1、引言
隨著企業(yè)信息化發(fā)展的不斷深入,企業(yè)對信息系統(tǒng)的依賴程度越來越高,信息與網絡安全直接影響到企業(yè)生產、經營及管理活動,甚至直接影響企業(yè)未來發(fā)展。目前,企業(yè)信息與網絡安全面臨各類威脅,既有來自外部的,也有來自內部的。外部威脅主要通過互聯網進行網絡入侵、黑客攻擊、病毒傳播等惡意行為。內部威脅主要用戶安全意識薄弱,因存儲介質、文件共享等途徑感染病毒風險。對于外部威脅,可使用防火墻、網關殺毒等設備進行安全防護;對于內部威脅作,則可通提升用戶信息安全意識、加強終端安全管理等措施進行防護。
然而,隨著信息化建設的深入,作為信息化建設的基礎設施-計算機網絡,其規(guī)模也隨著信息化建設而不斷擴大。企業(yè)網絡規(guī)模的擴大、信息接入點增多、分布范圍廣,使信息接入點管控難度大。從而容易出現非法用戶接入企業(yè)內部網絡,其不但可以毫無限制的訪問內網資源,竊取企業(yè)內部秘密信息,造成信息泄露,而且可能發(fā)起主動攻擊或因攜帶病毒、蠕蟲等因素而造成整個網絡與信息系統(tǒng)癱瘓的風險,對企業(yè)信息與網絡安全造成巨大威脅。IEEE802.1x是基于端口的訪問控制協(xié)議,網絡端口啟用802.1x,采用主動威脅防護,從源頭做起,在終端接入網絡之前,對終端進行身份驗證,同時檢查是否符合網絡接入安全策略要求;接入之后,同時對用戶進行權限識別,根據身份認證,確認用戶對內網資源的訪問權限。
2、802.1x協(xié)議
IEEE802 LAN/WAN委員會為解決無線局域網網絡安全問題,提出了802.1x協(xié)議。后來,隨著技術的發(fā)展,802.1x協(xié)議被廣泛應用在以太網上,作為一種接入控制機制。
802.1X協(xié)議是一種基于端口的網絡接入控制協(xié)議(port based network access control protocol),即是指在接入設備的端口處對終端設備進行認證和控制,限制沒有權限的用戶或設備獲取未授權網絡訪問權限。
用戶、終端設備在接入局域網,獲取網絡訪問權限之前,實施802.1x協(xié)議的網絡設備會對接入的用戶或設備進行權限認證。網絡設備的端口此時處于關閉狀態(tài),但允許EAPOL數據包通過。EAPOL是802.1X協(xié)議定義的一種報文封裝格式,主要用于在客戶端和設備端之間傳送EAP協(xié)議報文,以允許EAP協(xié)議報文在LAN上傳送,從而將用戶認證信息傳送至認證服務器。
如果認證通過,在交換機打開端口,允許業(yè)務數據通過;如果認真失敗,則保持端口關閉狀態(tài),或者執(zhí)行其他安全策略,如打開端口,并將該端口劃分至客戶vlan中。
2.1 802.1x協(xié)議的體系結構
802.1x協(xié)議主要由三部分組成:客戶端(supplicant system)、認證系統(tǒng)(authenticator system)、認證服務器(authentication server system)。圖1描述了三者之間的關系以及互相之間的通信過程。
(1)客戶端一般為一個用戶終端,該終端一般安裝一個認證軟件,用戶通過允許該軟件發(fā)起802.1x協(xié)議認證?蛻舳艘笾С諩APOL協(xié)議,以實現基于端口的接入控制。
(2)認證系統(tǒng)為通常為網絡設備,即網絡交換機,客戶端網絡設備接入局域網。認證系統(tǒng)中支持兩種邏輯端口,受控端口(Controlled Port)和非受控端口(Uncontrolled Port)。受控端口只有在認證通過的狀態(tài)下才打開,用于傳遞業(yè)務數據。非受控端口一直處于打開狀態(tài),用于收發(fā)EAPOL協(xié)議幀,通過非受控端口,用戶或設備能正常發(fā)送或接收認證請求。
(3)認證服務器一般為RADIUS服務器。在認證服務器上保存用戶的帳號、密碼、以及用戶的權限等信息,主要實現對用戶進行認證、審計、授權、計費等功能。
2.2 802.1x協(xié)議的認證過程
802.1x協(xié)議的認證過程有兩種,分別是EAP中繼模式和EAP終結模式,以下為簡要說明EAP中繼模式認證過程:
(1)客戶端發(fā)送認證請求報文到網絡交換機;
(2)交換機收到報文后,發(fā)送報文要求客戶端提供認證信息;
(3)客戶端收到交換機報文后將用戶信息發(fā)送給交換機;交換機收到用戶信息,將其轉發(fā)給認證服務器。
(4)認證服務器收到交換機發(fā)送的報文后,根據用戶信息隨機產生的一個加密密碼,并將其發(fā)送給交換機,交換機再將該密碼發(fā)送個客戶端。
(5)客戶端收到加密密碼后對用戶的密碼進行加密,然后通過交換機發(fā)送給認證服務器。
(6)認證服務器對客戶端發(fā)送的用戶名密碼進行匹配,如果認證成功,則發(fā)送認證成功信息,通知交換機打開受控端口,用戶獲取正常網絡訪問權限;如果認證失敗,則發(fā)送認證失敗信息,交換機繼續(xù)關閉受控端口。
2.3 與802.1x配合使用的一些特性
(1)Vlan下發(fā)。當認證服務器配置下發(fā)vlan功能后,在認證服務器端上配置用戶的vlan信息,當服務器下發(fā)認真信息時,包含vlan,將端口劃進相應vlan。此操作不更改交換機配置,當用戶下線后,端口恢復原先配置。
(2)GUEST VLAN。在交換機端口上配置GUEST VLAN,當用戶未通過認證,或終端未安裝認證客戶端時將端口劃分至GUEST VLAN。用戶進入GUEST VLAN訪問特地的資源。
(3)ACL下發(fā)。認證服務器還可以配置想要用戶的ACL,認證服務將ACL發(fā)送至交換機,對用戶執(zhí)行相應的ACL,原理如同下發(fā)VLAN一樣。
3、實施基于802.1x網絡準入控制的實施
802.1x準入控制系統(tǒng)主要由認證服務器、認證系統(tǒng)、客戶端三部分組成。實施網絡準入,首先要確保網絡的連通性,即認證系統(tǒng)能與認證服務器能正常通信、客戶端與認證系統(tǒng)能實現必要的認證報文傳輸。確定網絡連通性后,開始逐步配置認證服務器、認證系統(tǒng)及客戶端。
3.1 認證服務器配置
802.1x網絡準入的實施要結合企業(yè)的具體需求。對于大型企業(yè),由于用戶較多,為方便管理維護,一般都會實施域管理。802.1x與域相結合,是大部分實施域控企業(yè)的選擇。搭建認證服務器時,可直接連接域控服務器,使用域賬戶對用戶進行認證、授權、審計。
連接域之后,從安全性和靈活性考慮,大部分企業(yè)采取的準入控制流程為:
(1)對主機完整性檢查,檢查終端是否已經入域,并檢查終端時候安裝準入客戶端。如檢查通過,則進入下一步檢查,否則將認證服務器通知認證系統(tǒng),打開網絡端口,并將終端進行隔離,即將網絡端口劃分至客戶vlan。客戶vlan只有有限的資源提供給終端訪問,終端可以在客戶vlan進行修復,修復完成后,重新進行主機完整性檢查。
(2)通過主機完整性檢查后,準入客戶端獲取終端的域賬戶,然后對賬戶進行認證。如通過認證,則通知交換機打開工作端口,讓終端在正常的工作vlan上工作,訪問所以該賬戶能訪問的資源;如未通過認證,則認證服務器通知認證系統(tǒng),打開網絡端口,并將端口劃分進客戶vlan。
以上認證策略既能保證非授權終端訪問非授權網絡資源,保障內網安全;又能提供一定了靈活性,讓不滿足條件的可信終端進行修復,使其能正常接入網絡。
認證服務器除虛配置與域控連接、認證策略外,還需認證系統(tǒng)進行授權。為此需將認證系統(tǒng)(如交換機)的IP地址、密碼等信息配置進認證服務器。
3.2 認證系統(tǒng)配置
認證系統(tǒng)通常為網絡交換機,在此以思科交換機(IOS 12.2)為例說明認證系統(tǒng)配置:
(1)啟用aaa
交換機登錄方式為none,802.1x認證方式為radius,授權方式也為radius
(2)配置radius服務器
配置服務器的地址、認證端口、審計端口及相應的密碼,認證端口默認為1812,審計默認端口為1813
(3)交換機端口配置
認證方式為pae,采用多終端模式,配置客戶vlan為1000
(4)全局啟用802.1x
3.3 客戶端配置
企業(yè)802.1x認證系統(tǒng)一般集成一個客戶端軟件。用戶只需在終端上安裝準入客戶端,輸入帳號、密碼,或采用單點登錄方式,即可發(fā)送認證請求。
4、總結
終端準入控制是確保網絡與信息安全的重要措施,通過使用802.1x協(xié)議對接入終端進行身份認證,能有效的控制非法終端的接入。且802.1x具有簡潔高效、安全可靠、應用靈活、易于運營,且采用行業(yè)標準等優(yōu)勢,在網絡準入控制方面得到廣泛的應用。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.ezxoed.cn/