隨著網絡應用的日趨復雜,計算機終端已不再是傳統意義上我們所理解的“終端”,它不僅是內網中網線所連接的PC機,更是網絡中大部分事物的起點和源頭——是用戶登錄并訪問網絡的起點、是用戶透過內網訪問Internet的起點、是應用系統訪問和數據產生的起點;更是病毒攻擊的源頭、從內部發起的惡意攻擊的源頭和內部保密數據盜用或失竊的源頭。因此,也只有通過完善的終端安全管理才能夠真正從源頭上控制各種事件的源頭、遏制由內網發起的攻擊和破壞。
在內網安全管理中,準入控制是所有終端管理功能實現的基礎所在,采用準入控制技術能夠主動監控桌面電腦的安全狀態和管理狀態,將不安全的電腦隔離、進行修復。準入控制技術與傳統的網絡安全技術如防火墻、防病毒技術結合,將被動防御變為主動防御,能夠有效促進內網合規建設,減少網絡事故。
目前的準入控制技術主要分為兩大類:基于網絡的準入控制和基于主機的準入控制。基于網絡的準入控制主要有EAPOL(Extensible Authentication Protocol Over LAN)技術、EAPOU(Extensible Authentication Protocol Over UDP)技術;基于主機的準入控制主要有應用準入控制、客戶端準入控制。
1.基于網絡的準入控制
EAPOL
EAP是Extensible Authentication Protocol的縮寫,EAP最初作為PPP的擴展認證協議,使PPP的認證更具安全性。無線局域網興起后,人們在無線局域網接入領域引入了EAP認證,同時設計了專門封裝和傳送EAP認證數據的IEEE 802.1x協議格式。802.1x協議除了支持WLAN外,也支持傳統的其他局域網類型,比如以太網、FDDI、Token Ring。EAP與802.1x的結合就是EAPOL(EAP Over LAN),或者稱為EAP over 802.1x。作為一種標準局域網的數據包協議,802.1x幾乎得到所有網絡設備廠商的支持。
EAPOL不僅能用來解決終端電腦身份認證的問題,也可以用來認證電腦的安全狀態。在進行身份認證的同時,“順便”檢查終端電腦的安全狀態,并能根據認證狀態設置端口狀態,動態切換VLAN,或者下載ACL列表。因為802.1x協議被網絡廠商廣泛支持,所以EAPOL是支持范圍最廣的網絡準入技術。EAPOL的優點是它可以做到最嚴格的準入控制,控制點是網絡的接入層交換機,最接近終端電腦,對不符合策略的電腦可以完全禁止其訪問任何網絡,使其對網絡的危害最小。
EAPOL除了需要網絡設備支持以外,還需要一系列相關配套的軟件,比如Cisco的NAC、H3C的EAD、啟明星辰的天珣內網安全風險管理與審計系統等。
EAPOU
網絡準入的概念是由Cisco普及的,Cisco的NAC除了包含前面討論的EAPOL,還有EAPOU(EAP Over UDP)。與EAPOL國際標準協議不同的是,EAPOU是Cisco的專有協議,即獨家技術。EAPOU是Cisco NAC技術的第一個實現版本,2003年最早在Cisco的路由器上實現,后來在Cisco的3層交換機上也實現了EAPOU。EAPOL是在網絡接入層進行準入控制,而EAPOU則是在網絡的匯聚層或核心層進行準入控制。
EAPOU的工作原理是當支持EAPOU的匯聚層設備接收到終端設備發來的數據包時,匯聚層EAPOU設備將要求終端設備進行EAP認證。EAP認證包封裝在UDP包內,在EAP認證的內容中,身份認證其實并不重要,重要的則是安全狀態認證。如果安全狀態不符合企業策略,匯聚層EAPOU設備將從策略服務器上下載ACL,限制不安全的客戶端的網絡訪問,并對其進行修復。
EAPOU技術的優點是它對網絡接入設備要求不高,因而覆蓋面較高; 而且匯聚層設備一般明顯少于接入層設備,因此部署相對要容易一些。目前支持EAPOU的設備只有Cisco的路由器和3層交換機,相關配套的系列軟件為NAC。
2.基于主機的準入控制
如果用戶的網絡設備不支持網絡準入,或不想花費太多的部署和管理時間,還可以進行基于主機的準入控制。在此處主機是指網絡中除網絡設備之外的電腦主機,包括服務器和電腦終端。基于主機的準入控制最大特點就是容易部署。
系統及應用準入是在服務器的操作系統上安裝準入控制軟件,當電腦終端訪問服務器時,準入控制軟件會檢查對方的安全狀態,如果符合策略則允許訪問,如果不符合將拒絕對方的訪問,并給出相關提示。而客戶端準入控制是終端相互之間進行訪問時,安裝在終端上的軟件也會檢查對方的安全狀態。基于主機的準入控制點一般安裝在代理服務器、郵件服務器、內網Web服務器、DNS服務器上或DHCP服務器上。這些服務器是企業內部員工最常訪問的服務器,因此準入效果較好,覆蓋面廣。實際部署時,一般只需在一到兩個服務器上部署控制點即可做到對全局的準入控制。
基于主機的準入控制優點首先是容易部署,一般網絡準入配置起來都較復雜,不同型號的設備的配置都各不相同,如果網絡規模較大,配置的工作量極其巨大,而基于主機的準入控制只需要在對應的主機上安裝一個軟件,相對而言容易得多。第二是適應性好、覆蓋面廣、不依賴任何網絡設備的支持,可有效保護企業已有的投資。第三是對網絡性能沒有影響,基于網絡的準入控制在運行時會根據客戶端的認證狀態和安全狀態改變自己的狀態,比如VLAN切換和動態ACL加載,這或多或少都將影響設備或網絡的性能,特別是在大規模網絡環境下,這一點不能忽視。基于主機的準入控制將其控制分散到每個終端和主機上,終端的狀態變化對網絡沒有任何影響。第四是其訪問控制功能是所有方案中最強的,基于主機的準入控制能夠做到基于進程的訪問控制,以及基于進程的帶寬管理,因此對蠕蟲、木馬的防治就能更加積極主動。基于主機的準入控制的缺點主要是控制強度較弱,系統及應用準入控制點處于企業網絡的核心,遠離終端,而客戶端準入依賴于網絡中已經廣泛部署的客戶端。
目前采用基于主機的準入控制技術的產品主要有微軟的NAP、啟明星辰的天珣內網安全風險管理與審計系統等。
作為內網終端計算機的信息中心和管理平臺,啟明星辰天珣內網安全風險管理與審計系統全面的多層準入控制機制構建出完善的內網“安檢”系統,支持包含802.1X協議、EOU協議的網絡準入控制、支持在DHCP、DNS、EXCHANGE等服務器上配置策略網關的應用準入控制,在通過以上二種認證準入機制合法進入內網的終端之間,還可以進一步進行客戶端準入控制,目前更可支持與啟明星辰天清漢馬USG一體化安全網關(UTM)的防火墻聯動準入控制。利用多種準入控制模式的有機組合,天珣能夠各取所長、協同防御,引領了內網安全管理模式的變革,改變了以“被動的、以事件驅動”為特征的傳統內網安全管理模式,全面提升內網安全防護級別和準入控制能力,幫助用戶構建起安全可信的合規內網。
