網(wǎng)絡(luò)安全管理：準(zhǔn)入控制的分類及特點(diǎn)

 

1. 基于網(wǎng)絡(luò)的準(zhǔn)入控制

 

EAPOL

 

EAP是Extensible Authentication Protocol的縮寫(xiě)，EAP最初作為PPP的擴(kuò)展認(rèn)證協(xié)議，使PPP的認(rèn)證更具安全性。無(wú)線局域網(wǎng)興起后，人們?cè)跓o(wú)線局域網(wǎng)接入領(lǐng)域引入了EAP認(rèn)證，同時(shí)設(shè)計(jì)了專門(mén)封裝和傳送EAP認(rèn)證數(shù)據(jù)的IEEE 802.1x協(xié)議格式。802.1x協(xié)議除了支持WLAN外，也支持傳統(tǒng)的其他局域網(wǎng)類型，比如以太網(wǎng)、FDDI、Token Ring。EAP與802.1x的結(jié)合就是EAPOL(EAP Over LAN)，或者稱為EAP over 802.1x。作為一種標(biāo)準(zhǔn)局域網(wǎng)的數(shù)據(jù)包協(xié)議，802.1x幾乎得到所有網(wǎng)絡(luò)設(shè)備廠商的支持。

 

EAPOL不僅能用來(lái)解決終端電腦身份認(rèn)證的問(wèn)題，也可以用來(lái)認(rèn)證電腦的安全狀態(tài)。在進(jìn)行身份認(rèn)證的同時(shí)，“順便”檢查終端電腦的安全狀態(tài)，并能根據(jù)認(rèn)證狀態(tài)設(shè)置端口狀態(tài)，動(dòng)態(tài)切換VLAN，或者下載ACL列表。因?yàn)?02.1x協(xié)議被網(wǎng)絡(luò)廠商廣泛支持，所以EAPOL是支持范圍最廣的網(wǎng)絡(luò)準(zhǔn)入技術(shù)。EAPOL的優(yōu)點(diǎn)是它可以做到最嚴(yán)格的準(zhǔn)入控制，控制點(diǎn)是網(wǎng)絡(luò)的接入層交換機(jī)，最接近終端電腦，對(duì)不符合策略的電腦可以完全禁止其訪問(wèn)任何網(wǎng)絡(luò)，使其對(duì)網(wǎng)絡(luò)的危害最小。

 

EAPOL除了需要網(wǎng)絡(luò)設(shè)備支持以外，還需要一系列相關(guān)配套的軟件，比如Cisco的NAC、H3C的EAD、啟明星辰的天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)等。

 

EAPOU

 

網(wǎng)絡(luò)準(zhǔn)入的概念是由Cisco普及的，Cisco的NAC除了包含前面討論的EAPOL，還有EAPOU(EAP Over UDP)。與EAPOL國(guó)際標(biāo)準(zhǔn)協(xié)議不同的是，EAPOU是Cisco的專有協(xié)議，即獨(dú)家技術(shù)。EAPOU是Cisco NAC技術(shù)的第一個(gè)實(shí)現(xiàn)版本，2003年最早在Cisco的路由器上實(shí)現(xiàn)，后來(lái)在Cisco的3層交換機(jī)上也實(shí)現(xiàn)了EAPOU。EAPOL是在網(wǎng)絡(luò)接入層進(jìn)行準(zhǔn)入控制，而EAPOU則是在網(wǎng)絡(luò)的匯聚層或核心層進(jìn)行準(zhǔn)入控制。

 

EAPOU的工作原理是當(dāng)支持EAPOU的匯聚層設(shè)備接收到終端設(shè)備發(fā)來(lái)的數(shù)據(jù)包時(shí)，匯聚層EAPOU設(shè)備將要求終端設(shè)備進(jìn)行EAP認(rèn)證。EAP認(rèn)證包封裝在UDP包內(nèi)，在EAP認(rèn)證的內(nèi)容中，身份認(rèn)證其實(shí)并不重要，重要的則是安全狀態(tài)認(rèn)證。如果安全狀態(tài)不符合企業(yè)策略，匯聚層EAPOU設(shè)備將從策略服務(wù)器上下載ACL，限制不安全的客戶端的網(wǎng)絡(luò)訪問(wèn)，并對(duì)其進(jìn)行修復(fù)。

 

EAPOU技術(shù)的優(yōu)點(diǎn)是它對(duì)網(wǎng)絡(luò)接入設(shè)備要求不高，因而覆蓋面較高; 而且匯聚層設(shè)備一般明顯少于接入層設(shè)備，因此部署相對(duì)要容易一些。目前支持EAPOU的設(shè)備只有Cisco的路由器和3層交換機(jī)，相關(guān)配套的系列軟件為NAC。

 

2. 基于主機(jī)的準(zhǔn)入控制

 

如果用戶的網(wǎng)絡(luò)設(shè)備不支持網(wǎng)絡(luò)準(zhǔn)入，或不想花費(fèi)太多的部署和管理時(shí)間，還可以進(jìn)行基于主機(jī)的準(zhǔn)入控制。在此處主機(jī)是指網(wǎng)絡(luò)中除網(wǎng)絡(luò)設(shè)備之外的電腦主機(jī)，包括服務(wù)器和電腦終端。基于主機(jī)的準(zhǔn)入控制最大特點(diǎn)就是容易部署。

 

系統(tǒng)及應(yīng)用準(zhǔn)入是在服務(wù)器的操作系統(tǒng)上安裝準(zhǔn)入控制軟件，當(dāng)電腦終端訪問(wèn)服務(wù)器時(shí)，準(zhǔn)入控制軟件會(huì)檢查對(duì)方的安全狀態(tài)，如果符合策略則允許訪問(wèn)，如果不符合將拒絕對(duì)方的訪問(wèn)，并給出相關(guān)提示。而客戶端準(zhǔn)入控制是終端相互之間進(jìn)行訪問(wèn)時(shí)，安裝在終端上的軟件也會(huì)檢查對(duì)方的安全狀態(tài)。基于主機(jī)的準(zhǔn)入控制點(diǎn)一般安裝在代理服務(wù)器、郵件服務(wù)器、內(nèi)網(wǎng)Web服務(wù)器、DNS服務(wù)器上或DHCP服務(wù)器上。這些服務(wù)器是企業(yè)內(nèi)部員工最常訪問(wèn)的服務(wù)器，因此準(zhǔn)入效果較好，覆蓋面廣。實(shí)際部署時(shí)，一般只需在一到兩個(gè)服務(wù)器上部署控制點(diǎn)即可做到對(duì)全局的準(zhǔn)入控制。

 

基于主機(jī)的準(zhǔn)入控制優(yōu)點(diǎn)首先是容易部署，一般網(wǎng)絡(luò)準(zhǔn)入配置起來(lái)都較復(fù)雜，不同型號(hào)的設(shè)備的配置都各不相同，如果網(wǎng)絡(luò)規(guī)模較大，配置的工作量極其巨大，而基于主機(jī)的準(zhǔn)入控制只需要在對(duì)應(yīng)的主機(jī)上安裝一個(gè)軟件，相對(duì)而言容易得多。第二是適應(yīng)性好、覆蓋面廣、不依賴任何網(wǎng)絡(luò)設(shè)備的支持，可有效保護(hù)企業(yè)已有的投資。第三是對(duì)網(wǎng)絡(luò)性能沒(méi)有影響，基于網(wǎng)絡(luò)的準(zhǔn)入控制在運(yùn)行時(shí)會(huì)根據(jù)客戶端的認(rèn)證狀態(tài)和安全狀態(tài)改變自己的狀態(tài)，比如VLAN切換和動(dòng)態(tài)ACL加載，這或多或少都將影響設(shè)備或網(wǎng)絡(luò)的性能，特別是在大規(guī)模網(wǎng)絡(luò)環(huán)境下，這一點(diǎn)不能忽視。基于主機(jī)的準(zhǔn)入控制將其控制分散到每個(gè)終端和主機(jī)上，終端的狀態(tài)變化對(duì)網(wǎng)絡(luò)沒(méi)有任何影響。第四是其訪問(wèn)控制功能是所有方案中最強(qiáng)的，基于主機(jī)的準(zhǔn)入控制能夠做到基于進(jìn)程的訪問(wèn)控制，以及基于進(jìn)程的帶寬管理，因此對(duì)蠕蟲(chóng)、木馬的防治就能更加積極主動(dòng)?；谥鳈C(jī)的準(zhǔn)入控制的缺點(diǎn)主要是控制強(qiáng)度較弱，系統(tǒng)及應(yīng)用準(zhǔn)入控制點(diǎn)處于企業(yè)網(wǎng)絡(luò)的核心，遠(yuǎn)離終端，而客戶端準(zhǔn)入依賴于網(wǎng)絡(luò)中已經(jīng)廣泛部署的客戶端。

 

目前采用基于主機(jī)的準(zhǔn)入控制技術(shù)的產(chǎn)品主要有微軟的NAP、啟明星辰的天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)等。隨著內(nèi)網(wǎng)安全的不斷被企業(yè)重視，相信會(huì)有更多的廠商關(guān)注基于主機(jī)的安全準(zhǔn)入控制隊(duì)伍中來(lái)。