1、前言
网络准入控制(NAC)是一项由思科发起、多家厂商参加的计划,其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助NAC,客户可以只允许合法的、值得信任的终端设备(例如PC、服务器,PDA)接入网络,而不允许其它设备接入。
2、网络准入的几种方式
目前有四种网络准入控制:802.1x准入控制、DHCP准入控制、网关型准入控制、ARP准入控制。
802.1x准入控制需要交换机支持802.1x协议,能够真正的做到对网络边界的保护,但对于不支持802.1x协议的交换机无法实现准入控制,同时交换机下接不启用802.1x功能的交换机时,也无法对终端进行准入控制。
DHCP准入控制与现有网络兼容性较好,但控制力度不如802.1x准入控制,需要支持DHCP服务的网络环境。个人也可以通过指定IP跳过控制。网关型准入控制不是一种真正意义上的准入控制.它只控制了网络的出口,没有控制内网的边界接入。
ARP型准入控制使用ARP欺骗和ARP攻击对不合规的终端进行攻击,达到对网络边界进行保护的目的。但ARP的欺骗和攻击对装有ARP防火墙的终端没有作用。另外,ARP的攻击会造成网络堵塞,不利于大型网络。从以上准入形式看,802.1x准入控制应是未来准入控制的方向。
3、支持802.1x协议的NAC系统组成
网络准入控制主要由终端安全检查软件、网络接入设备和策略/AAA服务器构成。终端安全检查软件主要负责对接入的终端进行主机健康检查和进行网络接入认证。网络接入设备是实施准入控制的网络设备,包括路由器,交换机.无线接入点和安全设备。这些设备接受主机委托.然后将信息传送到策略服务器.在那里实施网络准入控制决策。网络将按照客户制定的策略实施相应的准入控制决策:允许、拒绝、隔离或限制。策略/AAA服务器负责评估来自网络设备的端点安全信息,并决定应该使用哪种接入策略(接入、拒绝、隔离或打补丁)。
4、NAG系统的基本工作原理
当终端接入网络时,首先由终端设备和网络接入设备(如:交换机,无线AP、VPN等)进行交互通讯。然后,网络接入设备将终端信息发给策略/AAA服务器对接入终端和终端使用者进行检查。当终端及使用者符合策略/AAA服务器上定义的策略后.策略/AAA服务器会通知网络接入设备,对终端进行授权和访问控制。
5、SEP准入控制系统
5.1通过域用户认证的Symantec网络准入控制
Symantec准入选择通过802.1x协议实现,802.1x的网络准入控制能够真正做到对网络边界的保护。同时支持通过域用户认证来实现认证环节。Symantec网络准入流程为:用户用自己的域帐号登陆进行802.1x认证,认证失败则被拒绝接入网络。认证成功后打开交换机端口分配IP地址,然后进行主机完整性检查,主机完整性检查不通过则被隔离掉,只能访问特定的网站,主机完整性检查通过后,应用防火墙策略,允许用户正常使用网络。
目前Symantec网络准入控制采用的是Symantec SEP 11.0和扩展Symantec SNAC 11.0,该系统包括如下几个部分:Symantec EntERPrise Protection Manager(策略管理服务器),以下简称SEPM。SNAC6100 LAN Enforcer(局域网准入控制器),以下简称LAN Enforcer。Symantec Endpoint Protection和Symantec Network Access Control(终端安全Symantec客户端),以下简称Symantec客户端。
SEPM策略服务器实现所有安全策略、准入控制规则的管理、设定和监控及symantec客户端的管理,病毒库的升级。
LAN Enforcer作为终端用户接入网络时的安全性认证服务器,负责处理不同交换机的认证请求.Symantec客户端是整个企业网络安全策略的执行者,实现主机完整性检查和防火墙策略的执行。它安装在网络中的每一台终端计算机上。
5.2通过域用户认证的Symantec网络准入存在的问题
Symantec网络准入无法实现windows域登陆和802.1x认证同步,802.1x认证通过后才能得到地址联通网络,而802.1x认证必须在进入桌面后才能进行,造成新装机电脑第一次开机无法联通网络域控制器进入桌面,因而也就无法进行802.1x认证。
6、802.1x接入认证与域认证结合存在的问题
Windows域登录认证要求用户必须首先接入网络.建立用户与域控制器间的网络连接,然后才可以登录并进入桌面。而一般的802.1x认证需要用户首先进入桌面.然后才可以进行网络接入认证、建立网络连接。两种认证之间的时序依赖关系产生了明显的矛盾,导致使用802.1x进行网络接入认证的用户无法登录到Windows域。
Windows域与802.1x认证服务器各自拥有专用的用户身份识别和权限控制信息,造成用户接入网络和登录Windows域时需要使用两套用户名和密码,给用户的使用带来不少操作上的麻烦。
7、EAD终端准入控制
EAD是H3C公司开发的一套网络准入系统,其部署架构也与SNAC相近,与SEP类似支持通过域用户认证的网络准入模式。通过对认证中不同步问题的解决,实现与域用户认证的统一认证。EAD使用LDAP功能实现用户和Windows域用户信息的同步,并通过H3C自主开发的iNode智能客户端实现认证流程的同步。
802.1x接入认证阶段:安装有H3C iNode智能客户端的用户终端开机后进入普通的域登录界面,用户按一般的域登录流程输入用户名、密码和域名,点击登录按钮IiNode智能客户端截获Windows域登录请求,使用域登录输入的用户名、密码同步发起802.1x认证t802.1x认证请求通过交换机转发到EAD策略服务器,进行802.1x接入身份认证。
认证转发阶段:EAD策略服务器将用户认证请求通过LDAP接口转发到Windows 域控制器,进行Windows 域用户名、密码验证;通过Windows域控制器的身份认证后,再由EAD策略服务器向用户终端授权网络访问权限。域认证阶段:认证通过并获得网络访问权限的用户终端通过iNode客户端的控制,继续进行域登录认证,Windows操作系统继续完成普通的域登录流程,获取应用资源访问权限。
通过以上的统一认证流程,用户只需按照正常的域登录操作.即可同时完成802.1x接入认证和Windows域登录认证,达到了统一认证和单点登录的目的。
8、企业的选择
对于较具规模并对信氮化依赖度高的企业,在应用域管理用户的同时可以参照与802.1x认证相结合的方式,以达到网络准入的目的。各企业可根据选择产品的不同,选择适合自身实际的认证过程.以保证系统的兼容、好用和投资效益。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
相关文章
