)进行有限的访问。
企业网络
LANDesk信任准入在不健全、受感染或容易通过其他方式受到攻击的设备中保护的重要网络区域和资源。
LANDesk802.1x的工作流程
若接入的设备没有LANDesk代理,此时设备通常会禁止访问网络。
用户若要获得访问网络的权限,首先必须通过介质手动安装LANDesk代理
下图显示当试图访问网络的设备安装了LANDesk代理程序后,各个组件间的工作流和通信流。
插图编号代表过程的每个阶段,说明如下。
验证过程工作流:
1.配置了LANDesk代理的设备首次将尝试通过支持802.1x的设备(交换机或路由器)接入到该企业网络,并且输入事先指定的认证所需的用户名口令。
此时根据管理员事先指定的策略,TCP/IP使用的端口处于关闭状态,只打开802.1x认证使用的端口。
2.接入层网络设备将设备访问请求转发到Radius服务器上
3.Radius服务器验证用户输入的用户名和口令,如果输入正确,则通知接入层设备打开对应的端口,使得设备可以正常接入网络。
4.同时Radius服务器可以通知状态验证服务器,有设备刚刚通过了口令验证接入网络。
5.状态验证服务器将向新接入的客户端发送遵从性扫描指令,
6.客户端根据管理员制定的遵从性安全策略对本机进行安全扫描来确定设备的健全状况或“状态”,遵从性规则或凭证是由LANDesk管理员使用遵从性功能预定义的。
这些遵从性规则从核心服务器发布到状态验证服务器。
7.如果设备是健全设备(或符合安全策略),则正式打开客户端接入的端口,授予它访问企业网络的权限。
8.如果该设备是不健全设备(或不符合安全策略),则进行自动修补,安装所有必需的修补程序来进行修补。
修复设备后,将重复网络访问权限过程,并授予健全(即符合安全策略)的设备访问企业网络的权限。
如果修补不成功,则会关闭该设备接入的端口。
LANDesk802.1.x解决方案总结
优点:
◆基于身份的接入,更为安全
◆支持静态IP地址
◆采用业界成熟的网络标准,无需指定厂家的产品
◆造价较便宜
缺点:
◆接入层设备必须是支持802.1.x的交换机
仅支持Windows2000以上操作系统
3.3LANDeskIPSec解决方案
LANDeskIPSec解决方案是纯软件的解决方案,无需硬件支持,也不需要改变客户现有的网络架构。
所有已通过遵从性规则验证的机器将获得正式证书及健康策略,通过IPSec建立信任关系互相可以正常通讯;没有通过遵从性规则验证的机器将获得伪证书及非健康策略,不能和其他设备通讯。
LANDeskIPSEC的网络拓扑
基于LANDeskIPSEC解决方案的网络拓扑图
LANDeskIPSEC的组件
基于LANDeskIPSEC的可信访问服务必须具有下列组件。
组件
说明
LANDesk核心服务器
提供安全扫描及修补工具,用于:
下载安全性内容(例如操作系统和应用程序漏洞定义、间谍软件定义、系统配置安全威胁、防病毒和防火墙配置定义等)、定义遵从性条件、配置状态验证服务器和修补服务器以及配置和发布可信访问设置(包括用于扫描和修复设备的遵从性安全规则或策略和修补资源)。
状态验证服务器(由核心服务器承担)
基于两个因素确定连接设备是否处于健全状态:
遵从性安全策略工具中遵从性组的内容和根据配置可信访问对话框中的健全的定义设置中的指定进行健全性扫描以来的小时数。
专用的状态验证服务器是验证过程中决定策略的位置。
修补服务器(由核心服务器承担)
包含所需的设置和支持文件(安全客户端、安全类型定义和所需的修补程序以及HTML模板页),用于扫描设备上通过安全策略标识的漏洞,并修补(修复)任何检测到的漏洞,使设备可以扫描为健全或符合安全策略并访问网络。
设备
尝试访问企业网络的移动用户设备或来宾用户设备以及常规的网络用户设备。
典型的端点设备包括台式机和笔记本电脑,但是也可以是打印机等“无客户端”设备。
通过LANDesk信任准入可以评估这些连接设备的健全性状态并根据状态凭证控制网络访问。
企业网络
LANDesk信任准入在不健全、受感染或容易通过其他方式受到攻击的设备中保护的重要网络区域和资源。
LANDeskIPSEC的工作流程
下图显示当试图访问网络的设备安装了IPSEC信任代理后,环境中各个组件间的工作流和通信流。
1.首先要求接入网络的设备必须装好LANDesk代理程序
2.管理员向客户端发送遵从性扫描指令,客户端进行遵从性扫描并向核心服务器上传扫描结果;
3.根据扫描结果
a)如果客户端是已遵从则,核心服务器向已遵从的客户端发送正式证书和健康策略,所有健康设备都获得相同的正式证书和健康策略,通过IPSec建立信任关系互相可以正常通讯;如果遵从性过期则系统自动再次进行遵从性扫描。
b)如果接入设备的返回结果是未遵从,则接入设备会被分配伪证书(随机证书)和非健康策略,系统会在后台启动对未遵从项目的修复,修复结束后重新进行遵从性扫描。
4.如果自动修复不成功,接入设备只能得到伪证书(随机证书)和非健康策略,非健康的设备使用随机证书不能通过IPSec建立信任关系,则与健康设备不能正常通讯,与其他非健康设备也不能正常通讯。
如果接入设备仍然要正常接入网络,则需要管理员进行手工修复。
LANDeskIPSEC解决方案总结
优点:
◆纯软件解决方案,无需硬件支持
◆无需更改客户现有网络架构
◆支持静态IP地址
◆验证、安全扫描、修复都可以在后台静默运行
缺点:
◆使用IPSecVPN接入的客户端无法使用此解决方案
◆仅支持Windows2000以上操作系统
3.4LANDeskDHCP解决方案
整个企业网络环境基于DHCP方式部署,当客户端机器接入网络,试图访问企业网络资源时,首先会从LDDHCP服务器获得临时的IP地址,LDDHCP会根据客户端的状态,判断是否允许该机器访问企业网络资源,如果客户端不满足管理员定义的安全策略,则分配的临时IP地址只能访问指定的修补服务器,完成修补后,客户端状态健康后,LDDHCP服务器将把客户端IP地址请求转发到企业的DHCP服务器,获得正常IP地址,从而可以访问企业网络资源。
网络环境要求为动态IP地址分配。
LANDeskDHCP的网络拓扑
基于LANDeskDHCP解决方案的网络拓扑图
LANDeskDHCP的组件
基于LANDeskDHCP的可信访问服务必须具有下列组件。
组件
说明
LANDesk核心服务器
提供SecurityandPatchManager工具,用于:
下载安全性内容(例如操作系统和应用程序漏洞定义、间谍软件定义、系统配置安全威胁、防病毒和防火墙配置定义等)、定义遵从性条件、配置状态验证服务器和修补服务器以及配置和发布可信访问设置(包括用于扫描和修复设备的遵从性安全规则或策略和修补资源)。
企业DHCP服务器
为经过验证且状态为正常的设备提供永久性IP地址。
LANDeskDHCP服务器
作为实现遵从性安全策略网络访问设备。
与连接设备通信,以便评估此端点设备的状态凭证。
为寻求网络访问权限的设备分配临时的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- LANDesk 准入 控制系统 技术 白皮书