淺談終端安全接入

前言：隨著網(wǎng)絡的發(fā)展，現(xiàn)代企業(yè)大多都會部署企業(yè)的有線網(wǎng)絡與無線網(wǎng)絡，在傳統(tǒng)的企業(yè)網(wǎng)內(nèi)，隨著越來越多的終端設備接入到公司網(wǎng)絡，管理人員控制和審計外部用戶接入的企業(yè)辦公網(wǎng)的難度和工作量也越來越大。而如果允許外部用戶隨意使用企業(yè)網(wǎng)絡，則可能在管理人員和系統(tǒng)維護人員毫不知情的情況下，某些惡意用戶侵入企業(yè)辦公網(wǎng)絡，從而造成數(shù)據(jù)泄露、病毒木馬傳播、惡意勒索以及數(shù)據(jù)攻擊等嚴重問題。由此，針對企業(yè)網(wǎng)絡亟需一套能夠有效控制終端接入、審計以及分級管控的網(wǎng)絡部署架構(gòu)。
關(guān)鍵字：終端安全接入、802.1x、網(wǎng)絡管控

一

接入?yún)f(xié)議802.1x

1

802.1x協(xié)議介紹

802.1x協(xié)議起源于802.11協(xié)議，后者是IEEE的無線局域網(wǎng)協(xié)議， 制訂802.1x協(xié)議的初衷是為了解決無線局域網(wǎng)用戶的接入認證問題。IEEE802LAN協(xié)議定義的局域網(wǎng)并不提供接入認證，只要用戶能接入局域網(wǎng)控制設備 (如LAN Switch)就可以訪問局域網(wǎng)中的設備或資源。

802.1x協(xié)議是基于客戶端/服務端的訪問控制和認證協(xié)議,包括三個實體：客戶端、接入設備和認證服務器。其可以限制未經(jīng)授權(quán)的用戶或者設備通過接入端口訪問LAN/WLAN。認證系統(tǒng)每個物理端口內(nèi)部包含有受控端口和非受控端口。非受控端口始終處于雙向連通狀態(tài)，主要用來傳遞EAPOL協(xié)議幀，可隨時保證接收認證請求者發(fā)出的EAPOL認證報文;受控端口只有在認證通過的狀態(tài)下才打開，用于傳遞網(wǎng)絡資源和服務。在認證通過之前，支持802.1x協(xié)議的交換設備只允許EAPOL（基于局域網(wǎng)的擴展認證協(xié)議）數(shù)據(jù)報文通過終端連接的交換機端口；認證通過后，用戶或者終端的其他數(shù)據(jù)報文才能順利地通過以太網(wǎng)端口進行后續(xù)的路由轉(zhuǎn)發(fā)等動作。

2

終端、交換設備以及認證服務器需要滿足的要求

▎用戶終端

局域網(wǎng)用戶終端設備，但必須是支持EAPOL的設備，可通過啟動客戶端設備上安裝的802.1x客戶端軟件發(fā)起802.1x認證。目前大部分的臺式機、筆記本以及手機都支持EAPOL。

▎交換設備端

支持802.1x協(xié)議的網(wǎng)絡交換設備（如交換機），對所連接的客戶端進行認證。它為客戶端提供接入局域網(wǎng)的端口（物理端口或者邏輯端口）。

▎認證服務器

為交換設備端802.1x協(xié)議提供認證服務的設備，是真正進行認證的設備，實現(xiàn)對用戶進行認證、授權(quán)和計費，通常為RADIUS服務器。通過需要在交換設備上配置認證服務器的IP端口信息。

3

認證方式

EAP協(xié)議可以運行在各種底層，包括數(shù)據(jù)鏈路層和上層協(xié)議（如UDP、TCP等），可以不需要IP地址。因此使用EAP協(xié)議的802.1X認證具有良好的靈活性。在用戶終端與交換設備端之間，EAP協(xié)議報文使用EAPoL（EAP over LANs）封裝格式，直接承載于LAN環(huán)境中。

在交換設備端與認證服務器之間，用戶可以根據(jù)客戶端支持情況和網(wǎng)絡安全要求來決定采用的認證方式。

▎EAP終結(jié)方式

EAP報文在設備端終結(jié)并重新封裝到RADIUS報文中，利用標準RADIUS協(xié)議完成認證、授權(quán)和計費。在此方式下，不同的交換識別所能支持的認證擴展協(xié)議可能會有很大的區(qū)別，例如，華為的交換機一般僅支持MD5-Challenge方式。在需要安全性更高的場景下，EAP終結(jié)方式就無法滿足要求。

▎EAP中繼方式

EAP報文被直接封裝到RADIUS報文中（EAP over RADIUS，簡稱為EAPoR），以便穿越復雜的網(wǎng)絡到達認證服務器。

EAP中繼方式的優(yōu)點是設備端處理更簡單，支持更多的認證方法，缺點則是認證服務器必須支持EAP，且處理能力要足夠強。對于常用的EAP-TLS、EAP-TTLS、EAP-PEAP三種認證方式，EAP-TLS需要在客戶端和服務器上加載證書，安全性最高，EAP-TTLS、EAP-PEAP需要在服務器上加載證書，但不需要在客戶端加載證書，部署相對靈活，安全性較EAP-TLS低。

4

認證過程

802.1X認證有以下觸發(fā)方式：●客戶端發(fā)送EAPoL-Start報文觸發(fā)認證●客戶端發(fā)送DHCP/ARP/DHCPv6/ND或任意報文觸發(fā)認證●設備以組播形式發(fā)送EAP-Request/Identity報文觸發(fā)認證

由于Windows系統(tǒng)自帶的802.1x認證程序不主動發(fā)送EAPoL-Start報文，因此一般認證的觸發(fā)主要是通過客戶端發(fā)送DHCP/ARP/DHCPv6/ND等報文觸發(fā)。

802.1x中繼方式的認證過程如下圖所示：

上圖中認證過程是由客戶端主動發(fā)起的，即采用EAPoL-Start報文觸發(fā)認證。

二

認證擴展協(xié)議

上文提到802.1x使用EAP進行驗證信息交互，EAP它本身不是一個認證機制，而是一個通用架構(gòu)，用來傳輸實際的認證協(xié)議。EAP的優(yōu)點是當一個新的認證協(xié)議發(fā)展出來的時候，基礎(chǔ)的EAP機制不需要隨著改變。

EAP是一組以插件模塊的形式為任何EAP類型提供結(jié)構(gòu)支持的內(nèi)部組件，它的設計理念是滿足任何鏈路層的身份驗證需求，支持多種鏈路層認證方式。EAP協(xié)議是IEEE802.1x認證機制的核心，它將實現(xiàn)細節(jié)交由附屬的EAP Method協(xié)議完成，如何選取EAP method由認證系統(tǒng)特征決定。這樣實現(xiàn)了EAP的擴展性及靈活性，如圖所示，EAP可以提供不同的方法分別支持PPP，以太網(wǎng)、無線局域網(wǎng)的鏈路驗證。

EAP可分為四層：EAP底層，EAP層，EAP對等和認證層和EAP方法層。

EAP底層負責轉(zhuǎn)發(fā)和接收被認證端（peer）和認證端之間的EAP幀報文；EAP層接收和轉(zhuǎn)發(fā)通過底層的EAP包；EAP對等和認證層在EAP對等層和EAP認證層之間對到來的EAP包進行多路分離；EAP方法層實現(xiàn)認證算法接收和轉(zhuǎn)發(fā)EAP信息。基于EAP衍生了許多認證協(xié)議，如EAP-MD5、EAP-TLS以及EAP-TTLS等。

如果現(xiàn)有的擴展方法無法滿足實際的應用需求時，企業(yè)可以根據(jù)自己的需求開發(fā)自己的擴展方法，并以插件的方式融入到EAP中。如：在進行認證時，認證報文中，除了基本的身份認證外，還可以攜帶終端的其他信息：病毒庫版本、漏洞修復情況、終端設備標識以及終端所處網(wǎng)絡等信息，以供后續(xù)身份認證使用。

三

網(wǎng)絡訪問授權(quán)

802.1x不僅可以用于認證確認嘗試接入網(wǎng)絡的終端設備是否合法，還可以使用授權(quán)功能指定通過認證的終端所能擁有的網(wǎng)絡訪問權(quán)限，即用戶能訪問哪些資源。授權(quán)最常使用的基本授權(quán)參數(shù)有：VLAN、ACL和UCL組。

1

VLAN

為了將受限的網(wǎng)絡資源與未認證用戶隔離，通常將受限的網(wǎng)絡資源和未認證的用戶劃分到不同的VLAN。用戶認證成功后，認證服務器將指定VLAN授權(quán)給用戶。此時，設備會將用戶所屬的VLAN修改為授權(quán)的VLAN，授權(quán)的VLAN并不改變接口的配置。但是，授權(quán)的VLAN優(yōu)先級高于用戶配置的VLAN，即用戶認證成功后生效的VLAN是授權(quán)的VLAN，用戶配置的VLAN在用戶下線后生效。

2

ACL

用戶認證成功后，認證服務器將指定ACL授權(quán)給用戶，則設備會根據(jù)該ACL對用戶報文進行控制。

●如果用戶報文匹配到該ACL中動作為“允許”的規(guī)則，則允許其通過；●如果用戶報文匹配到該ACL中動作為“阻止”的規(guī)則，則將其丟棄。

ACL規(guī)則支持使用IPv4/IPv6報文的源地址、目的地址、I協(xié)議類型、ICMP類型、TCP源/目的端口、UDP源/目的端口號、生效時間段等來定義規(guī)則。如果需要更復雜的授權(quán)規(guī)則，則需要將用戶訪問流量通過路由表等方式引流到接入的管控設備上。

3

UCL

用戶控制列表UCL組（User Control List）是網(wǎng)絡成員的集合。UCL組里面的成員，可以是PC、手機等網(wǎng)絡終端設備。借助UCL組，管理員可以將具有相同網(wǎng)絡訪問策略的一類用戶劃分為同一個組，然后為其部署一組網(wǎng)絡訪問策略，滿足該類別所有用戶的網(wǎng)絡訪問需求。相對于為每個用戶部署網(wǎng)絡訪問策略，基于UCL組的網(wǎng)絡控制方案能夠極大的減少管理員的工作量。

除此之外，管理員還可以通過認證服務端的計費/審計功能，查看用戶/終端設備的訪問記錄，以確定特定用戶有無越權(quán)訪問情況。

四

結(jié)語

綜上所述，企業(yè)可以根據(jù)不同的場景以及不同的安全需求，使用802.1x結(jié)合交換設備以及AAA認證服務端實現(xiàn)用戶終端的安全驗證接入、網(wǎng)絡管控、日志審計等功能，從多維度保障企業(yè)的網(wǎng)絡安全以及數(shù)據(jù)安全。

審核編輯 黃宇