随着信息安全技术的发展,信息安全防护的重心已经从传统的网络安全防护(比如防火墙、人侵防护系统、人侵检测系统等)向终端安全防护转移,终端的安全对整个系统的安全起到了至关重要的作用。
1、网络访问现状
笔者所在企业经过多年的信息安全建设,在网络边界已经部署了防火墙、人侵防护系统等多种安全防护产品,基本上能防止来自外部的大部分攻击行为。但是随着公司第三方人员的频繁往来、以及笔记本电脑的普遍使用,终端的安全隐患是公司目前面临的最大风险:
1)无法确保所有终端及时更新系统补丁,曾经多次发生过病毒利用系统漏洞在局域网内扩散的安全事件。
2)无法确保每个终端都安装防病毒软件并及时更新。
3)通过其他网络监控设备经常会在网络上发现违反公司安全策略的应用流量。
4)公司无线接人风险问题,并没有完全开启应用。
5)虽然公司在部分敏感区域实施了有线网络端口MAC地址绑定的控制措施,并规定了人工的安全检查流程,检查第三方终端。但是由于人力有限,目前仅检查防病毒软件是否安装、定义库是否接入和操作系统补丁更新情况这3项;对于具体某几个关键的操作系统补丁是否更新齐全,是否带有恶意软件、受限软件等无法逐一检查。此外,对于接人后的病毒定义库和补丁更新也无法进行有效管理;因此才会出现接人网络后的计算机病毒定义库和补丁不更新,甚至出现重装操作系统后未进行任何安全加固的情况出现,严重威胁公司局域网的安全。
6)部分员工由于拥有本机管理员权限,存在部分终端不加公司域等现象,这样终端无法通过公司指定的终端管理软件进行自动补丁更新;或者由于终端系统配置问题导致白动补丁更新失败。这些无法自动更新操作系统补丁的终端也是局域网的安全隐患。
7)目前所有终端的防病毒定义库由防病毒服务器统一下发更新,但是同样存在由于终端原因导致的脱机现象.这些终端无法及时更新病毒定义库。
2、网络访问控制解决方案
鉴于笔者公司无线和有线接人的复杂性和当前的管理现状,如何有效控制终端对局域网的访问、确保其符合安全策略,对于生产环境的稳定运行至关重要。因此垂需部署一套集中管理的网络访问控制系统,对所有类型的终端接人(包括有线、无线、PC、笔记本、虚拟机等)进行安全检查并控制:
1)能够对所有需要接入局域网的终端进行安全检查,安全检查的内容包括防病毒软件、定义库、操作系统补丁等。
2)对于安装有网络访问控制agent的终端,在完成安全检查后并且确认终端是可信安全的,才能接入公司局域网,能够访问各种资源。
3)对于安装有网络访问控制agent的终端,如果没有通过安全检查.其网络访问就要受到限制,只能访问修补服务器,完成修补后并且通过安全检查才能接入局域网;修补最好能够由终端自动完成,无需用户干预。
4)对于未安装有网络访问控制agent的终端(包括第三方人员、员工个人笔记本)不允许访间局域网。
5)对于在普通终端上安装的虚拟机等同于一般终端处理,同样必须安装网络访问控制agent后才能接入局域网。
6)对于某些特殊的终端(IP电话、网络打印机等)能够根据预先定义策略的进行控制。
7)网络访问控制系统能够提供合理的高可用性方案,确保公司两个办公地点的安全终端随时都能够访问网络资源。
8)网络访问控制实施要简单易行,尽量不破坏现有的网络架构。
3、网络访问控制系统的实施
为了实现上述网络访问控制的需求,笔者在调研并测试了国内外安全厂商的网络访问控制系统后,挑选了一家主流厂商的解决方案。实际的实施方案如图1所示。
1)系统功能模块介绍
整个网络访问控制系统中的关键功能模块如下:
(1)策略管理服务器:负责网络访问控制系统安全检查策略的制定和下发。
(2)局域网控制器:负责对所有有线接人的终端进行身份认证,校验安全检查结果。
(3)交换机:启用802.1 x身份认证,配置两个虚拟局域网(VLAN),一个分配给可信的终端,另一个分配给不可信的终端。
(4)网关控制器:串接在无线接入终端之前,对所有无线流量进行控制,确保可信终端正常访问局域网。
(5) DHCP控制器:部署在DHCP服务器上,对无线接人终端的DHCP请求进行检查,根据不同的安全检查结果分配相应的IP地址。
2)安全检查策略的制定
为了确保整个局域网的安全,要求每个接人终端都必须进行如下的安全检查:
(1)检查操作系统的services pack版本,要求必须是最新的。
(2)检查防病毒软件是否安装并且定义库是否是最新的。
(3)检查终端是否登本公司的域。
(4)检查终端是否安装了指定的终端管理软件。
(5)检查几个爆发过病毒的操作系统关键补丁是否已经安装。
(6)检查是否安装有违反公司安全策略的软件、进程等。
3)高可用性设计
由于笔者公司有两处办公地点,而网络访问控制系统关系到所有用户终端能否正常访问局域网的资源,因此整个系统的高可用性设计方案如下:
(1)策略管理服务器的冗余
在两个办公地点各部署一台策略管理服务器作为冗余,两台服务器可以同时工作,负责管理本地的所有终端;但是如果一台服务器出现了间题,另外一台可以接管所有终端并继续正常工作。
(2)局域网控制器的冗余
同样在两个办公地点各部署一台局域网控制器作为冗余,并同时进行工作。
(3)网关控制器
串联于网络中的网关控制器带有fail-ipen模块,如宕机亦不影响网络访问。
4)有线网络接入
对于可信终端A、未通过安全检查的终端B和不可信终端C三种可信属性的终端的具体接入机制如图2。
各终端接入企业局域网的流程如下:
可信的终端A:
(1)当终端A接入公司局域网时,将首先由网络访问控制agent发起EAP验证请求,交换机收到请求并将之转发给局域网控制器。
(2)局域网控制器根据策略管理服务器下发的安全检查策略要求对其进行安全检查。
(3)局域网控制器将检查结果通知给802.1 X交换机。
(4) 802.1 x交换机根据局域网控制器的返回信息将其切换到正常访问VLAN。
未通过安全检查的终端B:
(1)当终端B接入公司局域网时,将首先由网络访问控制agent发起EAP验证请求,交换机收到请求并将之转发给局域网控制器。
(2)局域网控制器根据相关安全检查策略进行安全检查,发现未通过安全检查。
(3)通知802.1 x交换机。
(4) 802.1 x交换机将其暂时切换到隔离VLAN并尝试对其修复。
(5)终端如修复完成将通过安全检查并被切换到正常访问VLAN;如失败将一直处于隔离VLAN,无法访问公司网络。
不可信的终端C:
(1)无网络访问控制agent的终端,无法使用发起802.1 X验证,其802.1 x验证将失败。
(2)局域网控制器通知交换机将其切换到隔离VLAN,无法访问公司网络。
5)通过网关控制器的无线接入
网关控制器将被部署在无线AP之前进行网络访问控制,如图3。
(1)安装有网络访问控制agent无线终端A接人到公司网络时,网关控制器确认其通过安全检查后允许其访问局域网。
(2)安装有网络访问控制agent无线终端B接人到公司网络时,网关控制器确认其未通过安全检查后限制其访问局域网,只能访问修补服务器;完成修补并通过安全检查才允许其访问局域网。
(3)没有安装网络访问控制agent无线终端C,网关控制器将拒绝其访问局域网。
6)通过DHCP控制器的无线接入
由于公司办公地点Site1的无线接人环境比较复杂,无法通过网关控制器覆盖所有无线接人,因此采用DHCP控制器的方式进行网络访问控制,控制机制如图4。
(1)安装有网络访问控制agent的无线用户预接入到公司网络,首先发起DHCP请求。
(2)充当DHCP中继的DHCP控制器拦截到DHCP请求。
(3) DHCP控制器根据相关安全检查策略对其进行安全检查。通过安全检查则通知DHCP服务器分配给正常访问IP;未通过安全检查将被分配给受限访问IP自行修复。
7)非PC终端部署配置
考虑到公司的网络环境中存在较多的网络打印机和IP电话,因此在进行网络访问控制部署时需要将这部分设备排除在外,不对其进行认证控制。其接人机制如图5。
局域网控制器与接人层交换机配合实现网络准入控制,在准人过程中交换机对直连到端口的终端进行认证。由于准入控制是基于交换机端口进行认证,因此当该端口直连的是打印机或者iP电话时,需要将该端口的认证取消,否则将无法使用打印机和IP电话。
4、结语
本文以终端安全为切入点,通过分析笔者公司面临的终端安全现状和复杂的网络环境,从接入方式、接入终端类别以及终端安全状态提出解决方案,最终建立一套清晰、完整的网络访问控制系统。该系统很好地应用了当今多种主流的网络访问控制技术,解决了困扰该公司多年的终端安全间题,在实际应用中取得了良好的效果。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:网络访问控制系统在企业中的应用
相关文章
