淺談終端安全接入

前言：隨著網(wǎng)絡(luò)的發(fā)展，現(xiàn)代企業(yè)大多都會部署企業(yè)的有線網(wǎng)絡(luò)與無線網(wǎng)絡(luò)，在傳統(tǒng)的企業(yè)網(wǎng)內(nèi)，隨著越來越多的終端設(shè)備接入到公司網(wǎng)絡(luò)，管理人員控制和審計外部用戶接入的企業(yè)辦公網(wǎng)的難度和工作量也越來越大。而如果允許外部用戶隨意使用企業(yè)網(wǎng)絡(luò)，則可能在管理人員和系統(tǒng)維護(hù)人員毫不知情的情況下，某些惡意用戶侵入企業(yè)辦公網(wǎng)絡(luò)，從而造成數(shù)據(jù)泄露、病毒木馬傳播、惡意勒索以及數(shù)據(jù)攻擊等嚴(yán)重問題。由此，針對企業(yè)網(wǎng)絡(luò)亟需一套能夠有效控制終端接入、審計以及分級管控的網(wǎng)絡(luò)部署架構(gòu)。
關(guān)鍵字：終端安全接入、802.1x、網(wǎng)絡(luò)管控

一

接入?yún)f(xié)議802.1x

1

802.1x協(xié)議介紹

802.1x協(xié)議起源于802.11協(xié)議，后者是IEEE的無線局域網(wǎng)協(xié)議， 制訂802.1x協(xié)議的初衷是為了解決無線局域網(wǎng)用戶的接入認(rèn)證問題。IEEE802LAN協(xié)議定義的局域網(wǎng)并不提供接入認(rèn)證，只要用戶能接入局域網(wǎng)控制設(shè)備 (如LAN Switch)就可以訪問局域網(wǎng)中的設(shè)備或資源。

802.1x協(xié)議是基于客戶端/服務(wù)端的訪問控制和認(rèn)證協(xié)議,包括三個實體：客戶端、接入設(shè)備和認(rèn)證服務(wù)器。其可以限制未經(jīng)授權(quán)的用戶或者設(shè)備通過接入端口訪問LAN/WLAN。認(rèn)證系統(tǒng)每個物理端口內(nèi)部包含有受控端口和非受控端口。非受控端口始終處于雙向連通狀態(tài)，主要用來傳遞EAPOL協(xié)議幀，可隨時保證接收認(rèn)證請求者發(fā)出的EAPOL認(rèn)證報文;受控端口只有在認(rèn)證通過的狀態(tài)下才打開，用于傳遞網(wǎng)絡(luò)資源和服務(wù)。在認(rèn)證通過之前，支持802.1x協(xié)議的交換設(shè)備只允許EAPOL（基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議）數(shù)據(jù)報文通過終端連接的交換機(jī)端口；認(rèn)證通過后，用戶或者終端的其他數(shù)據(jù)報文才能順利地通過以太網(wǎng)端口進(jìn)行后續(xù)的路由轉(zhuǎn)發(fā)等動作。

2

終端、交換設(shè)備以及認(rèn)證服務(wù)器需要滿足的要求

▎用戶終端

局域網(wǎng)用戶終端設(shè)備，但必須是支持EAPOL的設(shè)備，可通過啟動客戶端設(shè)備上安裝的802.1x客戶端軟件發(fā)起802.1x認(rèn)證。目前大部分的臺式機(jī)、筆記本以及手機(jī)都支持EAPOL。

▎交換設(shè)備端

支持802.1x協(xié)議的網(wǎng)絡(luò)交換設(shè)備（如交換機(jī)），對所連接的客戶端進(jìn)行認(rèn)證。它為客戶端提供接入局域網(wǎng)的端口（物理端口或者邏輯端口）。

▎認(rèn)證服務(wù)器

為交換設(shè)備端802.1x協(xié)議提供認(rèn)證服務(wù)的設(shè)備，是真正進(jìn)行認(rèn)證的設(shè)備，實現(xiàn)對用戶進(jìn)行認(rèn)證、授權(quán)和計費，通常為RADIUS服務(wù)器。通過需要在交換設(shè)備上配置認(rèn)證服務(wù)器的IP端口信息。

3

認(rèn)證方式

EAP協(xié)議可以運行在各種底層，包括數(shù)據(jù)鏈路層和上層協(xié)議（如UDP、TCP等），可以不需要IP地址。因此使用EAP協(xié)議的802.1X認(rèn)證具有良好的靈活性。在用戶終端與交換設(shè)備端之間，EAP協(xié)議報文使用EAPoL（EAP over LANs）封裝格式，直接承載于LAN環(huán)境中。

在交換設(shè)備端與認(rèn)證服務(wù)器之間，用戶可以根據(jù)客戶端支持情況和網(wǎng)絡(luò)安全要求來決定采用的認(rèn)證方式。

▎EAP終結(jié)方式

EAP報文在設(shè)備端終結(jié)并重新封裝到RADIUS報文中，利用標(biāo)準(zhǔn)RADIUS協(xié)議完成認(rèn)證、授權(quán)和計費。在此方式下，不同的交換識別所能支持的認(rèn)證擴(kuò)展協(xié)議可能會有很大的區(qū)別，例如，華為的交換機(jī)一般僅支持MD5-Challenge方式。在需要安全性更高的場景下，EAP終結(jié)方式就無法滿足要求。

▎EAP中繼方式

EAP報文被直接封裝到RADIUS報文中（EAP over RADIUS，簡稱為EAPoR），以便穿越復(fù)雜的網(wǎng)絡(luò)到達(dá)認(rèn)證服務(wù)器。

EAP中繼方式的優(yōu)點是設(shè)備端處理更簡單，支持更多的認(rèn)證方法，缺點則是認(rèn)證服務(wù)器必須支持EAP，且處理能力要足夠強(qiáng)。對于常用的EAP-TLS、EAP-TTLS、EAP-PEAP三種認(rèn)證方式，EAP-TLS需要在客戶端和服務(wù)器上加載證書，安全性最高，EAP-TTLS、EAP-PEAP需要在服務(wù)器上加載證書，但不需要在客戶端加載證書，部署相對靈活，安全性較EAP-TLS低。

4

認(rèn)證過程

802.1X認(rèn)證有以下觸發(fā)方式：●客戶端發(fā)送EAPoL-Start報文觸發(fā)認(rèn)證●客戶端發(fā)送DHCP/ARP/DHCPv6/ND或任意報文觸發(fā)認(rèn)證●設(shè)備以組播形式發(fā)送EAP-Request/Identity報文觸發(fā)認(rèn)證

由于Windows系統(tǒng)自帶的802.1x認(rèn)證程序不主動發(fā)送EAPoL-Start報文，因此一般認(rèn)證的觸發(fā)主要是通過客戶端發(fā)送DHCP/ARP/DHCPv6/ND等報文觸發(fā)。

802.1x中繼方式的認(rèn)證過程如下圖所示：

上圖中認(rèn)證過程是由客戶端主動發(fā)起的，即采用EAPoL-Start報文觸發(fā)認(rèn)證。

二

認(rèn)證擴(kuò)展協(xié)議

上文提到802.1x使用EAP進(jìn)行驗證信息交互，EAP它本身不是一個認(rèn)證機(jī)制，而是一個通用架構(gòu)，用來傳輸實際的認(rèn)證協(xié)議。EAP的優(yōu)點是當(dāng)一個新的認(rèn)證協(xié)議發(fā)展出來的時候，基礎(chǔ)的EAP機(jī)制不需要隨著改變。

EAP是一組以插件模塊的形式為任何EAP類型提供結(jié)構(gòu)支持的內(nèi)部組件，它的設(shè)計理念是滿足任何鏈路層的身份驗證需求，支持多種鏈路層認(rèn)證方式。EAP協(xié)議是IEEE802.1x認(rèn)證機(jī)制的核心，它將實現(xiàn)細(xì)節(jié)交由附屬的EAP Method協(xié)議完成，如何選取EAP method由認(rèn)證系統(tǒng)特征決定。這樣實現(xiàn)了EAP的擴(kuò)展性及靈活性，如圖所示，EAP可以提供不同的方法分別支持PPP，以太網(wǎng)、無線局域網(wǎng)的鏈路驗證。

EAP可分為四層：EAP底層，EAP層，EAP對等和認(rèn)證層和EAP方法層。

EAP底層負(fù)責(zé)轉(zhuǎn)發(fā)和接收被認(rèn)證端（peer）和認(rèn)證端之間的EAP幀報文；EAP層接收和轉(zhuǎn)發(fā)通過底層的EAP包；EAP對等和認(rèn)證層在EAP對等層和EAP認(rèn)證層之間對到來的EAP包進(jìn)行多路分離；EAP方法層實現(xiàn)認(rèn)證算法接收和轉(zhuǎn)發(fā)EAP信息?；贓AP衍生了許多認(rèn)證協(xié)議，如EAP-MD5、EAP-TLS以及EAP-TTLS等。

如果現(xiàn)有的擴(kuò)展方法無法滿足實際的應(yīng)用需求時，企業(yè)可以根據(jù)自己的需求開發(fā)自己的擴(kuò)展方法，并以插件的方式融入到EAP中。如：在進(jìn)行認(rèn)證時，認(rèn)證報文中，除了基本的身份認(rèn)證外，還可以攜帶終端的其他信息：病毒庫版本、漏洞修復(fù)情況、終端設(shè)備標(biāo)識以及終端所處網(wǎng)絡(luò)等信息，以供后續(xù)身份認(rèn)證使用。

三

網(wǎng)絡(luò)訪問授權(quán)

802.1x不僅可以用于認(rèn)證確認(rèn)嘗試接入網(wǎng)絡(luò)的終端設(shè)備是否合法，還可以使用授權(quán)功能指定通過認(rèn)證的終端所能擁有的網(wǎng)絡(luò)訪問權(quán)限，即用戶能訪問哪些資源。授權(quán)最常使用的基本授權(quán)參數(shù)有：VLAN、ACL和UCL組。

1

VLAN

為了將受限的網(wǎng)絡(luò)資源與未認(rèn)證用戶隔離，通常將受限的網(wǎng)絡(luò)資源和未認(rèn)證的用戶劃分到不同的VLAN。用戶認(rèn)證成功后，認(rèn)證服務(wù)器將指定VLAN授權(quán)給用戶。此時，設(shè)備會將用戶所屬的VLAN修改為授權(quán)的VLAN，授權(quán)的VLAN并不改變接口的配置。但是，授權(quán)的VLAN優(yōu)先級高于用戶配置的VLAN，即用戶認(rèn)證成功后生效的VLAN是授權(quán)的VLAN，用戶配置的VLAN在用戶下線后生效。

2

ACL

用戶認(rèn)證成功后，認(rèn)證服務(wù)器將指定ACL授權(quán)給用戶，則設(shè)備會根據(jù)該ACL對用戶報文進(jìn)行控制。

●如果用戶報文匹配到該ACL中動作為“允許”的規(guī)則，則允許其通過；●如果用戶報文匹配到該ACL中動作為“阻止”的規(guī)則，則將其丟棄。

ACL規(guī)則支持使用IPv4/IPv6報文的源地址、目的地址、I協(xié)議類型、ICMP類型、TCP源/目的端口、UDP源/目的端口號、生效時間段等來定義規(guī)則。如果需要更復(fù)雜的授權(quán)規(guī)則，則需要將用戶訪問流量通過路由表等方式引流到接入的管控設(shè)備上。

3

UCL

用戶控制列表UCL組（User Control List）是網(wǎng)絡(luò)成員的集合。UCL組里面的成員，可以是PC、手機(jī)等網(wǎng)絡(luò)終端設(shè)備。借助UCL組，管理員可以將具有相同網(wǎng)絡(luò)訪問策略的一類用戶劃分為同一個組，然后為其部署一組網(wǎng)絡(luò)訪問策略，滿足該類別所有用戶的網(wǎng)絡(luò)訪問需求。相對于為每個用戶部署網(wǎng)絡(luò)訪問策略，基于UCL組的網(wǎng)絡(luò)控制方案能夠極大的減少管理員的工作量。

除此之外，管理員還可以通過認(rèn)證服務(wù)端的計費/審計功能，查看用戶/終端設(shè)備的訪問記錄，以確定特定用戶有無越權(quán)訪問情況。

四

結(jié)語

綜上所述，企業(yè)可以根據(jù)不同的場景以及不同的安全需求，使用802.1x結(jié)合交換設(shè)備以及AAA認(rèn)證服務(wù)端實現(xiàn)用戶終端的安全驗證接入、網(wǎng)絡(luò)管控、日志審計等功能，從多維度保障企業(yè)的網(wǎng)絡(luò)安全以及數(shù)據(jù)安全。

審核編輯 黃宇