刘秀亮 弋才勇 顾同江
(新疆信息产业有限责任公司 新疆乌鲁木齐 830001)
摘要: 计算机终端是我们日常访问网络和处理数据的重要工具,许多企业注重网络边界安全防护,把安全精力集中放在部署防火墙等边界安全防护设备上,用来保护其内部数据不受外来入侵者的非法访问,却因为对计算机终端的管理不善而造成重要数据的丢失或系统被入侵。本文以802.1X准入控制为技术,以安全策略为手段,从控制网络入口为主,通过软硬件相结合的方式,加强用户终端的主动防御能力,从而实现整体网络的安全性。
关键字:802.1X 终端 准入控制
随着电网信息化的不断发展和进步,计算机信息网络已成为我们生活和工作中不可缺少的一部分。电网信息网络所面临的威胁也越来越大。而传统的安全防护策略主要围绕网络边界安全防护来实现。例如:在网络边界部署防火墙、IPS、IDS等安全防护设备来保护其内部数据不受外来入侵者的非法访问。虽然部署各种安全设备,但网络安全事件还是层出不穷,究其原因是网络内部的终端不安全或操作不当造成的。据统计数据表明,网络安全的威胁80% 的来自网络内部。
计算机终端作为网络与用户的接口,是安全保障比较脆弱的地方,也是一般网络安全解决方案所容易忽视的地方。传统的安全防护策略仅仅关注来自外部的威胁,对来自内部的威胁显得无能为力,因此我们必须关注计算机终端本身的安全性。只有做到面向用户终端的安全保护和准入控制,才能更好的进行信息安全防护。在这种情况下,集防病毒、主动威胁防护、网络威胁防护和802.1X 端点准入控制技术于一体的计算机桌面终端安全防护技术顺势而生。
网络准入控制的目的是检查用户的身份及终端信息的合法性,依据预先的设定控制用户终端的访问权限,有效阻止非法身份认证或不安全的设备接入及网络访问。通过在网络中部署相应的网络接入控制设备,提供网络准入控制功能,确保用户满足身份认证的要求,同时用户的终端设备必须达到一定的安全和策略条件,才可以通过网关设备接入到网络中并获得相应的访问权限。这样一方面验证了用户的身份,避免了非法用户接入到网络中,限定了用户的访问权限;另一方面也避免了存在安全隐患的终端系统的接入,可以大大消除蠕虫和病毒对网络系统以及承载的业务所带来的威胁和影响,实现帮助客户发现、预防和消除安全威胁的目标
802.1X协议起源于802.11协议,后者是标准的无线局域网协议。802.1X协议的主要目的是为了解决无线局域网用户接入认证问题,但由于它的原理对于所有符合IEEE 802标准的局域网具有普适性,因此后来他在有线局域网中也得到了广泛的应用。
802.1x 协议是一种基于端口的网络接入控制(Port Based Network Access Control)协议。“基于端口的网络接入控制”是指在局域网接入控制设备的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源——相当于连
接被物理断开。
802.1X的认证体系分为三部分结构:Supplicant System客户端(PC/网络设备)、Authenticator System,认证系统、Authentication Server System认证服务器。
1. 当用户有上网需求时打开802.1x客户端,输入已经申请、登记过的用户名和口令,发起连接请求(EAPOL-Start报文)。此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。
2. 交换机收到请求认证的数据帧后,将发出一个请求帧(EAP-Request/Identity报文)要求用户的客户端程序发送输入的用户名。
3. 客户端程序响应交换机发出的请求,将用户名信息通过数据帧(EAP-Response/Identity报文)送给交换机。交换机将客户端送上来的数据帧经过封包处理后(RADIUS Access-Request报文)送给RADIUS服务器进行处理。
4. RADIUS服务器收到交换机转发的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字通过RADIUS Access-Challenge报文传送给交换机,由交换机传给客户端程序。
5. 客户端程序收到由交换机传来的加密字(EAP-Request/MD5 Challenge报文)后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的,生成EAP-Response/MD5 Challenge报文),并通过交换机传给RADIUS服务器。
6. RADIUS服务器将加密后的口令信息(RADIUS Access-Requeset报文)和自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息(RADIUS Access-Accept报文和EAP-Success报文)。交换机将端口状态改为授权状态,允许用户通过该端口访问网络。如果用户名和口令不正确,则将该端口状态改为非授权状态,将将该端口跳转到guest-vlan.
7. 客户端也可以发送EAPoL-Logoff报文给交换机,主动终止已认证状态,交换机将端口状态从授权状态改变成未授权状态。
1、实时认证:终端计算机每登陆一次网络,均需要经过交换机、radius服务器的认证。
2、精确控制:精确实现对终端计算机的认证控制,任何未经认证的计算机无法进入工作区网络。
3、强制安装:确保网络中每台计算机强制安装安全客户端程序进行安全管理。
4、真正意义上的准入控制:802.1x协议认证流程经过网络交换设备、认证服务器系统、终端安全系统三个层次的验证,外来设备或入侵计算机在没有安装认证客户端程序,不知道认证密码口令情况下无法接入网络。
为解决桌面终端管理存在的问题,有效防护计算机终端安全。新疆电力公司结合自身网络体系结构,部署实施了基于802.1X准入控的桌面管控系统。通过该系统可有效保护整个企业内部网络,包括可管理的(企业台式机、手提电脑、服务器)以及不可管理的(外部访客、合作伙伴、客户)终端等。能够强制提升网络终端安全的防护能力,有效保护企业内部数据的安全性。其特点主要有以下几方面:
(1)网络准入身份认证
Ø 支持802.1X协议接入认证:通过对支持此协议的交换机进行管理,配合RADIUS服务器和认证客户端,利用交换LAN架构的物理特性,实现LAN端口的设备认证。
Ø 系统认证方式支持单用户、多用户、域用户等认证模式,保证终端设备必须安装认证客户端才能接入网络。
Ø 绑定认证控制:支持交换机端口同计算机MAC/IP绑定功能。
(2)完整性安全检查
Ø 支持操作系统(操作系统、IE、应用程序、反病毒升级库等)补丁完整性检测。
Ø 支持防病毒软件/主机防火墙(业界主流厂家)的安全检测,并能进行新软件动态增加,必要时可以远程开关/管理主机安全软件。
Ø 支持自定义安全项检测(如进程、服务、软件、文件等)。
Ø 支持安全状态检测(如口令强度、权限、注册表安全等)。
Ø 支持多种安检失败处理方式,如直接进入正常工作区,或者进入正常工作区后间隔提示用户安全失败。支持当安检失败时直接进入修复VLAN,或者安全失败后隔离出网络。
Ø 支持自定义周期完整性安全检查,确保工作区域终端的实时安全性。
(3)安全修复
Ø VLAN隔离修复:系统对于未通过安全检查的终端,自动将其隔离到修复VLAN,进行安全修复,修复过程中只能与特定服务器通讯,访问资源受限。
Ø 当终端安全检查未通过时,管理员可以自定义URL,强制终端计算机进行安全修复。
策略服务器:系统策略管理中心,提供系统的参数配置和安全策略管理,安全策略管理包括802.1x协议接入认证、安全检查策略定义的配置、策略制订分发、网络分组、认证客户端配置、数据报表输出等任务。
认证客户端:安装在终端计算机,根据用户名和密码向认证服务器发起认证,Agent内置主机安全策略中心,能够根据策略服务器分发的安全策略对终端主机进行安全检查,依据获取的主机的安全状态,配合交换机认证系统,实现工作区、隔离区、修复区的自动切换。
Radius认证服务器:用于接收客户端认证请求信息数据包并进行验证,根据网络环境可使用微软的IAS,CISCO ACS或LINUX FREE RADIUS等系统。
Radius认证系统 (交换机):支持802.1x的网络设备(交换机),由该认证系统接收认证客户端的认证请求数据包与Radius认证服务器完成认证过程。
分别划分出访客VLAN(隔离区)、工作VLAN(可信区)、隔离VLAN(修复区)三个区域,在访客VLAN安装强制网关服务器(Autogate),实现对终端的强制重定向注册。强制网关服务器(Autogate)工作原理是基于DNS/HTTP/ARP重定向等技术,实现对终端访问的URL访问地址定向。DNS重定向:抓取网络内计算机的DNS请求包,并判断是否注册客户端。如果注册则不进行重定向,否则将对该请求包的源地址返回DNS包进行重定向,让未注册的计算机只能访问指定的DNS地址(强制网关服务器地址)进行注册。
对于未安装认证客户端的访客计算机,系统自动将其划归到访客VLAN(隔离区),当终端通过DNS/HTTP/ARP方式访问网络时,将被自动重定向至客户端安装页面进行强制安装。
将Autogate服务器架设在GUEST VLAN(隔离区)内,对VLAN内的未注册计算机进行DNS和ARP重定向。计算机注册好后会执行策略通过认证。
用户无论从VPN或者HUB、无线方式接入网络,未安装客户端的终端,通过DNS/HTTP/ARP方式,始终能够被重定向至客户端程序安装页面进行强制安装,客户端程序安装支持密码认证安装。
系统支持802.1X离线策略,当用户计算机带出网络时,可以主动关闭802.1X认证功能(防止用户在其它802.1X网络导致冲突)。
802.1X组网方式
伴随着网络技术的迅猛发展,网络安全的理念也在时刻发生变化。单纯的被动式防御理念已无法支撑现有的网络安全体系。我们在注重防御的同时,应加强用户终端管控,变被动防御为主动防御。通过基于802.1X准入控制技术、安全客户端、安全策略服务器以及第三方软件的联动,来解决非法桌面终端接入企业信息内网的问题。有效地保护了内部信息安全,从根本上杜绝了来自内部的威胁,提高了企业内部网络的安全防护能力。
[1]H
[2]H
[3]新疆电力公司桌面管理系统建设实施方案
[4]杨庆明.杜保东.桌面终端安全防护技术企业网管理中的应用研究