1、引言
随着企业信息化发展的不断深入,企业对信息系统的依赖程度越来越高,信息与网络安全直接影响到企业生产、经营及管理活动,甚至直接影响企业未来发展。目前,企业信息与网络安全面临各类威胁,既有来自外部的,也有来自内部的。外部威胁主要通过互联网进行网络入侵、黑客攻击、病毒传播等恶意行为。内部威胁主要用户安全意识薄弱,因存储介质、文件共享等途径感染病毒风险。对于外部威胁,可使用防火墙、网关杀毒等设备进行安全防护;对于内部威胁作,则可通提升用户信息安全意识、加强终端安全管理等措施进行防护。
然而,随着信息化建设的深入,作为信息化建设的基础设施-计算机网络,其规模也随着信息化建设而不断扩大。企业网络规模的扩大、信息接入点增多、分布范围广,使信息接入点管控难度大。从而容易出现非法用户接入企业内部网络,其不但可以毫无限制的访问内网资源,窃取企业内部秘密信息,造成信息泄露,而且可能发起主动攻击或因携带病毒、蠕虫等因素而造成整个网络与信息系统瘫痪的风险,对企业信息与网络安全造成巨大威胁。IEEE802.1x是基于端口的访问控制协议,网络端口启用802.1x,采用主动威胁防护,从源头做起,在终端接入网络之前,对终端进行身份验证,同时检查是否符合网络接入安全策略要求;接入之后,同时对用户进行权限识别,根据身份认证,确认用户对内网资源的访问权限。
2、802.1x协议
IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题,提出了802.1x协议。后来,随着技术的发展,802.1x协议被广泛应用在以太网上,作为一种接入控制机制。
802.1X协议是一种基于端口的网络接入控制协议(port based network access control protocol),即是指在接入设备的端口处对终端设备进行认证和控制,限制没有权限的用户或设备获取未授权网络访问权限。
用户、终端设备在接入局域网,获取网络访问权限之前,实施802.1x协议的网络设备会对接入的用户或设备进行权限认证。网络设备的端口此时处于关闭状态,但允许EAPOL数据包通过。EAPOL是802.1X协议定义的一种报文封装格式,主要用于在客户端和设备端之间传送EAP协议报文,以允许EAP协议报文在LAN上传送,从而将用户认证信息传送至认证服务器。
如果认证通过,在交换机打开端口,允许业务数据通过;如果认真失败,则保持端口关闭状态,或者执行其他安全策略,如打开端口,并将该端口划分至客户vlan中。
2.1 802.1x协议的体系结构
802.1x协议主要由三部分组成:客户端(supplicant system)、认证系统(authenticator system)、认证服务器(authentication server system)。图1描述了三者之间的关系以及互相之间的通信过程。
(1)客户端一般为一个用户终端,该终端一般安装一个认证软件,用户通过允许该软件发起802.1x协议认证。客户端要求支持EAPOL协议,以实现基于端口的接入控制。
(2)认证系统为通常为网络设备,即网络交换机,客户端网络设备接入局域网。认证系统中支持两种逻辑端口,受控端口(Controlled Port)和非受控端口(Uncontrolled Port)。受控端口只有在认证通过的状态下才打开,用于传递业务数据。非受控端口一直处于打开状态,用于收发EAPOL协议帧,通过非受控端口,用户或设备能正常发送或接收认证请求。
(3)认证服务器一般为RADIUS服务器。在认证服务器上保存用户的帐号、密码、以及用户的权限等信息,主要实现对用户进行认证、审计、授权、计费等功能。
2.2 802.1x协议的认证过程
802.1x协议的认证过程有两种,分别是EAP中继模式和EAP终结模式,以下为简要说明EAP中继模式认证过程:
(1)客户端发送认证请求报文到网络交换机;
(2)交换机收到报文后,发送报文要求客户端提供认证信息;
(3)客户端收到交换机报文后将用户信息发送给交换机;交换机收到用户信息,将其转发给认证服务器。
(4)认证服务器收到交换机发送的报文后,根据用户信息随机产生的一个加密密码,并将其发送给交换机,交换机再将该密码发送个客户端。
(5)客户端收到加密密码后对用户的密码进行加密,然后通过交换机发送给认证服务器。
(6)认证服务器对客户端发送的用户名密码进行匹配,如果认证成功,则发送认证成功信息,通知交换机打开受控端口,用户获取正常网络访问权限;如果认证失败,则发送认证失败信息,交换机继续关闭受控端口。
2.3 与802.1x配合使用的一些特性
(1)Vlan下发。当认证服务器配置下发vlan功能后,在认证服务器端上配置用户的vlan信息,当服务器下发认真信息时,包含vlan,将端口划进相应vlan。此操作不更改交换机配置,当用户下线后,端口恢复原先配置。
(2)GUEST VLAN。在交换机端口上配置GUEST VLAN,当用户未通过认证,或终端未安装认证客户端时将端口划分至GUEST VLAN。用户进入GUEST VLAN访问特地的资源。
(3)ACL下发。认证服务器还可以配置想要用户的ACL,认证服务将ACL发送至交换机,对用户执行相应的ACL,原理如同下发VLAN一样。
3、实施基于802.1x网络准入控制的实施
802.1x准入控制系统主要由认证服务器、认证系统、客户端三部分组成。实施网络准入,首先要确保网络的连通性,即认证系统能与认证服务器能正常通信、客户端与认证系统能实现必要的认证报文传输。确定网络连通性后,开始逐步配置认证服务器、认证系统及客户端。
3.1 认证服务器配置
802.1x网络准入的实施要结合企业的具体需求。对于大型企业,由于用户较多,为方便管理维护,一般都会实施域管理。802.1x与域相结合,是大部分实施域控企业的选择。搭建认证服务器时,可直接连接域控服务器,使用域账户对用户进行认证、授权、审计。
连接域之后,从安全性和灵活性考虑,大部分企业采取的准入控制流程为:
(1)对主机完整性检查,检查终端是否已经入域,并检查终端时候安装准入客户端。如检查通过,则进入下一步检查,否则将认证服务器通知认证系统,打开网络端口,并将终端进行隔离,即将网络端口划分至客户vlan。客户vlan只有有限的资源提供给终端访问,终端可以在客户vlan进行修复,修复完成后,重新进行主机完整性检查。
(2)通过主机完整性检查后,准入客户端获取终端的域账户,然后对账户进行认证。如通过认证,则通知交换机打开工作端口,让终端在正常的工作vlan上工作,访问所以该账户能访问的资源;如未通过认证,则认证服务器通知认证系统,打开网络端口,并将端口划分进客户vlan。
以上认证策略既能保证非授权终端访问非授权网络资源,保障内网安全;又能提供一定了灵活性,让不满足条件的可信终端进行修复,使其能正常接入网络。
认证服务器除虚配置与域控连接、认证策略外,还需认证系统进行授权。为此需将认证系统(如交换机)的IP地址、密码等信息配置进认证服务器。
3.2 认证系统配置
认证系统通常为网络交换机,在此以思科交换机(IOS 12.2)为例说明认证系统配置:
(1)启用aaa
交换机登录方式为none,802.1x认证方式为radius,授权方式也为radius
(2)配置radius服务器
配置服务器的地址、认证端口、审计端口及相应的密码,认证端口默认为1812,审计默认端口为1813
(3)交换机端口配置
认证方式为pae,采用多终端模式,配置客户vlan为1000
(4)全局启用802.1x
3.3 客户端配置
企业802.1x认证系统一般集成一个客户端软件。用户只需在终端上安装准入客户端,输入帐号、密码,或采用单点登录方式,即可发送认证请求。
4、总结
终端准入控制是确保网络与信息安全的重要措施,通过使用802.1x协议对接入终端进行身份认证,能有效的控制非法终端的接入。且802.1x具有简洁高效、安全可靠、应用灵活、易于运营,且采用行业标准等优势,在网络准入控制方面得到广泛的应用。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:基于802.1x的企业网络准入控制技术
相关文章
