高春科
摘要:文章着重分析了802.1X协议的接入控制技术和流程,通过基于802.1X协议的相关产品实现企业内网对于用户的安全接入和控制。通过相关技术和产品的研究和比较,从而构成企业内网接入的终端控制集成方案,并通过具体工程进行验证。
关键词:网络安全;802.1X协议;企业内网;安全接入控制
中图分类号:TP393 文献标识码:A 文章编号:1009-2374(2013)23-0157-03
目前,国内的大中型企业均已完成了企业内部网络和信息系统的建设,但各类来访人员终端接入公司内部网络时,普遍处于不可控状态;另外,企业在金融资本市场上需要遵守某些国际的规则和法案(如SOX法案404条款)。企业成立内控部门,力求企业生产运营过程各环节的可追溯、可审计。因此,需要通过对于终端接入的认证管理,实现终端接入的可控和可审计,满足安全和内控要求。现有企业网络还不能满足上述需求。本文针对这些需求进行研究,提出解决方案。
1 802.1X协议及解决方案
1.1 什么是802.1X
IEEE 802.1X是IEEE制定关于用户接入网络的认证标准。它的全称是“基于端口的网络接入控制”。802.1X协议起源于802.11协议,802.1X协议的主要目的是为了解决无线局域网用户的接入认证问题。
在802.1X出现之前,企业网上有线LAN应用都没有直接控制到端口的方法,也不需要控制到端口,但是随着无线LAN的应用以及LAN接入在电信网上大规模开展,有必要对端口加以控制,以实现用户级的接入控制。802.1X就是IEEE为了解决基于端口的接入控制(Port-Based Access Control)而定义的一个标准。
1.2 802.1X认证体系结构
802.1X的认证体系分为三部分结构:Supplicant System客户端(PC/网络设备)、Authenticator System认证系统、Authentication Server System认证服务器。
基于以太网端口认证的802.1X协议有如下特点:IEEE802.1X协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本;借用了在RAS系统中常用的EAP(扩展认证协议),可以提供良好的扩展性和适应性,实现对传统PPP认证架构的兼容;802.1X的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能,从而可以实现业务与认证的分离,由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制,业务报文直接承载在正常的二层报文上通过可控端口进行交换,通过认证之后的数据包是无需封装的纯数据包;可以使用现有的后台认证系统降低部署的成本,并有丰富的业务支持;可以映射不同的用户认证等级到不同的VLAN;可以使交换端口和无线LAN具有安全的认证接入功能。
1.3 802.1X解决方案
1.3.1 Cisco NAC。思科与防病毒厂商(包括趋势、McAfee等)合作的安全网络接入控制(下称NAC)方案,可实现基于用户身份的认证,也可对客户端防病毒安全状态进行评估,对不满足条件(预先制定的策略)的用户,对其接入网络的能力和范围实现控制,从而提高全网整体的安全防护能力;采用思科网络安全接入控制方案(NAC),可以有效地解决SOX法案要求局域网接入认证的内控要求。
NAC是由思科公司倡导的跨业界合作的整套安全解决方案,自2003年11月提出后获得防病毒厂商的广泛支持。目前,包括国外软件厂商:趋势科技、McAfee、赛门铁克、CA、IBM,国内软件厂商:瑞星和金山等15家安全领域主要厂商,都已成为思科NAC合作伙伴。
1.3.2 华为 I3SAFE Numen。I3SAFE Numen终端安全系统(以下简称终端安全系统)是在I3SAFE Numen系统框架基础上开发的针对企业、运营商的内部网络终端安全防护产品。终端安全系统通过在每一台终端上安装安全代理,对终端的安全状况进行检测,并实时监控和采集用户涉及主机安全的行为记录。同时通过与接入设备的联动,限制不符合安全要求的终端的上网。
1.3.3 局域网准入方案比较。
实施方法比较:
(1)协议方面。两种方案都采用EAP协议、RADIUS协议和802.1X协议实现接入控制。但思科的方案还可以支持不采用客户端的方式实现接入认证,即无客户端方式,为用户提供另外一种选择。
身份认证管理方面。两种方案在后台都选择了使用RADIUS服务器作为认证管理平台;华为只能以用户名/密码方式进行身份认证,思科除了采用用户名/密码方式外,还可以采用证书方式管理用户身份。
管理方式方面。都采取集中式控制和管理方式。策略控制和应用由策略服务器(通常是RADIUS服务器)和第三方的软件产品(病毒库管理,系统补丁等)协作进行;用户资料和准入策略由统一的管理平台负责。
(2)协作厂商比较。NAC是由思科公司倡导的跨业界合作的整套安全解决方案,于2003年11月提出。其主旨是向已获授权的合作伙伴提供协议和技术信息,以便合作伙伴开发和销售支持NAC网络、策略服务器及客户端应用。NAC方案支持的厂商包括国外软件厂商:趋势科技、McAfee、赛门铁克、CA、IBM,国内软件厂商:瑞星和金山等15家安全领域主要厂商。
EAD方案,于2005年底在媒体上逐步推出。EAD方案目前支持的厂商主要有瑞星、江民、金山三家厂商。
(3)对现网设备利旧的支持。思科NAC方案和华为EAD方案虽然在业务控制流程和功能组件上类似,都是基于对802.1X和EAP协议的开发,但目前并不兼容。
NAC方案:由于目前大型企业数据网络设备中主要采用的是思科的接入设备和策略控制服务器,采用思科NAC方案可以充分利用现有的网络设备和策略控制设备。
EAD方案:如果采用华为EAD方案,现在思科的接入设备将全部更换,并且需要配置新的策略控制设备。
(4)与现网设备的兼容性。
NAC方案:思科方案与现网设备不存在兼容性问题。
EAD方案:由于华为EAD方案必须采用华为的二层交换机,与现网思科的交换机互联,很容易出现由于生成树协议配置不当而引起广播风暴。
2 接入控制技术的实际应用
2.1 企业内部网络现状
浙江某运营商DCN网络是企业的运行支撑网络,为各个专业网管系统和企业应用系统提供了统一的数据通信平台,目前网络已经覆盖到各交换母局和大的营业网点。
当前存在的问题如下:(1)移动办公和远程维护的需求强烈,但缺乏安全的接入手段,因此只能小范围试用。(2)内网多出口现象严重,绕开统一出口直接访问公网,造成病毒严重,严重威胁内网安全。(3)缺乏安全的内网无线接入手段。(4)内网缺乏统一的安全策略规范和控制机制。(5)没有接入控制机制,内网接入随意,基本没有保护,对第三方人员和企业内部员工不健康的终端均无限制手段,严重威胁企业信息安全。
2.2 工程实施内容及建设方案
2.2.1 工程建设需求:(1)满足远程接入需求,实现用户在外网时能够安全接入DCN网络;(2)满足用户通过统一入口VPN方式接入DCN网络后,能够访问各类内网应用系统;(3)用户在外网接入内网时,应首先通过入口的Radius认证和动态口令认证;(4)终端在局域网通过有线或无线方式接入时,对终端安全性进行检测,认证后准许进入网络。
2.2.2 工程建设方案。
工程组网:Internet统一出入口通过一台Juniper ISG2000防火墙DCN的出口网关设备,完成省公司员工访问Internet的访问控制和安全防护;两台SA4000设备部署在防火墙的DMZ区,连接在DMZ交换机上,采用A/P的高可用方式部署,防火墙映射一个公网地址到SA集群的浮动地址上。防火墙实现基本DOS保护、策略过滤,SA设备则实现SSL VPN,进行应用层保护过滤和接入。部署一套Juniper SBR radius软件,作为DCN网络AAA认证服务器,用于实现对内部各系统的集中身份认证和授权。该系统能够与原有的目录服务器结合,降低部署的复杂度。
终端安全检查策略:Juniper SA 4000设备在用户接入前通过预先设定的策略检查用户终端的安全状况,包括补丁、杀毒软件安装或更新情况。根据DCN的终端安全要求设定终端安全检查策略,一般建议检查是否安装有杀毒软件,不符合条件的拒绝登录或提示后登录。
接入方式:由于SA 4000设备具有Core、SAM和NC三种接入方式,三种方式获得的权限各不相同,对于每个用户组(Role),需要选择其能够使用的接入方式。
资源策略设置:在每种接入方式下,可以设定Role能够访问的资源,类似于防火墙的ACL(访问控制列表)。根据不同Role的实际需要,设定不同的访问权限,保证每个用户能够访问到其必须访问的资源,同时不获得超出其工作需要的权限。
局域网内,通过部署Cisco的NAC方案实现无线和有线接入时基于802.1X的终端认证和健康性检查。企业可以根据不同的安全策略对终端安全状况进行检测,内容包括终端补丁安装情况、终端防病毒软件安装以及版本更新情况、病毒代码库的更新情况、个人防火墙的配置情况、屏幕保护的配置情况等,并保护企业重要信息资源不被外来终端访问,阻止外来终端或者未纳入终端管理系统的终端接入到企业网络。通过企业目录服务集成,提供统一身份认证,统一授权的基础,确保用户信息在各系统中的
同步。
2.3 工程实施效果
工程实施效果见表1。
3 结语
企业信息化建设过程中,较多关注于信息系统建设,对于信息化基础的网络安全,关注不够全面,本文重点关注于之前企业安全管理薄弱的网络接入控制技术,并结合业界解决方案,应用于实际工程。
参考文献
[1] 宁宇鹏,薛静锋.信息安全-理论、实践与应用[M].
[2] 马燕,曹周湛,等.信息安全法规与标准[M].北京:机械工业出版社.
[3] 高海英.VPN技术[M].北京:机械工业出版社.
[4] 802.1X IEEE Standard for Localand metropolitan are ane tworksPort-Based Network Access Contr ol IEEEStd 802.1X?-2004.
[5] 华信邮电咨询设计院培训材料.电信运营商IT系统萨班斯法案符合性解决方案白皮书[M].