前言:隨著網(wǎng)絡(luò)的發(fā)展,現(xiàn)代企業(yè)大多都會部署企業(yè)的有線網(wǎng)絡(luò)與無線網(wǎng)絡(luò),在傳統(tǒng)的企業(yè)網(wǎng)內(nèi),隨著越來越多的終端設(shè)備接入到公司網(wǎng)絡(luò),管理人員控制和審計外部用戶接入的企業(yè)辦公網(wǎng)的難度和工作量也越來越大。而如果允許外部用戶隨意使用企業(yè)網(wǎng)絡(luò),則可能在管理人員和系統(tǒng)維護人員毫不知情的情況下,某些惡意用戶侵入企業(yè)辦公網(wǎng)絡(luò),從而造成數(shù)據(jù)泄露、病毒木馬傳播、惡意勒索以及數(shù)據(jù)攻擊等嚴(yán)重問題。由此,針對企業(yè)網(wǎng)絡(luò)亟需一套能夠有效控制終端接入、審計以及分級管控的網(wǎng)絡(luò)部署架構(gòu)。
關(guān)鍵字:終端安全接入、802.1x、網(wǎng)絡(luò)管控
一
接入?yún)f(xié)議802.1x
1
802.1x協(xié)議介紹
802.1x協(xié)議起源于802.11協(xié)議,后者是IEEE的無線局域網(wǎng)協(xié)議, 制訂802.1x協(xié)議的初衷是為了解決無線局域網(wǎng)用戶的接入認(rèn)證問題。IEEE802LAN協(xié)議定義的局域網(wǎng)并不提供接入認(rèn)證,只要用戶能接入局域網(wǎng)控制設(shè)備 (如LAN Switch)就可以訪問局域網(wǎng)中的設(shè)備或資源。
802.1x協(xié)議是基于客戶端/服務(wù)端的訪問控制和認(rèn)證協(xié)議,包括三個實體:客戶端、接入設(shè)備和認(rèn)證服務(wù)器。其可以限制未經(jīng)授權(quán)的用戶或者設(shè)備通過接入端口訪問LAN/WLAN。認(rèn)證系統(tǒng)每個物理端口內(nèi)部包含有受控端口和非受控端口。非受控端口始終處于雙向連通狀態(tài),主要用來傳遞EAPOL協(xié)議幀,可隨時保證接收認(rèn)證請求者發(fā)出的EAPOL認(rèn)證報文;受控端口只有在認(rèn)證通過的狀態(tài)下才打開,用于傳遞網(wǎng)絡(luò)資源和服務(wù)。在認(rèn)證通過之前,支持802.1x協(xié)議的交換設(shè)備只允許EAPOL(基于局域網(wǎng)的擴展認(rèn)證協(xié)議)數(shù)據(jù)報文通過終端連接的交換機端口;認(rèn)證通過后,用戶或者終端的其他數(shù)據(jù)報文才能順利地通過以太網(wǎng)端口進行后續(xù)的路由轉(zhuǎn)發(fā)等動作。
2
終端、交換設(shè)備以及認(rèn)證服務(wù)器需要滿足的要求
▎用戶終端
局域網(wǎng)用戶終端設(shè)備,但必須是支持EAPOL的設(shè)備,可通過啟動客戶端設(shè)備上安裝的802.1x客戶端軟件發(fā)起802.1x認(rèn)證。目前大部分的臺式機、筆記本以及手機都支持EAPOL。
▎交換設(shè)備端
支持802.1x協(xié)議的網(wǎng)絡(luò)交換設(shè)備(如交換機),對所連接的客戶端進行認(rèn)證。它為客戶端提供接入局域網(wǎng)的端口(物理端口或者邏輯端口)。
▎認(rèn)證服務(wù)器
為交換設(shè)備端802.1x協(xié)議提供認(rèn)證服務(wù)的設(shè)備,是真正進行認(rèn)證的設(shè)備,實現(xiàn)對用戶進行認(rèn)證、授權(quán)和計費,通常為RADIUS服務(wù)器。通過需要在交換設(shè)備上配置認(rèn)證服務(wù)器的IP端口信息。
3
認(rèn)證方式
EAP協(xié)議可以運行在各種底層,包括數(shù)據(jù)鏈路層和上層協(xié)議(如UDP、TCP等),可以不需要IP地址。因此使用EAP協(xié)議的802.1X認(rèn)證具有良好的靈活性。在用戶終端與交換設(shè)備端之間,EAP協(xié)議報文使用EAPoL(EAP over LANs)封裝格式,直接承載于LAN環(huán)境中。
在交換設(shè)備端與認(rèn)證服務(wù)器之間,用戶可以根據(jù)客戶端支持情況和網(wǎng)絡(luò)安全要求來決定采用的認(rèn)證方式。
▎EAP終結(jié)方式
EAP報文在設(shè)備端終結(jié)并重新封裝到RADIUS報文中,利用標(biāo)準(zhǔn)RADIUS協(xié)議完成認(rèn)證、授權(quán)和計費。在此方式下,不同的交換識別所能支持的認(rèn)證擴展協(xié)議可能會有很大的區(qū)別,例如,華為的交換機一般僅支持MD5-Challenge方式。在需要安全性更高的場景下,EAP終結(jié)方式就無法滿足要求。
▎EAP中繼方式
EAP報文被直接封裝到RADIUS報文中(EAP over RADIUS,簡稱為EAPoR),以便穿越復(fù)雜的網(wǎng)絡(luò)到達(dá)認(rèn)證服務(wù)器。
EAP中繼方式的優(yōu)點是設(shè)備端處理更簡單,支持更多的認(rèn)證方法,缺點則是認(rèn)證服務(wù)器必須支持EAP,且處理能力要足夠強。對于常用的EAP-TLS、EAP-TTLS、EAP-PEAP三種認(rèn)證方式,EAP-TLS需要在客戶端和服務(wù)器上加載證書,安全性最高,EAP-TTLS、EAP-PEAP需要在服務(wù)器上加載證書,但不需要在客戶端加載證書,部署相對靈活,安全性較EAP-TLS低。
4
認(rèn)證過程
802.1X認(rèn)證有以下觸發(fā)方式:●客戶端發(fā)送EAPoL-Start報文觸發(fā)認(rèn)證●客戶端發(fā)送DHCP/ARP/DHCPv6/ND或任意報文觸發(fā)認(rèn)證●設(shè)備以組播形式發(fā)送EAP-Request/Identity報文觸發(fā)認(rèn)證
由于Windows系統(tǒng)自帶的802.1x認(rèn)證程序不主動發(fā)送EAPoL-Start報文,因此一般認(rèn)證的觸發(fā)主要是通過客戶端發(fā)送DHCP/ARP/DHCPv6/ND等報文觸發(fā)。
802.1x中繼方式的認(rèn)證過程如下圖所示:
上圖中認(rèn)證過程是由客戶端主動發(fā)起的,即采用EAPoL-Start報文觸發(fā)認(rèn)證。
二
認(rèn)證擴展協(xié)議
上文提到802.1x使用EAP進行驗證信息交互,EAP它本身不是一個認(rèn)證機制,而是一個通用架構(gòu),用來傳輸實際的認(rèn)證協(xié)議。EAP的優(yōu)點是當(dāng)一個新的認(rèn)證協(xié)議發(fā)展出來的時候,基礎(chǔ)的EAP機制不需要隨著改變。
EAP是一組以插件模塊的形式為任何EAP類型提供結(jié)構(gòu)支持的內(nèi)部組件,它的設(shè)計理念是滿足任何鏈路層的身份驗證需求,支持多種鏈路層認(rèn)證方式。EAP協(xié)議是IEEE802.1x認(rèn)證機制的核心,它將實現(xiàn)細(xì)節(jié)交由附屬的EAP Method協(xié)議完成,如何選取EAP method由認(rèn)證系統(tǒng)特征決定。這樣實現(xiàn)了EAP的擴展性及靈活性,如圖所示,EAP可以提供不同的方法分別支持PPP,以太網(wǎng)、無線局域網(wǎng)的鏈路驗證。
EAP可分為四層:EAP底層,EAP層,EAP對等和認(rèn)證層和EAP方法層。
EAP底層負(fù)責(zé)轉(zhuǎn)發(fā)和接收被認(rèn)證端(peer)和認(rèn)證端之間的EAP幀報文;EAP層接收和轉(zhuǎn)發(fā)通過底層的EAP包;EAP對等和認(rèn)證層在EAP對等層和EAP認(rèn)證層之間對到來的EAP包進行多路分離;EAP方法層實現(xiàn)認(rèn)證算法接收和轉(zhuǎn)發(fā)EAP信息。基于EAP衍生了許多認(rèn)證協(xié)議,如EAP-MD5、EAP-TLS以及EAP-TTLS等。
如果現(xiàn)有的擴展方法無法滿足實際的應(yīng)用需求時,企業(yè)可以根據(jù)自己的需求開發(fā)自己的擴展方法,并以插件的方式融入到EAP中。如:在進行認(rèn)證時,認(rèn)證報文中,除了基本的身份認(rèn)證外,還可以攜帶終端的其他信息:病毒庫版本、漏洞修復(fù)情況、終端設(shè)備標(biāo)識以及終端所處網(wǎng)絡(luò)等信息,以供后續(xù)身份認(rèn)證使用。
三
網(wǎng)絡(luò)訪問授權(quán)
802.1x不僅可以用于認(rèn)證確認(rèn)嘗試接入網(wǎng)絡(luò)的終端設(shè)備是否合法,還可以使用授權(quán)功能指定通過認(rèn)證的終端所能擁有的網(wǎng)絡(luò)訪問權(quán)限,即用戶能訪問哪些資源。授權(quán)最常使用的基本授權(quán)參數(shù)有:VLAN、ACL和UCL組。
1
VLAN
為了將受限的網(wǎng)絡(luò)資源與未認(rèn)證用戶隔離,通常將受限的網(wǎng)絡(luò)資源和未認(rèn)證的用戶劃分到不同的VLAN。用戶認(rèn)證成功后,認(rèn)證服務(wù)器將指定VLAN授權(quán)給用戶。此時,設(shè)備會將用戶所屬的VLAN修改為授權(quán)的VLAN,授權(quán)的VLAN并不改變接口的配置。但是,授權(quán)的VLAN優(yōu)先級高于用戶配置的VLAN,即用戶認(rèn)證成功后生效的VLAN是授權(quán)的VLAN,用戶配置的VLAN在用戶下線后生效。
2
ACL
用戶認(rèn)證成功后,認(rèn)證服務(wù)器將指定ACL授權(quán)給用戶,則設(shè)備會根據(jù)該ACL對用戶報文進行控制。
●如果用戶報文匹配到該ACL中動作為“允許”的規(guī)則,則允許其通過;●如果用戶報文匹配到該ACL中動作為“阻止”的規(guī)則,則將其丟棄。
ACL規(guī)則支持使用IPv4/IPv6報文的源地址、目的地址、I協(xié)議類型、ICMP類型、TCP源/目的端口、UDP源/目的端口號、生效時間段等來定義規(guī)則。如果需要更復(fù)雜的授權(quán)規(guī)則,則需要將用戶訪問流量通過路由表等方式引流到接入的管控設(shè)備上。
3
UCL
用戶控制列表UCL組(User Control List)是網(wǎng)絡(luò)成員的集合。UCL組里面的成員,可以是PC、手機等網(wǎng)絡(luò)終端設(shè)備。借助UCL組,管理員可以將具有相同網(wǎng)絡(luò)訪問策略的一類用戶劃分為同一個組,然后為其部署一組網(wǎng)絡(luò)訪問策略,滿足該類別所有用戶的網(wǎng)絡(luò)訪問需求。相對于為每個用戶部署網(wǎng)絡(luò)訪問策略,基于UCL組的網(wǎng)絡(luò)控制方案能夠極大的減少管理員的工作量。
除此之外,管理員還可以通過認(rèn)證服務(wù)端的計費/審計功能,查看用戶/終端設(shè)備的訪問記錄,以確定特定用戶有無越權(quán)訪問情況。
四
結(jié)語
綜上所述,企業(yè)可以根據(jù)不同的場景以及不同的安全需求,使用802.1x結(jié)合交換設(shè)備以及AAA認(rèn)證服務(wù)端實現(xiàn)用戶終端的安全驗證接入、網(wǎng)絡(luò)管控、日志審計等功能,從多維度保障企業(yè)的網(wǎng)絡(luò)安全以及數(shù)據(jù)安全。
審核編輯 黃宇
-
局域網(wǎng)
+關(guān)注
關(guān)注
5文章
751瀏覽量
46277 -
802.1x協(xié)議
+關(guān)注
關(guān)注
0文章
3瀏覽量
5536 -
終端接入
+關(guān)注
關(guān)注
0文章
2瀏覽量
6420
發(fā)布評論請先 登錄
相關(guān)推薦
評論