1、前言
網(wǎng)絡準入控制(NAC)是一項由思科發(fā)起、多家廠商參加的計劃,其宗旨是防止病毒和蠕蟲等新興黑客技術(shù)對企業(yè)安全造成危害。借助NAC,客戶可以只允許合法的、值得信任的終端設備(例如PC、服務器,PDA)接入網(wǎng)絡,而不允許其它設備接入。
2、網(wǎng)絡準入的幾種方式
目前有四種網(wǎng)絡準入控制:802.1x準入控制、DHCP準入控制、網(wǎng)關(guān)型準入控制、ARP準入控制。
802.1x準入控制需要交換機支持802.1x協(xié)議,能夠真正的做到對網(wǎng)絡邊界的保護,但對于不支持802.1x協(xié)議的交換機無法實現(xiàn)準入控制,同時交換機下接不啟用802.1x功能的交換機時,也無法對終端進行準入控制。
DHCP準入控制與現(xiàn)有網(wǎng)絡兼容性較好,但控制力度不如802.1x準入控制,需要支持DHCP服務的網(wǎng)絡環(huán)境。個人也可以通過指定IP跳過控制。網(wǎng)關(guān)型準入控制不是一種真正意義上的準入控制.它只控制了網(wǎng)絡的出口,沒有控制內(nèi)網(wǎng)的邊界接入。
ARP型準入控制使用ARP欺騙和ARP攻擊對不合規(guī)的終端進行攻擊,達到對網(wǎng)絡邊界進行保護的目的。但ARP的欺騙和攻擊對裝有ARP防火墻的終端沒有作用。另外,ARP的攻擊會造成網(wǎng)絡堵塞,不利于大型網(wǎng)絡。從以上準入形式看,802.1x準入控制應是未來準入控制的方向。
3、支持802.1x協(xié)議的NAC系統(tǒng)組成
網(wǎng)絡準入控制主要由終端安全檢查軟件、網(wǎng)絡接入設備和策略/AAA服務器構(gòu)成。終端安全檢查軟件主要負責對接入的終端進行主機健康檢查和進行網(wǎng)絡接入認證。網(wǎng)絡接入設備是實施準入控制的網(wǎng)絡設備,包括路由器,交換機.無線接入點和安全設備。這些設備接受主機委托.然后將信息傳送到策略服務器.在那里實施網(wǎng)絡準入控制決策。網(wǎng)絡將按照客戶制定的策略實施相應的準入控制決策:允許、拒絕、隔離或限制。策略/AAA服務器負責評估來自網(wǎng)絡設備的端點安全信息,并決定應該使用哪種接入策略(接入、拒絕、隔離或打補丁)。
4、NAG系統(tǒng)的基本工作原理
當終端接入網(wǎng)絡時,首先由終端設備和網(wǎng)絡接入設備(如:交換機,無線AP、VPN等)進行交互通訊。然后,網(wǎng)絡接入設備將終端信息發(fā)給策略/AAA服務器對接入終端和終端使用者進行檢查。當終端及使用者符合策略/AAA服務器上定義的策略后.策略/AAA服務器會通知網(wǎng)絡接入設備,對終端進行授權(quán)和訪問控制。
5、SEP準入控制系統(tǒng)
5.1通過域用戶認證的Symantec網(wǎng)絡準入控制
Symantec準入選擇通過802.1x協(xié)議實現(xiàn),802.1x的網(wǎng)絡準入控制能夠真正做到對網(wǎng)絡邊界的保護。同時支持通過域用戶認證來實現(xiàn)認證環(huán)節(jié)。Symantec網(wǎng)絡準入流程為:用戶用自己的域帳號登陸進行802.1x認證,認證失敗則被拒絕接入網(wǎng)絡。認證成功后打開交換機端口分配IP地址,然后進行主機完整性檢查,主機完整性檢查不通過則被隔離掉,只能訪問特定的網(wǎng)站,主機完整性檢查通過后,應用防火墻策略,允許用戶正常使用網(wǎng)絡。
目前Symantec網(wǎng)絡準入控制采用的是Symantec SEP 11.0和擴展Symantec SNAC 11.0,該系統(tǒng)包括如下幾個部分:Symantec EntERPrise Protection Manager(策略管理服務器),以下簡稱SEPM。SNAC6100 LAN Enforcer(局域網(wǎng)準入控制器),以下簡稱LAN Enforcer。Symantec Endpoint Protection和Symantec Network Access Control(終端安全Symantec客戶端),以下簡稱Symantec客戶端。
SEPM策略服務器實現(xiàn)所有安全策略、準入控制規(guī)則的管理、設定和監(jiān)控及symantec客戶端的管理,病毒庫的升級。
LAN Enforcer作為終端用戶接入網(wǎng)絡時的安全性認證服務器,負責處理不同交換機的認證請求.Symantec客戶端是整個企業(yè)網(wǎng)絡安全策略的執(zhí)行者,實現(xiàn)主機完整性檢查和防火墻策略的執(zhí)行。它安裝在網(wǎng)絡中的每一臺終端計算機上。
5.2通過域用戶認證的Symantec網(wǎng)絡準入存在的問題
Symantec網(wǎng)絡準入無法實現(xiàn)windows域登陸和802.1x認證同步,802.1x認證通過后才能得到地址聯(lián)通網(wǎng)絡,而802.1x認證必須在進入桌面后才能進行,造成新裝機電腦第一次開機無法聯(lián)通網(wǎng)絡域控制器進入桌面,因而也就無法進行802.1x認證。
6、802.1x接入認證與域認證結(jié)合存在的問題
Windows域登錄認證要求用戶必須首先接入網(wǎng)絡.建立用戶與域控制器間的網(wǎng)絡連接,然后才可以登錄并進入桌面。而一般的802.1x認證需要用戶首先進入桌面.然后才可以進行網(wǎng)絡接入認證、建立網(wǎng)絡連接。兩種認證之間的時序依賴關(guān)系產(chǎn)生了明顯的矛盾,導致使用802.1x進行網(wǎng)絡接入認證的用戶無法登錄到Windows域。
Windows域與802.1x認證服務器各自擁有專用的用戶身份識別和權(quán)限控制信息,造成用戶接入網(wǎng)絡和登錄Windows域時需要使用兩套用戶名和密碼,給用戶的使用帶來不少操作上的麻煩。
7、EAD終端準入控制
EAD是H3C公司開發(fā)的一套網(wǎng)絡準入系統(tǒng),其部署架構(gòu)也與SNAC相近,與SEP類似支持通過域用戶認證的網(wǎng)絡準入模式。通過對認證中不同步問題的解決,實現(xiàn)與域用戶認證的統(tǒng)一認證。EAD使用LDAP功能實現(xiàn)用戶和Windows域用戶信息的同步,并通過H3C自主開發(fā)的iNode智能客戶端實現(xiàn)認證流程的同步。
802.1x接入認證階段:安裝有H3C iNode智能客戶端的用戶終端開機后進入普通的域登錄界面,用戶按一般的域登錄流程輸入用戶名、密碼和域名,點擊登錄按鈕IiNode智能客戶端截獲Windows域登錄請求,使用域登錄輸入的用戶名、密碼同步發(fā)起802.1x認證t802.1x認證請求通過交換機轉(zhuǎn)發(fā)到EAD策略服務器,進行802.1x接入身份認證。
認證轉(zhuǎn)發(fā)階段:EAD策略服務器將用戶認證請求通過LDAP接口轉(zhuǎn)發(fā)到Windows 域控制器,進行Windows 域用戶名、密碼驗證;通過Windows域控制器的身份認證后,再由EAD策略服務器向用戶終端授權(quán)網(wǎng)絡訪問權(quán)限。域認證階段:認證通過并獲得網(wǎng)絡訪問權(quán)限的用戶終端通過iNode客戶端的控制,繼續(xù)進行域登錄認證,Windows操作系統(tǒng)繼續(xù)完成普通的域登錄流程,獲取應用資源訪問權(quán)限。
通過以上的統(tǒng)一認證流程,用戶只需按照正常的域登錄操作.即可同時完成802.1x接入認證和Windows域登錄認證,達到了統(tǒng)一認證和單點登錄的目的。
8、企業(yè)的選擇
對于較具規(guī)模并對信氮化依賴度高的企業(yè),在應用域管理用戶的同時可以參照與802.1x認證相結(jié)合的方式,以達到網(wǎng)絡準入的目的。各企業(yè)可根據(jù)選擇產(chǎn)品的不同,選擇適合自身實際的認證過程.以保證系統(tǒng)的兼容、好用和投資效益。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:支持802.1x的網(wǎng)絡準入系統(tǒng)在企業(yè)中的應用
本文網(wǎng)址:http://www.ezxoed.cn/html/support/11121510907.html