咸国明,张 景,黄 林
(新疆油田公司数据公司,新疆 克拉玛依 834000)
在网络安全管理过程中,部分企业对企业内网与终端接入之间的控制工作缺乏重视,未能针对性地检查和限制终端用户在内网中的访问操作,配置的杀毒软件、防火墙系统等存在较多薄弱点,导致内网极易在终端感染病毒木马的情况下遭到入侵,进而对企业内网的安全可靠性产生严重影响。网络准入控制系统可以借助所设置的准入策略认证终端用户身份,检查确认用户行为、终端状态等,能够有效实现对不安全终端或非法用户的隔离阻断,对于增强企业网络安全可靠性具有积极意义。
部分企业对内网接入终端缺乏有效管控,所应用的动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)网络能够为员工笔记本电脑等设备的接入提供便利,使员工携带的终端与企业内网设备接入后能够直接使用内网,但相关终端在缺乏有效管控的情况下,会导致内网存在严重的安全隐患[1]。若内网终端因此受到病毒感染,其相关联的终端设备也会受到影响,最终会使企业各类网络系统的应用以及相关数据的安全性受到威胁。
云平台、云桌面是现阶段企业应用较为广泛的技术,这些技术虽然能够有效提高员工的工作效率,但也给企业网络安全管理带来较大风险。由于具有较强的兼容性和工作效率,云平台和云桌面在企业中的应用较为广泛,当企业某台终端设备出现病毒感染问题时,病毒能够通过云平台在更短的时间内进行大范围的传播。同时,企业终端系统在更新换代过程中容易因系统漏洞遭到木马病毒的攻击。为应对安全风险,企业通常采取安装杀毒软件的方式进行防护,然而部分企业员工对病毒库、安全软件的更新较为滞后,在安全防护软件更新不及时的情况下,员工安装不安全的软件更容易引发网络安全问题。此外,部分员工对计算机系统的掌握能力不足,未能从服务管理、系统安全、账户密码以及网络访问等方面优化系统配置,导致终端设备的可靠性降低,给企业网络安全管理带来更多风险[2]。
部分企业对终端设备的内外网访问权限划分不明确,企业快速发展的同时接入了大量终端设备。在长期缺乏权限管控的情况下,随意访问内外网的用户数量持续增加,导致企业网络安全可靠性持续降低。任意终端用户的不合理操作都可能引发严重的网络安全问题。部分企业在终端用户数量较少的情况下能够通过设置服务器访问、修改、读取等操作权限进行管控,并针对性地推行相关安全管理制度,然而在用户量激增的情况下,部分网络安全管理人员对复杂的终端用户缺乏有效的管控,相关制度标准的执行受到严重影响。
媒体存取控制(Media Access Control,MAC)地址是电气与电子工程师协会(Institute of Electrical and Electronics Engineers,IEEE)统一分配的唯一地址。IEEE 能够对MAC 地址进行统一分配,在出厂前的终端网卡带电可擦编程只读存储器(Electrically Erasable Programmable Read Only Memory,EEPROM)中将地址一次性写入。该准入技术在应用时,能够在交换机访问控制列表中将企业内部网段设备的MAC、互联网协议(Internet Protocol,IP)地址录入,终端设备访问内网的前提是IP 与MAC 地址能够与控制列表中录入的地址一致。终端设备网络准入认证期间,准入系统所接收的MAC 地址并非来源于网卡只读存储器,而是来源于内存缓存区,通过将指定MAC 地址发送给准入系统认证的方式,能够有效规避准入检查,实现对内网的非法入侵[3]。
动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)准入技术能动态分配和集中管理IP地址,该技术在应用时主要涉及客户端与服务器端两部分。其中,服务器端用于处理客户端的相关请求,如IP 地址设定、子网掩码参数修改等。在实际应用过程中,该技术能够借助DHCP Snooping(DHCP 安全特性)实现对非法服务器接入的有效管控,规避用户随意修改IP 地址,借助DHCP 服务器实现对终端设备IP地址的收回或分配,从而对终端设备与内网的接入进行有效管控。终端设备与内网连接时,DHCP 服务器能够将隔离网段IP 分配给终端设备,同步针对终端设备进行审核认证,当认证通过时,方可分配相应的IP地址,允许终端设备访问内网,否则对其隔离阻断操作。DHCP Snooping 技术能够有效过滤不可控终端的相关信息,避免因非法终端持续申请接入导致网络资源受到限制。但是,该技术在实际应用时未能全面检查终端设备的网络安全状态,更容易遭受IP欺骗攻击。
8.2.1x 协议(访问控制和认证协议)对于无线局域网的网络准入控制具有重要作用,该协议能够将交换机端口划分为非受控与受控量两种。其中,非受控端口用于认证,而受控端口用于业务,通过将认证流与业务流分离的方式为网络准入控制提供便利。对于初次访问企业网络的终端设备,交换机不会为该终端开放业务流端口,而是通过单独开发的认证流端口对终端进行认证,结合认证检查结果,对端口的开放情况进行确认,从而实现非法终端用户与企业内网之间的有效隔离。该准入技术借助交换机对所接入的终端进行准入控制,能够根据安全策略对终端可靠性进行判断,通过禁止不可控终端访问内网的方式提升企业网络的安全可靠性。在实际应用时,企业需要充分考虑802.1x协议的兼容性问题,避免设备不兼容导致准入系统的配置受到影响。同时,企业也需要考虑该技术对虚拟局域网(Virtual Local Area Network,VLAN)要求较多的问题,必要时可以将其与Web Portal 等技术联合应用,实现对网络准入系统部署成本和系统性能的有效优化[4]。
NAC 网络准入控制系统结构如图1 所示,该系统主要涉及测量服务器、管理服务器、终端端点安全代理以及网络连接设备等部分。
图1 NAC 的网络结构
在应用过程中,无论是无线用户还是有线网络用户,在无登录信息的情况下,都无法访问企业网络。用户对任意网页的访问行为最终都会在NAC 的控制下来到登录界面。终端用户将账号密码输入后,NAC准入系统会对账号密码进行验证,如果验证不通过,则返回登录界面;如果验证通过,则继续结合所设置的安全策略对终端设备的安全状态进行验证,如果验证通过,则允许终端设备访问内网,否则将对其进行隔离和在线修复[5]。
在实际应用时,NAP 系统管理员能够结合安全策略、客户端从属和身份对网络访问权限进行细分控制,当客户端与安全策略要求不符时,NAP 系统能够借助修正服务器对其安全性问题进行修复处理,确认符合要求后再划分网络权限。
为满足企业网络安全管理需求,本文选择NAC 准入控制系统,结合相关控制技术实现对终端设备与企业内网接入的有效控制,满足准入控制、终端合规性检测、终端身份识别等功能需求,为企业内网建立可靠的安全防护体系。对于网络结构复杂、终端用户数量多的大中型企业,网络准入系统采取分层防护的方式实现网络准入的有效控制以及终端安全问题的在线修复。接下来,笔者对系统框架、设计流程等进行详细论述。
为满足网络准入控制需求,本系统主要应用NAC客户端、交换机(满足802.1x 协议应用需求)、终端身份认证服务器、NAC 准入控制器几部分开展系统建设工作。其中,准入控制器与核心交换机的连接采取旁路部署模式,通过将流量镜像端口配置在交换机中来满足终端对内网的访问接入需求,NAC 控制器能够与端口进行连接和控制。核心交换机连接了终端身份认证服务器,该服务器包括本地认证服务器,也包括MailServer(邮件服务器)、HTTPServer(网页服务器)等外部身份认证服务器。终端设备通过交换机与核心交换机连接,其内部需安装相应的NAC 客户端。该系统能够将企业内网划分为一般区域、VLAN 隔离区、核心应用区以及修复区。其中,修复区服务器内部安装了具备终端系统网络安全修复功能的软件,能够对准入认证不通过的终端进行安全防护软件安装等操作;核心营业区主要用于存储重要数据、部署核心应用。
为确保网络准入系统能够在企业网络安全管理过程中得到有效应用,满足企业网络对终端接入相关问题的有效管控,NAC 控制系统的设计需要从认证方式、准入方式、阻断与引导修复以及终端合规性检查结果方面入手,下面进行详细论述。
4.2.1 NAC 控制系统认证与准入方式
在准入认证时,NAC 控制系统将WebPortal(门户网站认证)与802.1x 两种技术融合应用。802.1x 认证技术需要在满足该技术协议接入需求的设备中应用,因此需要选取具备该认证技术兼容性的交换机,从端口及对终端量庞大的大中型局域网进行网络认证管理。对于临时访问企业内网、无NAC 准入客户端的终端用户,系统借助WebPortal 技术进行优化配置,该认证技术能够在浏览器中通过浏览器/服务器模式(Browser/Server,B/S)架构实现对不同终端用户网络访问权限的合理配置,满足通过准入认证的终端设备的网络资源访问需求。在WebPortal 技术应用时,终端用户将通过门户服务器中的相关服务器进行账号密码认证或者NAC客户端认证,实现对企业内网的访问。
4.2.2 NAC 控制系统阻断与修复引导策略
为阻断安全项不合格或身份认证不通过的终端设备网络访问需求,NAC 控制系统一方面能够借助802.1x 技术将终端设备置于修复区或隔离区VLAN,另一方面也可以借助交换机端口监听技术实现阻断处理,通过HTTP302 将终端设备划入Web 修复界面,引导用户基于修复策略进行修复处理,从而满足后续的安全性检查和身份认证需求。
4.2.3 NAC 控制系统终端合规性检查策略
管理员需提前完成终端准入策略的配置,以满足安全项合规性的检查需求。NAC 客户端能够将终端设备“services”中的配置信息以及系统注册表键值与安全策略进行对比,实现对合规性的有效判断。合规性判断的主要项目包括系统版本、漏洞情况、系统安全配置情况、安全服务启动情况、杀毒软件安装情况等。NAC 客户端能够根据终端设备的检查情况向NAC 准入控制器反馈结果,以便控制终端企业网络的准入情况。
企业网络安全管理人员需要重视网络准入系统的部署工作,结合企业网络安全管理期间存在的终端接入控制不合理、权限划分不明确、终端安全性监控不到位等问题建立相应的准入控制系统,基于NAC 准入控制方案以及802.1x 和WebPortal 相关技术联合应用的方式,对终端与企业网络的接入进行严格管控,同时通过合规性检查、引导修复等方式对终端设备安全性问题进行检查和修复处理,以此有效提升企业网络安全可靠性。