毋庸置疑的是，此類攻擊正在上升。事實(shí)上，美國(guó)計(jì)算機(jī)安全組織系統(tǒng)網(wǎng)絡(luò)安全協(xié)會(huì)(SANS Institute)最近已把這些客戶端攻擊列為最關(guān)鍵的安全隱患。雖然對(duì)于我們所有人來(lái)講，認(rèn)為完全杜絕此類攻擊是愚魯?shù)模�不過(guò)，我們?nèi)匀豢梢赃x擇強(qiáng)有力的辦法來(lái)減少此類攻擊。
　　首先采取的步驟是，在一個(gè)包含眾多設(shè)備及用戶的局域網(wǎng)內(nèi)實(shí)施一個(gè)認(rèn)證方案。如果一直采用的是802.1X協(xié)議的話，僅僅這樣做是不夠的，因?yàn)殡娫�、打印機(jī)、醫(yī)療設(shè)備，機(jī)器人等大部分的其他設(shè)備無(wú)法支持該協(xié)議。這就需要一個(gè)途徑，確保你所知的每一個(gè)非用戶設(shè)備都連接在網(wǎng)絡(luò)上并了解此設(shè)備的類型。需要尋求一個(gè)認(rèn)證方法，使得每一個(gè)具體已知設(shè)備都列入認(rèn)證名單。如能利用反向域名解析(reverse DNS)來(lái)關(guān)聯(lián)設(shè)備名稱和類型從而自動(dòng)識(shí)別這些設(shè)備那將更加完美。
　　接下來(lái)，需要給非用戶設(shè)備設(shè)置角色并分配權(quán)限。舉例說(shuō)明，可以在你的網(wǎng)絡(luò)中定義一個(gè)適用于所有打印機(jī)和打印服務(wù)器的角色，至于訪問(wèn)權(quán)限，可以指定打印機(jī)只能和打印服務(wù)器通信，而其他用戶設(shè)備也只能和打印服務(wù)器通信。(打印機(jī)和其他設(shè)備之間沒(méi)有通信權(quán)限)
　　同樣，在VoIP方面，可以賦予VoIP電話以VoIP的角色，并定義這些電話只與網(wǎng)絡(luò)電話管理員(call manager)通信。你甚至可以超越這種基于應(yīng)用策略的分區(qū)保護(hù)模式。例如，可將扮演VoIP角色的設(shè)備只在SIP, H.323, 或是 SKINNY協(xié)議下通信，從而進(jìn)一步防范基于數(shù)據(jù)的攻擊。此種分區(qū)機(jī)制非常有助于防止電話，打印機(jī)或是其他設(shè)備發(fā)起的攻擊。例如，一個(gè)裝有漏洞掃描軟件且處于險(xiǎn)境的打印機(jī)，無(wú)法接觸任何網(wǎng)絡(luò)設(shè)備找到公共端口。同樣，一個(gè)VoIP電話也無(wú)法對(duì)其他服務(wù)器或是用戶終端發(fā)起攻擊，在應(yīng)用保護(hù)的情況下，它甚至無(wú)法攻擊使用數(shù)據(jù)協(xié)議的網(wǎng)絡(luò)電話管理員。
　　有兩種選擇可以實(shí)現(xiàn)這樣的局域網(wǎng)安全保障。一種是使用新一代的局域網(wǎng)交換機(jī)，這種交換機(jī)在認(rèn)證方面優(yōu)于802.1X，具備對(duì)用戶和設(shè)備基于應(yīng)用策略的訪問(wèn)控制能力，選用這種方式組網(wǎng)，網(wǎng)絡(luò)便直接獲得了這種能力。如不考慮升級(jí)交換機(jī)，則考慮具備認(rèn)證用戶和設(shè)備能力的安全應(yīng)用程序，且要能夠自動(dòng)設(shè)定角色并通過(guò)分區(qū)和申請(qǐng)?zhí)峁┗�于�?yīng)用策略的訪問(wèn)控制。
　　無(wú)論選擇訪問(wèn)交換機(jī)還是應(yīng)用程序，最關(guān)鍵的是在局域網(wǎng)的周邊提供恰當(dāng)?shù)?保護(hù)，這個(gè)位置對(duì)于減少客戶端的攻擊至關(guān)重要。否則，一旦攻擊開(kāi)始你將沒(méi)有任何工具能夠阻止。

IT專家網(wǎng)