0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

浅谈终端安全接入

jf_73420541 来源:jf_73420541 作者:jf_73420541 2023-09-22 10:22 次阅读

前言:随着网络的发展,现代企业大多都会部署企业的有线网络与无线网络,在传统的企业网内,随着越来越多的终端设备接入到公司网络,管理人员控制和审计外部用户接入的企业办公网的难度和工作量也越来越大。而如果允许外部用户随意使用企业网络,则可能在管理人员和系统维护人员毫不知情的情况下,某些恶意用户侵入企业办公网络,从而造成数据泄露、病毒木马传播、恶意勒索以及数据攻击等严重问题。由此,针对企业网络亟需一套能够有效控制终端接入、审计以及分级管控的网络部署架构。
关键字:终端安全接入、802.1x、网络管控

接入协议802.1x

1

802.1x协议介绍

802.1x协议起源于802.11协议,后者是IEEE的无线局域网协议, 制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。IEEE802LAN协议定义的局域网并不提供接入认证,只要用户能接入局域网控制设备 (如LAN Switch)就可以访问局域网中的设备或资源。

802.1x协议是基于客户端/服务端的访问控制和认证协议,包括三个实体:客户端、接入设备和认证服务器。其可以限制未经授权的用户或者设备通过接入端口访问LAN/WLAN。认证系统每个物理端口内部包含有受控端口和非受控端口。非受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧,可随时保证接收认证请求者发出的EAPOL认证报文;受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。在认证通过之前,支持802.1x协议的交换设备只允许EAPOL(基于局域网的扩展认证协议)数据报文通过终端连接的交换机端口;认证通过后,用户或者终端的其他数据报文才能顺利地通过以太网端口进行后续的路由转发等动作。

2

终端、交换设备以及认证服务器需要满足的要求

▎用户终端

局域网用户终端设备,但必须是支持EAPOL的设备,可通过启动客户端设备上安装的802.1x客户端软件发起802.1x认证。目前大部分的台式机、笔记本以及手机都支持EAPOL。

▎交换设备端

支持802.1x协议的网络交换设备(如交换机),对所连接的客户端进行认证。它为客户端提供接入局域网的端口(物理端口或者逻辑端口)。

▎认证服务器

为交换设备端802.1x协议提供认证服务的设备,是真正进行认证的设备,实现对用户进行认证、授权和计费,通常为RADIUS服务器。通过需要在交换设备上配置认证服务器的IP端口信息

3

认证方式

EAP协议可以运行在各种底层,包括数据链路层和上层协议(如UDP、TCP等),可以不需要IP地址。因此使用EAP协议的802.1X认证具有良好的灵活性。在用户终端与交换设备端之间,EAP协议报文使用EAPoL(EAP over LANs)封装格式,直接承载于LAN环境中。

在交换设备端与认证服务器之间,用户可以根据客户端支持情况和网络安全要求来决定采用的认证方式。

▎EAP终结方式

EAP报文在设备端终结并重新封装到RADIUS报文中,利用标准RADIUS协议完成认证、授权和计费。在此方式下,不同的交换识别所能支持的认证扩展协议可能会有很大的区别,例如,华为的交换机一般仅支持MD5-Challenge方式。在需要安全性更高的场景下,EAP终结方式就无法满足要求。

▎EAP中继方式

EAP报文被直接封装到RADIUS报文中(EAP over RADIUS,简称为EAPoR),以便穿越复杂的网络到达认证服务器。

EAP中继方式的优点是设备端处理更简单,支持更多的认证方法,缺点则是认证服务器必须支持EAP,且处理能力要足够强。对于常用的EAP-TLS、EAP-TTLS、EAP-PEAP三种认证方式,EAP-TLS需要在客户端和服务器上加载证书,安全性最高,EAP-TTLS、EAP-PEAP需要在服务器上加载证书,但不需要在客户端加载证书,部署相对灵活,安全性较EAP-TLS低。

4

认证过程

802.1X认证有以下触发方式:●客户端发送EAPoL-Start报文触发认证●客户端发送DHCP/ARP/DHCPv6/ND或任意报文触发认证●设备以组播形式发送EAP-Request/Identity报文触发认证

由于Windows系统自带的802.1x认证程序不主动发送EAPoL-Start报文,因此一般认证的触发主要是通过客户端发送DHCP/ARP/DHCPv6/ND等报文触发。

802.1x中继方式的认证过程如下图所示:

wKgaomUM-lyAMd9UAAmkdMAZOJI185.png

上图中认证过程是由客户端主动发起的,即采用EAPoL-Start报文触发认证。

认证扩展协议

上文提到802.1x使用EAP进行验证信息交互,EAP它本身不是一个认证机制,而是一个通用架构,用来传输实际的认证协议。EAP的优点是当一个新的认证协议发展出来的时候,基础的EAP机制不需要随着改变。

EAP是一组以插件模块的形式为任何EAP类型提供结构支持的内部组件,它的设计理念是满足任何链路层的身份验证需求,支持多种链路层认证方式。EAP协议是IEEE802.1x认证机制的核心,它将实现细节交由附属的EAP Method协议完成,如何选取EAP method由认证系统特征决定。这样实现了EAP的扩展性及灵活性,如图所示,EAP可以提供不同的方法分别支持PPP,以太网、无线局域网的链路验证。

EAP可分为四层:EAP底层,EAP层,EAP对等和认证层和EAP方法层。

wKgaomUM-miAZSHkAAeEKSKChks120.png

EAP底层负责转发和接收被认证端(peer)和认证端之间的EAP帧报文;EAP层接收和转发通过底层的EAP包;EAP对等和认证层在EAP对等层和EAP认证层之间对到来的EAP包进行多路分离;EAP方法层实现认证算法接收和转发EAP信息。基于EAP衍生了许多认证协议,如EAP-MD5、EAP-TLS以及EAP-TTLS等。

如果现有的扩展方法无法满足实际的应用需求时,企业可以根据自己的需求开发自己的扩展方法,并以插件的方式融入到EAP中。如:在进行认证时,认证报文中,除了基本的身份认证外,还可以携带终端的其他信息:病毒库版本、漏洞修复情况、终端设备标识以及终端所处网络等信息,以供后续身份认证使用。

网络访问授权

802.1x不仅可以用于认证确认尝试接入网络的终端设备是否合法,还可以使用授权功能指定通过认证的终端所能拥有的网络访问权限,即用户能访问哪些资源。授权最常使用的基本授权参数有:VLANACL和UCL组。

1

VLAN

为了将受限的网络资源与未认证用户隔离,通常将受限的网络资源和未认证的用户划分到不同的VLAN。用户认证成功后,认证服务器将指定VLAN授权给用户。此时,设备会将用户所属的VLAN修改为授权的VLAN,授权的VLAN并不改变接口的配置。但是,授权的VLAN优先级高于用户配置的VLAN,即用户认证成功后生效的VLAN是授权的VLAN,用户配置的VLAN在用户下线后生效。

2

ACL

用户认证成功后,认证服务器将指定ACL授权给用户,则设备会根据该ACL对用户报文进行控制。

●如果用户报文匹配到该ACL中动作为“允许”的规则,则允许其通过;●如果用户报文匹配到该ACL中动作为“阻止”的规则,则将其丢弃。

ACL规则支持使用IPv4/IPv6报文的源地址、目的地址、I协议类型、ICMP类型、TCP源/目的端口、UDP源/目的端口号、生效时间段等来定义规则。如果需要更复杂的授权规则,则需要将用户访问流量通过路由表等方式引流到接入的管控设备上。

3

UCL

用户控制列表UCL组(User Control List)是网络成员的集合。UCL组里面的成员,可以是PC、手机等网络终端设备。借助UCL组,管理员可以将具有相同网络访问策略的一类用户划分为同一个组,然后为其部署一组网络访问策略,满足该类别所有用户的网络访问需求。相对于为每个用户部署网络访问策略,基于UCL组的网络控制方案能够极大的减少管理员的工作量。

除此之外,管理员还可以通过认证服务端的计费/审计功能,查看用户/终端设备的访问记录,以确定特定用户有无越权访问情况。

结语

综上所述,企业可以根据不同的场景以及不同的安全需求,使用802.1x结合交换设备以及AAA认证服务端实现用户终端的安全验证接入、网络管控、日志审计等功能,从多维度保障企业的网络安全以及数据安全。

审核编辑 黄宇

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 局域网
    +关注

    关注

    5

    文章

    751

    浏览量

    46277
  • 802.1x协议
    +关注

    关注

    0

    文章

    3

    浏览量

    5536
  • 终端接入
    +关注

    关注

    0

    文章

    2

    浏览量

    6420
收藏 人收藏

    评论

    相关推荐

    ZigBee接入EPA网络的安全策略

    ZigBee接入EPA网络的安全策略针对ZigBee技术的特点,结合EPA控制网络的安全规范与工业现场实际应用的需要,提出ZigBee接入EPA网络的
    发表于 03-19 16:47

    防爆电路如何接入安全

    转载自中仪在线工况条件下,经常会遇到电路中包含本安型防爆电磁阀、本安型防爆行程开关、防爆控制箱和安全栅,在这种情况下安全栅应该怎么接入呢,是放在电磁阀的控制箱内还是别的区域,下面是本人的一点见解:1
    发表于 12-25 15:14

    浅谈FPGA在安全产品中有哪些应用?

    浅谈FPGA在安全产品中有哪些应用?
    发表于 05-08 06:36

    关于无线接入安全机制的汇总

    介绍移动通信中的无线接入安全机制
    发表于 05-28 06:17

    怎么实现基于TC35模块的无线接入终端设计?

    本文采用TC35模块设计的无线接入终端具备与PSTN普通有人值守公话相同的功能,帮助移动运营商占领广阔的固定电话公话市场。
    发表于 05-31 06:57

    基于TNC的安全接入系统的设计与实现

    为了保证网络安全,将威胁隔离在受保护的网络之外,需要在主机接入网络以前对其进行健康状况评估,只允许符合既定安全策略的主机接入网络。针对上述问题,本文基于可信网络连接T
    发表于 02-26 16:01 15次下载

    无线接入网关终端保持接入设计与实现

    分析了WiMax网络架构标准中现有的终端接入方案的缺陷,提出并实现了一种在终端保持的接入方案,即终端出现异常并在短时间内重新接入时,
    发表于 02-23 14:43 10次下载
    无线<b class='flag-5'>接入</b>网关<b class='flag-5'>终端</b>保持<b class='flag-5'>接入</b>设计与实现

    宽带无线接入终端的测试技术和分析

    无线接入 是指从交换节点到用户终端之间,部分或全部采用了无线手段。典型的无线接入系统主要由控制器、操作维护中心、基站、固定用户单元和移动终端等几个部分组成。 控制器
    发表于 07-05 10:59 40次下载
    宽带无线<b class='flag-5'>接入</b><b class='flag-5'>终端</b>的测试技术和分析

    浅谈当代安全验证问题

    浅谈当代安全验证问题
    发表于 09-07 10:55 3次下载
    <b class='flag-5'>浅谈</b>当代<b class='flag-5'>安全</b>验证问题

    基于TrustZone的移动终端云服务安全接入方案

    可信云架构为云计算用户提供了安全可信的云服务执行环境,保护了用户私有数据的计算与存储安全.然而在移动云计算高速发展的今天,仍然没有移动终端接入可信云服务的安全解决方案,针对上述问题,提
    发表于 01-13 09:59 0次下载
    基于TrustZone的移动<b class='flag-5'>终端</b>云服务<b class='flag-5'>安全</b><b class='flag-5'>接入</b>方案

    电力终端通信接入网运行

    电力终端通信接入网服务于电网,为电网提供可靠通道支撑,有助于提升电网服务质量。电力终端通信接入网是电力系统主干传输网的重要组成部分,用于满足配用电业务的通信需求。目前的电力
    发表于 02-05 10:40 1次下载

    浅谈电源转换装置逆变器的安全性考核

    浅谈电源转换装置逆变器的安全性考核
    的头像 发表于 08-21 16:53 2451次阅读

    新形势下的网络终端安全挑战,为终端安全一体化打造“新基建”

    网络准入(NAC)并不是一个年轻的概念,随着技术的进步,我们可以把不同的人员,各种接入方式,多样的终端,应用服务器以及业务数据都纳入到IT运维的“棋盘”上来,实现终端安全一体化防护。另
    的头像 发表于 10-21 14:13 4411次阅读

    基于基于GPRS/CDMA和CSP实现移动IPSec VPN安全接入终端系统的设计

    由于移动公网的广泛发展和手机PDA 的大力普及,移动终端作为固网上业务服务器的访问接入终端也变得越来越常见。然而,移动终端通过基于GPRS/CDMA的移动公网
    的头像 发表于 03-29 10:28 2267次阅读
    基于基于GPRS/CDMA和CSP实现移动IPSec VPN<b class='flag-5'>安全</b><b class='flag-5'>接入</b><b class='flag-5'>终端</b>系统的设计

    基于MPC823微处理器和Linux实现视频网络接入终端的设计

    世界已经进入了Internet时代,嵌入式系统接入Internet已成为网络接入重要的基础信息设施。嵌入式的网络接人设备系统广泛应用在工业的控制系统中、交通监控系统、银行证券操作与安全监控、智能仪器
    的头像 发表于 05-22 09:20 2396次阅读
    基于MPC823微处理器和Linux实现视频网络<b class='flag-5'>接入</b><b class='flag-5'>终端</b>的设计