在內(nèi)網(wǎng)安全管理中,準(zhǔn)入控制是所有終端管理功能實現(xiàn)的基礎(chǔ)所在���,采用準(zhǔn)入控制技術(shù)能夠主動監(jiān)控桌面電腦的安全狀態(tài)和管理狀態(tài)�,將不安全的電腦隔離、進行修復(fù)��。準(zhǔn)入控制技術(shù)與傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)如防火墻��、防病毒技術(shù)結(jié)合��,將被動防御變?yōu)橹鲃臃烙�,能夠有效促進內(nèi)網(wǎng)合規(guī)建設(shè),減少網(wǎng)絡(luò)事故����。
目前的準(zhǔn)入控制技術(shù)主要分為兩大類:基于網(wǎng)絡(luò)的準(zhǔn)入控制和基于主機的準(zhǔn)入控制�;诰W(wǎng)絡(luò)的準(zhǔn)入控制主要有EAPOL(Extensible Authentication Protocol Over LAN)技術(shù)、EAPOU(Extensible Authentication Protocol Over UDP)技術(shù);基于主機的準(zhǔn)入控制主要有應(yīng)用準(zhǔn)入控制�、客戶端準(zhǔn)入控制。
1. 基于網(wǎng)絡(luò)的準(zhǔn)入控制
EAPOL
EAP是Extensible Authentication Protocol的縮寫���,EAP最初作為PPP的擴展認證協(xié)議��,使PPP的認證更具安全性。無線局域網(wǎng)興起后���,人們在無線局域網(wǎng)接入領(lǐng)域引入了EAP認證�����,同時設(shè)計了專門封裝和傳送EAP認證數(shù)據(jù)的IEEE 802.1x協(xié)議格式�����。802.1x協(xié)議除了支持WLAN外�,也支持傳統(tǒng)的其他局域網(wǎng)類型,比如以太網(wǎng)�����、FDDI����、Token Ring。EAP與802.1x的結(jié)合就是EAPOL(EAP Over LAN)�����,或者稱為EAP over 802.1x�����。作為一種標(biāo)準(zhǔn)局域網(wǎng)的數(shù)據(jù)包協(xié)議����,802.1x幾乎得到所有網(wǎng)絡(luò)設(shè)備廠商的支持���。
EAPOL不僅能用來解決終端電腦身份認證的問題,也可以用來認證電腦的安全狀態(tài)��。在進行身份認證的同時��,“順便”檢查終端電腦的安全狀態(tài)���,并能根據(jù)認證狀態(tài)設(shè)置端口狀態(tài)��,動態(tài)切換VLAN�,或者下載ACL列表��。因為802.1x協(xié)議被網(wǎng)絡(luò)廠商廣泛支持��,所以EAPOL是支持范圍最廣的網(wǎng)絡(luò)準(zhǔn)入技術(shù)����。EAPOL的優(yōu)點是它可以做到最嚴格的準(zhǔn)入控制,控制點是網(wǎng)絡(luò)的接入層交換機����,最接近終端電腦,對不符合策略的電腦可以完全禁止其訪問任何網(wǎng)絡(luò)�����,使其對網(wǎng)絡(luò)的危害最小����。
EAPOL除了需要網(wǎng)絡(luò)設(shè)備支持以外,還需要一系列相關(guān)配套的軟件�,比如Cisco的NAC、H3C的EAD���、啟明星辰的天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)等�����。
EAPOU
網(wǎng)絡(luò)準(zhǔn)入的概念是由Cisco普及的����,Cisco的NAC除了包含前面討論的EAPOL�����,還有EAPOU(EAP Over UDP)��。與EAPOL國際標(biāo)準(zhǔn)協(xié)議不同的是,EAPOU是Cisco的專有協(xié)議�����,即獨家技術(shù)�����。EAPOU是Cisco NAC技術(shù)的第一個實現(xiàn)版本�,2003年最早在Cisco的路由器上實現(xiàn),后來在Cisco的3層交換機上也實現(xiàn)了EAPOU���。EAPOL是在網(wǎng)絡(luò)接入層進行準(zhǔn)入控制���,而EAPOU則是在網(wǎng)絡(luò)的匯聚層或核心層進行準(zhǔn)入控制。
EAPOU的工作原理是當(dāng)支持EAPOU的匯聚層設(shè)備接收到終端設(shè)備發(fā)來的數(shù)據(jù)包時����,匯聚層EAPOU設(shè)備將要求終端設(shè)備進行EAP認證。EAP認證包封裝在UDP包內(nèi)���,在EAP認證的內(nèi)容中��,身份認證其實并不重要�,重要的則是安全狀態(tài)認證。如果安全狀態(tài)不符合企業(yè)策略��,匯聚層EAPOU設(shè)備將從策略服務(wù)器上下載ACL�,限制不安全的客戶端的網(wǎng)絡(luò)訪問�,并對其進行修復(fù)。
EAPOU技術(shù)的優(yōu)點是它對網(wǎng)絡(luò)接入設(shè)備要求不高��,因而覆蓋面較高; 而且匯聚層設(shè)備一般明顯少于接入層設(shè)備�,因此部署相對要容易一些。目前支持EAPOU的設(shè)備只有Cisco的路由器和3層交換機�����,相關(guān)配套的系列軟件為NAC�。
2. 基于主機的準(zhǔn)入控制
如果用戶的網(wǎng)絡(luò)設(shè)備不支持網(wǎng)絡(luò)準(zhǔn)入,或不想花費太多的部署和管理時間�,還可以進行基于主機的準(zhǔn)入控制。在此處主機是指網(wǎng)絡(luò)中除網(wǎng)絡(luò)設(shè)備之外的電腦主機�,包括服務(wù)器和電腦終端���;谥鳈C的準(zhǔn)入控制最大特點就是容易部署����。
系統(tǒng)及應(yīng)用準(zhǔn)入是在服務(wù)器的操作系統(tǒng)上安裝準(zhǔn)入控制軟件,當(dāng)電腦終端訪問服務(wù)器時�����,準(zhǔn)入控制軟件會檢查對方的安全狀態(tài)�,如果符合策略則允許訪問,如果不符合將拒絕對方的訪問���,并給出相關(guān)提示�。而客戶端準(zhǔn)入控制是終端相互之間進行訪問時���,安裝在終端上的軟件也會檢查對方的安全狀態(tài)���。基于主機的準(zhǔn)入控制點一般安裝在代理服務(wù)器�����、郵件服務(wù)器��、內(nèi)網(wǎng)Web服務(wù)器�、DNS服務(wù)器上或DHCP服務(wù)器上。這些服務(wù)器是企業(yè)內(nèi)部員工最常訪問的服務(wù)器,因此準(zhǔn)入效果較好����,覆蓋面廣。實際部署時���,一般只需在一到兩個服務(wù)器上部署控制點即可做到對全局的準(zhǔn)入控制�。
基于主機的準(zhǔn)入控制優(yōu)點首先是容易部署����,一般網(wǎng)絡(luò)準(zhǔn)入配置起來都較復(fù)雜���,不同型號的設(shè)備的配置都各不相同����,如果網(wǎng)絡(luò)規(guī)模較大�����,配置的工作量極其巨大��,而基于主機的準(zhǔn)入控制只需要在對應(yīng)的主機上安裝一個軟件�����,相對而言容易得多。第二是適應(yīng)性好����、覆蓋面廣、不依賴任何網(wǎng)絡(luò)設(shè)備的支持����,可有效保護企業(yè)已有的投資。第三是對網(wǎng)絡(luò)性能沒有影響���,基于網(wǎng)絡(luò)的準(zhǔn)入控制在運行時會根據(jù)客戶端的認證狀態(tài)和安全狀態(tài)改變自己的狀態(tài)��,比如VLAN切換和動態(tài)ACL加載����,這或多或少都將影響設(shè)備或網(wǎng)絡(luò)的性能�����,特別是在大規(guī)模網(wǎng)絡(luò)環(huán)境下����,這一點不能忽視����;谥鳈C的準(zhǔn)入控制將其控制分散到每個終端和主機上�����,終端的狀態(tài)變化對網(wǎng)絡(luò)沒有任何影響��。第四是其訪問控制功能是所有方案中最強的��,基于主機的準(zhǔn)入控制能夠做到基于進程的訪問控制�,以及基于進程的帶寬管理����,因此對蠕蟲�����、木馬的防治就能更加積極主動�����;谥鳈C的準(zhǔn)入控制的缺點主要是控制強度較弱�����,系統(tǒng)及應(yīng)用準(zhǔn)入控制點處于企業(yè)網(wǎng)絡(luò)的核心�����,遠離終端�����,而客戶端準(zhǔn)入依賴于網(wǎng)絡(luò)中已經(jīng)廣泛部署的客戶端���。
目前采用基于主機的準(zhǔn)入控制技術(shù)的產(chǎn)品主要有微軟的NAP�、啟明星辰的天珣內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)等��。隨著內(nèi)網(wǎng)安全的不斷被企業(yè)重視�����,相信會有更多的廠商關(guān)注基于主機的安全準(zhǔn)入控制隊伍中來��。
