怎样才可以改善“笨设备”的NAC安全性呢？

安全漏洞和数据丢失事件越来越多。与此同时，不受管理的设备数量也在迅速增加，这导致许多企业采用网络访问控制技术(NAC)来监控那些经常连接到其公司网络的非公司设备。NAC技术具有认证所有用户的能力，并且可以确保他们的终端设备满足最低网络安全要求和规则遵从要求。

然而，虽然NAC可以帮助人们隔离恶意设备，但它无法识别和分类同一网络上的大多数非计算设备。

非计算终端设备有时被称为“哑设备”，如IP电话和打印机。很难对它们进行跟踪和分类。由于这些设备的存在，越来越多的安全专业人员在审计中失败，因为这些设备可以允许恶意用户欺骗资源，绕过控制并获得未经授权的网络访问。另外，这类设备缺乏“终端发现策略”，导致设备记录被不同的软件管理，出现在不同的数据库中。

终端指纹识别是解决这个问题的好方法。终端指纹识别允许NAC产品收集非传统网络终端设备的IP和MAC地址，并与公司的认证、授权和账户控制服务器的内容进行比较，以发现、分类和监控它们，从而确认它们的分类或设备类型，以及它们在网络中的位置。

Forrester Research Company认为，当终端设备的指纹识别是NAC产品的一项功能时，该技术有助于对附着在网络上的终端设备(如IP电话、暖通空调系统、徽章阅读器、IP监控摄像头、智能电表等)进行自动安全性能分析和运行管理。).现在，一些南汽供应商已经将终端设备的指纹功能内置到他们的产品中，而另一些供应商则与其他制造商合作使用这一技术。

假设您的企业选择了可以提供终端设备指纹识别的NAC安全产品，终端设备指纹识别有四个步骤:

第一步:确定问题。

在开始发现或监控之前，请确定您想要完成的任务。简而言之，就是确定关键问题是什么，或者你需要解决什么问题？如果网络是静态的，意味着需要识别大量的终端设备，或者异地记录了大量未识别的设备，那么应该先开启发现功能。如果您有一个动态网络，这意味着新设备将经常出现在您的网络上，那么请打开终端设备监控。

步骤2:创建设备列表。

通过开启设备发现和目录功能，IT和运营商可以减少数周的人工劳动。为什么？本质上，该功能会自动扫描网络，找到所有连接的终端设备，包括计算和非计算设备，认证和非认证设备等。扫描后，将获得设备的集中列表。对于大型企业来说，非计算设备的数量至少会与传统计算设备的数量一样多(有时甚至会多两到三倍)，这很正常。

第三步:确定位置并验证身份

下一步是通过使用带有位置和标识的拓扑来扩展现有设备和新设备的列表。最初，您只能收集静态和动态IP地址以及媒体访问控制(MAC)地址。然而，随着计算环境变得越来越好，您将能够查看ARP表、打印服务和web服务器信息等。，以便收集其他信息。

一旦终端设备的指纹识别系统收集到IP地址和MAC地址，就可以通过LDAP将这些信息与身份认证、授权和帐户服务器上的内容进行比较，以确定设备的位置并验证其身份。这使得网络安全团队能够监控访问中的所有变化。如果一个设备被移除，而另一个设备被连接到端口，这种改变将被标记，并且警报将被发送到管理系统。

第四步:监控并发出警报。

对于任何具有动态环境的企业来说，持续监控是非常有价值的，在动态环境中，设备经常会更改其网卡和操作系统。该功能不仅可以监控MAC欺骗、集线器插入、端口切换和配置文件更改，还可以通过多种方式部署。例如，您可以创建配置文件来选择第二层到第七层的操作模式，收集网络流量数据，或者集成SNMP进行高级监控。

终端指纹识别在一些虚拟环境中也非常有用(工作负载在单个物理终端上共享，并且经常移动)。在这种情况下，Forrester建议企业选择Vmware的Vmotion或Xen的Life Motion等服务。此外，如果这些企业在网络中有现成的安全信息和事件管理(SIEM)或入侵防御系统(IPS)设备，那么这种监控将非常有用，因为它可以向这些系统发送警报并关联这些信息。

终端指纹识别是企业安全专业人员必备的技术工具。NAC无法深入扫描所有企业的IP地址连接的设备，而资产管理工具是如此广泛，以至于它们没有处理打印机、IP电话、HVAC系统和其他设备的特定策略。终端指纹识别弥补了这些技术的不足，尤其有助于部署NAC，因为它可以发现基于IP的终端设备，并对其进行分类和监控。