随着互联网与网络技术的不断发展与越来越广泛深入的应用,以及网络建设的复杂化,企业网络宽带的安全越来越受到人们的重视,在信息化时代的今天,企业网络安全接入作为企业网络安全建设的一个重要方面,接入方式以及设备的好坏直接关系到内部网络的安全和稳定。
一个重要的解决过程大致可以描述为,在传统的802.1x协议的基础上,综合采用802.1x验证,基于用户的vlan划分和ACL,交换机的二层安全机制,IP放盗用等安全措施,从验证,授权,审计3个层面将安全防御措施扩展到边缘接入层,从用户的接入源头进行安全防护,从而有效构建企业信息安全的立体防御。
1、边缘信息系统的隔离
企业内部一般都会存在一些非信息中心管理的边缘信息系统,这些系统缺乏有效的隔离措施和安全保护,如果参照信息管理中心服务器的安全管理方式,则扩大了安全重点保护区域,相应的管理成本和管理难度也会增加。这对于中小型企业而言无疑是非常耗费资源的。
缺乏用户问的隔离措施,不利于病毒的防范和隔离,不利于网络的稳定运行。可以通过二层交换机的端口隔离功能,端口隔离技术是一种实现在客户端的端口间的足够的隔离度以保证一个客户端不会收到另外一个客户端的流量的技术。通过端口隔离技术,用户可以将需要进行控制的端口加入到一个隔离组中,通过端口隔离特性,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔离组中的端口之间二层数据的隔离,使用隔离技术后隔离端口之间就不会产生单播、广播和组播,病毒就不会在隔离计算机之间传播,增加了网络安全性,提高了网络性能。
2、用户接入验证
用户接人作为安全威胁的源头,首要控制措施是进行身份验证,确保只有合法用户才能接入网络。较为简单的做法是可以根据用户工作站特征(如MAC地址)进行验证,通过在交换机接入端口上实施基于IP和MAC的ACL来实现。也可以通过端口和IP地址的绑定来确保接入用户的合法性。但是这种方法并不利于移动用户和无线用户的接入,我们可以采用另外一种基于IP地址和MAC地址的绑定来防止IP地址的盗用,不过这些方法都有一定的局限性和弊端:
A.管理复杂,工作量巨大;
B.缺乏灵活性,随意的变动都需要手工修改才能生效;
C.多用户共用一台工作站时无法实施个性化的访问控制;
D.通过更改物理接入端口和MAC地址,可以盗用合法的IP地址和MAC地址,且难以追查。
因此接入验证应当考虑采用用户名/口令、证书等与用户相关联的身份因素,而不应仅根据用户工作站特征(如MAC地址)进行验证,采用这种方式的常用技术有PPPOE和DHCP+WEB,以及DHCP+,ssO,802.Ix等技术,从标准化程度、兼容性、安全性、可实施性等角度综合考虑,802.1x技术是较为安全、实用的一种选择。
3、802.1x简介
802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。网络访问技术的核心部分是PAE(端口访问实体)。在访问控制流程中,端口访问实体包含3部分:认证者--对接入的用户/设备进行认证的端口;请求者--被认证的用户/设备;认证服务器--根据认证者的信息,对请求访问网络资源的用户/设备进行实际认证功能的设备。以太网的每个物理端口被分为受控和不受控的两个逻辑端。
基于以太网端口认证的802.1x协议有如下特点:IEEE802.1x协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本;借用了在RAS系统中常用的EAP(扩展认证协议),可以提供良好的扩展性和适应性,实现对传统PPP认证架构的兼容;802.1x的认证体系结构中采用了"可控端口"和"不可控端口"的逻辑功能,从而可以实现业务与认证的分离,由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制,业务报文直接承载在正常的二层报文上通过可控端口进行交换,通过认证之后的数据包是无需封装的纯数据包;可以使用现有的后台认证系统降低部署的成本,并有丰富的业务支持;可以映射不同的用户认证等级到不同的VLAN;可以使交换端口和无线LAN具有安全的认证接入功能。
802.1x的工作过程如下:
1)、当用户有上网需求时打开802.1X客户端程序,输入已经申请、登记过的用户名和口令,发起连接请求。此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程;
2)、交换机收到请求认证的数据帧后,将发出一个请求帧要求用户的客户端程序将输入的用户名送上来;
3)、客户端程序响应交换机发出的请求,将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理;
4)、认证服务器收到交换机转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字传送给交换机,由交换机传给客户端程序;
5)、客户端程序收到由交换机传来的加密字后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的),并通过交换机传给认证服务器;
6)、认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向交换机发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,反馈认证失败的消息,并保持交换机端口的关闭状态,只允许认证信息数据通过而不允许业务数据通过。
802.1x认证的优点:
1)、简洁高效:纯以太网技术内核,保持了IP网络无连接特性,不需要进行协议间的多层封装,去除了不必要的开销和冗余;消除网络认证计费瓶颈和单点故障,易于支持多业务和新兴流媒体业务。
2)、容易实现:可在普通L3、L2、IPDSLAM上实现,网络综合造价成本低,保留了传统AAA认证的网络架构,可以利用现有的RADIUS设备。
3)、安全可靠:在二层网络上实现用户认证,结合MAC、端口、账户、VLAN和密码等;绑定技术具有很高的安全性,在无线局域网网络环境中802.1x结合EAP-TLS,EAP-TTLS,可以实现对WEP证书密钥的动态分配,克服无线局域网接入中的安全漏洞。
4)、行业标准:IEEE标准,和以太网标准同源,可以实现和以太网技术的无缝融合,几乎所有的主流数据设备厂商在其设备,包括路由器、交换机和无线AP上都提供对该协议的支持。在客户端方面微软WindowsXP操作系统内置支持,Linux也提供了对该协议的支持。
5)、应用灵活:可以灵活控制认证的颗粒度,用于对单个用户连接、用户ID或者是对接入设备进行认证,认证的层次可以进行灵活的组合,满足特定的接入技术或者是业务的需要。
6)、易于运营:控制流和业务流完全分离,易于实现跨平台多业务运营,少量改造传统包月制等单一收费制网络即可升级成运营级网络,而且网络的运营成本也有望降低。
802.1x的认证模式:
1)、端口认证模式:该模式下只要连接到端口的某个设备通过认证,其他设备则不需要认证,就可以访问网络资源。
2)、 MAC认证模式:该模式下连接到同一端口的每个设备都需要单独进行认证。
802.1x的认证方式:
类型代码 |
身份验证协议 |
说明 |
4 |
MD5 challenge |
EAP中类似于CHAP的认证方式 |
6 |
GTC |
原本打算与RSA SecurID之类的令牌卡一起使用 |
13 |
EAP-TLS |
以数字证书相互认证 |
18 |
EAP-SIM |
以移动电话的SIM卡(用户识别模块卡)进行身份验证 |
21 |
TTLS |
隧道式TLS;以TLS加密保护较弱的身份验证方式 |
25 |
PEAP |
防护型EAP;以TLS加密保护较弱的EAP认证方式 |
29 |
MS-CHAP-V2 |
微软的经加密的密码身份验证,与windows域兼容 |
4、用户接入授权
授权是用户接入管理的核心,验证只完成了用户身份识别,接人访问控制主要是依靠授权来完成的。在接人交换机上可实施的主要授权措施包括VLAN和per—user ACL,相关辅助措施有DHCPSnooping,IP source guard,Dynamic ARP inspection,private VLAN等。
1)、基于用户的vlan划分
传统的VIAN划分有基于端口的VLAN和基于MAC的VLAN。基于端口的VLAN由于配置相对固定,而无法处理移动用户动态划分VLAN的需求。基于MAC的VIAN在用户较多的企业存在管理复杂、工作量大的缺陷,并且这2种方法都无法处理多用户共用1台工作站的情况。基于802.Ix验证按照用户进行VLAN划分的方案,可以有效解决上述问题,实现灵活、细粒度的动态VLAN划分。
实施基于用户的VLAN划分方案的关键点是按照用户类别和访问权限定义尽可能细致的VLAN,以便采用IP地址作为基本控制措施的网络资源和应用能充分利用VIAN信息进行必要的访问控制。可以为外来人员或临时人员定义一个公用账户并划人独立的VLAN,接合per—user ACI,限制其只可访问特定资源。
2)、基于用户的ACL(per—user ACL)
基于用户的ACL可以为802.Ix验证用户提供个性差异化的网络控制服务,当用户验证通过时RADIUS服务器根据用户识别信息将预定义的ACL发送给交换机,交换机将ACL应用到该用户连接的端口,当端口验证失效时,交换机再移除该ACL。
在实际部署时,应当对用户访问需求进行仔细调查,这是实施基于用户的VLAN和ACL的成败关键。根据实际访问需求,建议将相同访问需求的用户划分为组,建立基于组的ACL,以简化管理。利用严格的、细粒度的per--user ACI。可以有效地在网络接人端都署访问控制措施,从而保护全网资源,甚至包括用户问的隔离。
3)、DHCP Snooping
为统一管理企业1P资源,同时减少用户端配置工作量,简化用户网络接人,大部分企业都采用了集中化管理的DHCP解决方案。由于所有用户的IP地址分配都由DHCP完成,这就要求DHCP服务具备很高的安全性。为防止用户有意或无意非法启用DHCP服务,可在交换机上启用DHCP Snooping。DHCP Snooping是交换机上监测DHCP包的安全机制,非信任区的DHCP服务应答会被DHCPSnooping全部丢弃,从而禁止非信任区DHCP服务的接人。DHCP Snooping最重要的作用在于构建并维护DHCP Snooping binding database,此数据库可进一步提供给Dynamic ARP inspection和IP sourceguard使用。DHCP Snooping binding database包括MAC地址、IP地址、租约时闻、VLAN信息、端口等。
4)、Dynamic ARP inspection
Dynamic ARP inspection是交换机检查ARP包合法性的安全机制,它使用DHCP Snooping bind—ing database中的信息对所有非信任端口的ARP请求和响应进行检查,丢弃IP,MAC信息与DHCP Snooping binding database不一致的ARP包。启用Dynamic ARP inspection可以防范ARP“中间人”攻击,并可利用ARP阻断来禁止不使用DHCP分配地址而手动设定地址的用户,可在一定程度上防范IP伪装。
5)、IP source guard
Dynamic ARP inspection仅仅检查ARP包,IP source guard则使用DHCP Snooping binding database和手工配置的IP source bindings检查所有IP包,只允许binding表中的源IP通过,从而完全阻止IP伪装行为。
但是对于成对伪造IP和MAC,以上这些方法都不能有效地进行防范,但是由于采用了基于用户的VLAN和ACL,极大地减少了伪造IP和MAC的利用价值,同时配台完善的网络审计措施,可以基本消除伪造IP和MAC所可能存在的安全隐患。
6)、部署用户接入授权实例(AAA)
设备选用:H3C防火墙FW-100系列一台,Quidway s2000交换机一台,windows2003服务器一台(AAA服务器和DHCP服务器)
拓扑图:
防火墙配置:
接入交换机配置(AAA Client):
创建AAA方案:
创建用户域并应用AAA方案:
指定默认域:
创建vlan并划分vlan:
AAA服务器配置(采用Cisco ACS完成):
创建AAA认证用户
指定AAA Client信息与协商秘钥
指定AAA Server信息
5、用户接入审计
审计是及时发现网络异常行为,进行安全事件响应的重要措施。信息系统的审计工作主要应由被
访问资源完成,网络层审计只作为必要的辅助措施。网络层审计的主要任务应是能够根据IP追踪定位
到计算机和用户。
1)、根据IP查找MAC
当所有用户都被强制使用DHCP动态获取地址时,静态指定地址的网络则无法联通,在此基础上可以使用DHcP分配记录来由IP查找对应的MAC。注意需依据审计策略及时备份DHCP分配记录。
2)、根据MAC查找用户和计算机
使用802.Ix验证记录可根据MAC追踪到用户,再由用户定位到计算机。如果MAC进行了伪装,同样也可先定位到用户,再通过非技术手段定位到计算机。
6、总结
在互联网络越来越重要的当今,如何构建一个安全、稳定的网络始终是一个热议的话题,只有认真仔细的分析各种潜在的威胁与可能存在的安全漏洞,才能保证自己的网络不会被恶意利用而带来损失,在关注网络防御资源的同时,也要做到防患于未然,才能构建一个全方位的立体防御的安全网络。