从简单的cisco的端口安全到接口EOU认证,再到DOT1X认证在终端安全领域不断的交替更新。 随着社会的不断发展,安全性的要求不断提升。 终端规范化这种趋势在默默的进行着,同时入侵手段也是同步发展,使这个终端安全行业不断地发展。
在中国,无现金支付已经成为潮流,能把这样一个系统做成潮流,也算是改变了生活的方式。 在这样的一个环境中, 无线的发展成为了一个启动器,推动着这个风车不断的转动。 它将企业的安全带到了外面,让每个人的安全意识得到了有力的提高。 有人说网络的价值,是信息的交换, 但是现在看来变成了一种习惯,一种生活习惯。
就最近工作中的琐事,发表一些看法。 总是从事终端安全工作,给我的感受就是坑。 网上有句话说的好,甲方的桌面运维就是修电脑的,乙方的实施就是帮助甲方修电脑的。 下面就802.1x认证和网关认证做一个案例结合目前企业底层网络形势进行分析。
客户需求:
1、内网用户设备必须符合内部规范要求。
2、不合规设备禁止入网,需要有审计记录,并且需要让该设备跳转指定URL。
3、防止端口终端设备仿冒接入。
4、针对外部人员以访客模式进行限制权限进行放行。
5、移动端设备使用无线收发短信验证方式登录企业外网。
分析:
1、设备规范,这个是个蛋疼的问题。 要规范就必须检测,要检测,就要装软件,装软件就意味着有一波处理问题,还好有外包去装,这都不是问题。
2、有了第一条规范,跳转URL就不是问题了。检测不规范,拒绝接入网络,这就用到了网关认证,需要让服务器下发一个指定的URL, 让用户的登录http时跳转,这个http我就不多说了,不能自定义的产品,那就放弃吧。
3、好了,第三条就比较坑了,这个设备仿冒,这么多年了,连我自己都经常该ip,改MAC测试这个问题。 然后没有什么卵用。 对于终端pc ,装有Agent设备,做到绑定,是没啥问题的,机器码+mac+ip+接口, 这个对应的端口信息可能需要SNMP协议了。 对于哑终端设备,这样的需求还是放弃,目前没见过做到的。
4、说到访客,其实和测试规范化基本一样,访客是没有账户的,需要接入内网,登录网页跳转url,申请限时账户,或者限制访问。
5、移动认证,大势所趋。 这种认证形势,从车站到公交站台到酒店商场,基本上无处不在,这种情况的出现让无线这个产品链条爆发性产值增长。 全国性的覆盖wifi,接入网络不在是4G利器。 短信、微信、二维码、这些认证形势都出现在人们的视野里。 不满足这样的需求,那就比较悲催了。
结构图:
