5.4　準(zhǔn)入安全

討論完局域網(wǎng)安全，下面來(lái)介紹準(zhǔn)入安全。本節(jié)將準(zhǔn)入安全分為有線準(zhǔn)入、無(wú)線準(zhǔn)入和撥入準(zhǔn)入3個(gè)部分。

5.4.1　有線準(zhǔn)入

IEEE 802.1X是工業(yè)化標(biāo)準(zhǔn)，是基于端口的認(rèn)證和授權(quán)技術(shù)。如圖5-12所示為簡(jiǎn)化的802.1X模型示意。

在802.1X的工作環(huán)境中有3個(gè)角色，即懇求者、認(rèn)證者和認(rèn)證服務(wù)器。一般來(lái)說(shuō)，懇求者由用戶PC充當(dāng)，認(rèn)證者由交換機(jī)或無(wú)線控制器充當(dāng)，認(rèn)證服務(wù)器由RADIUS服務(wù)器充當(dāng)。注意，802.1X只支持RADIUS服務(wù)。

802.1X的工作特點(diǎn)是由懇求者和認(rèn)證服務(wù)器直接使用EAP（擴(kuò)展認(rèn)證協(xié)議）通信。

在工作過(guò)程中，從懇求者到認(rèn)證者使用EAP over LAN，從認(rèn)證者到認(rèn)證服務(wù)器使用EAP over RADIUS。

802.1X認(rèn)證者能夠與懇求者組件兼容，也可以與一些特殊的應(yīng)用程序進(jìn)行交互。可以通過(guò)MAC地址對(duì)那些不能支持802.1X的設(shè)備進(jìn)行認(rèn)證，如IP Phones、打印機(jī)，也就是MAB（Mac Authentication Bypass）。可以設(shè)置不同的授權(quán)策略（VLAN|ACL|IP），使用802.1X實(shí)現(xiàn)動(dòng)態(tài)VLAN劃分。另一種dynamic VLAN的配置方法是使用交換機(jī)配置Mac Address Database，來(lái)實(shí)現(xiàn)dynamic VLAN劃分。

802.1X是基于端口的認(rèn)證和授權(quán)技術(shù)。也就是說(shuō)，當(dāng)一臺(tái)交換機(jī)接口開(kāi)啟802.1X時(shí)，在這個(gè)接口連接一臺(tái)HUB或一臺(tái)不支持802.1X的AP，這時(shí)802.1X的認(rèn)證就存在一個(gè)漏洞。如果任意一個(gè)人能夠提交用戶認(rèn)證并認(rèn)證成功，那么接在這個(gè)HUB或AP上的其他所有用戶都能訪問(wèn)內(nèi)網(wǎng)。對(duì)于此問(wèn)題通常有兩種解決方法：一種是如果交換機(jī)太舊可以配合端口安全，指定MAC地址來(lái)緩解此類(lèi)問(wèn)題；另一種是如果交換機(jī)是新型號(hào)，可以設(shè)置host mode來(lái)解決此類(lèi)問(wèn)題。

關(guān)于接口授權(quán)狀態(tài)描述：當(dāng)一個(gè)接口開(kāi)啟802.1X功能以后，此接口默認(rèn)處于未授權(quán)狀態(tài)，在此狀態(tài)下，接口只接收和發(fā)送EAP包，不做正常流量轉(zhuǎn)發(fā)。當(dāng)有設(shè)備接入時(shí)，會(huì)激活認(rèn)證要求，如果認(rèn)證成功，此接口轉(zhuǎn)為授權(quán)狀態(tài)。當(dāng)接口處于授權(quán)狀態(tài)時(shí)，可以進(jìn)行正常流量轉(zhuǎn)發(fā)。

802.1X是二層技術(shù)，也就是說(shuō)，要完成802.1X認(rèn)證不需要提前為終端分配IP地址。

除了傳統(tǒng)的802.1X，網(wǎng)絡(luò)準(zhǔn)入控制（NAC）還應(yīng)包含如下內(nèi)容。

（1）策略生命周期管理：對(duì)所有操作場(chǎng)景強(qiáng)制執(zhí)行策略，而不需要單獨(dú)的產(chǎn)品或附加模塊。

（2）分析和可見(jiàn)性：在惡意代碼造成損壞之前識(shí)別和分析用戶及其設(shè)備。

（3）來(lái)賓網(wǎng)絡(luò)訪問(wèn)：通過(guò)一個(gè)可定制的自助服務(wù)門(mén)戶（包括來(lái)賓注冊(cè)、來(lái)賓身份驗(yàn)證、來(lái)賓贊助和來(lái)賓管理門(mén)戶）管理來(lái)賓。

（4）安全狀態(tài)檢查：根據(jù)用戶類(lèi)型、設(shè)備類(lèi)型和操作系統(tǒng)來(lái)評(píng)估安全策略是否符合要求。

（5）事件響應(yīng)：通過(guò)實(shí)施安全策略來(lái)減輕網(wǎng)絡(luò)威脅，這些策略可以阻止、隔離和修復(fù)不符合要求的計(jì)算機(jī)，而無(wú)須管理員的注意。

（6）雙向集成：通過(guò)開(kāi)放API接口與其他安全和網(wǎng)絡(luò)解決方案集成。

5.4.2　無(wú)線準(zhǔn)入

在無(wú)線環(huán)境下，最常用的認(rèn)證方式是Web認(rèn)證，Web身份驗(yàn)證使無(wú)線控制器在特定客戶端正確提供有效的用戶名和密碼之前，不允許來(lái)自特定客戶端的IP流量（DHCP和DNS相關(guān)數(shù)據(jù)包除外）。它是一種簡(jiǎn)單的身份驗(yàn)證方法，不需要請(qǐng)求方或客戶機(jī)提前安裝程序。Web身份驗(yàn)證通常由希望部署來(lái)賓訪問(wèn)網(wǎng)絡(luò)的客戶使用。需要注意的是，Web身份驗(yàn)證不提供數(shù)據(jù)加密。Web身份驗(yàn)證通常用作“熱點(diǎn)”或校園氛圍中的簡(jiǎn)單訪客訪問(wèn)，其唯一關(guān)心的是連接性。

Web身份驗(yàn)證過(guò)程如下。

（1）用戶打開(kāi)Web瀏覽器并輸入U(xiǎn)RL，如http://www.×××.com。客戶端發(fā)送此URL的DNS請(qǐng)求以獲取目標(biāo)的IP。無(wú)線控制器繞過(guò)DNS請(qǐng)求到DNS服務(wù)器，DNS服務(wù)器以包含目標(biāo)www.×××.com的IP地址的DNS回復(fù)進(jìn)行響應(yīng)，反過(guò)來(lái)又被轉(zhuǎn)發(fā)到無(wú)線客戶端。

（2）客戶端嘗試與目標(biāo)IP地址建立TCP連接。它發(fā)給www.×××.com的IP地址一個(gè)TCP SYN包。

（3）無(wú)線控制器為客戶端配置了規(guī)則，因此可以充當(dāng)www.×××.com的代理。它將一個(gè)TCP SYN-ACK包發(fā)回客戶端，源地址是www.×××.com的IP地址。客戶端發(fā)回一個(gè)TCP ACK包，完成TCP三次握手，并建立TCP連接。

（4）客戶端給www.×××.com發(fā)送一個(gè)HTTP GET數(shù)據(jù)包。無(wú)線控制器截獲這個(gè)包并進(jìn)行重定向。HTTP應(yīng)用程序網(wǎng)關(guān)準(zhǔn)備一個(gè)HTML主體，并將其作為對(duì)客戶端請(qǐng)求的HTTP GET的回復(fù)發(fā)送回去。此HTML將客戶端轉(zhuǎn)到無(wú)線控制器的默認(rèn)網(wǎng)頁(yè)URL，如http://<virtual server ip>/login.html。

（5）客戶端關(guān)閉與IP地址的TCP連接。

（6）現(xiàn)在，客戶端希望轉(zhuǎn)到http://×.×.×.×/login.html。因此，客戶端嘗試打開(kāi)一個(gè)到無(wú)線控制器虛擬IP地址的TCP連接。它向無(wú)線控制器發(fā)送×.×.×.×的TCP SYN包。

（7）無(wú)線控制器以TCP SYN-ACK響應(yīng)，客戶端將TCP ACK發(fā)回?zé)o線控制器以完成握手。

（8）客戶端發(fā)送一個(gè)http get for/login.html，目的地是×.×.×.×，以便請(qǐng)求登錄頁(yè)面。

（9）這個(gè)請(qǐng)求被轉(zhuǎn)發(fā)到無(wú)線控制器的Web服務(wù)器上，服務(wù)器用默認(rèn)的登錄頁(yè)面進(jìn)行響應(yīng)。客戶端在瀏覽器窗口上接收登錄頁(yè)面，用戶可以在其中繼續(xù)登錄，完成認(rèn)證。

5.4.3　撥入準(zhǔn)入

通常在規(guī)劃接入安全時(shí)總是會(huì)想到內(nèi)網(wǎng)接入，包括有線和無(wú)線網(wǎng)絡(luò)，但是往往忽略了VPN接入。大多企業(yè)對(duì)于VPN的撥入安全的主要關(guān)注點(diǎn)在認(rèn)證方式上，如選擇多因子認(rèn)證的方式提高安全性。但是在威脅日新月異的今天，僅關(guān)注認(rèn)證已經(jīng)無(wú)法滿足VPN接入的安全性需求了。

VPN準(zhǔn)入功能是由主機(jī)掃描模塊來(lái)實(shí)現(xiàn)的，主機(jī)掃描是一個(gè)安裝在遠(yuǎn)程設(shè)備上的軟件，當(dāng)用戶連接到VPN服務(wù)器之后，在用戶登錄之前安裝。通常主機(jī)掃描由基本功能模塊、終端評(píng)估模塊和高級(jí)端點(diǎn)評(píng)估模塊的任意組合組成。

1. 基本功能

主機(jī)掃描自動(dòng)識(shí)別任意遠(yuǎn)程設(shè)備上的操作系統(tǒng)和服務(wù)包，建立無(wú)客戶端SSL VPN或任意連接VPN的客戶端會(huì)話。

也可以配置主機(jī)掃描來(lái)檢查終端的特定進(jìn)程、文件和注冊(cè)表項(xiàng)。它在整個(gè)隧道建立之前執(zhí)行所有的檢查，并將這些信息發(fā)送給VPN服務(wù)器，以區(qū)分公司擁有的、個(gè)人的和公共的計(jì)算機(jī)。這些信息也可用于健康度評(píng)估。

2. 終端評(píng)估

終端評(píng)估是主機(jī)掃描的擴(kuò)展，它檢查遠(yuǎn)程計(jì)算機(jī)上運(yùn)行的防火墻，防病毒等安全軟件的版本和更新?tīng)顟B(tài)是否滿足安全策略要求。在VPN服務(wù)器向會(huì)話分配特定的動(dòng)態(tài)訪問(wèn)策略之前，可以使用此功能檢查終端條件以滿足用戶的需求。

3. 高級(jí)終端評(píng)估：反病毒、反間諜軟件和防火墻修復(fù)

（1）針對(duì)殺毒軟件組件的檢查可以強(qiáng)制文件系統(tǒng)保護(hù)啟用已禁用的殺毒軟件，以及強(qiáng)制病毒定義更新。如果反病毒定義在高級(jí)終端評(píng)估配置定義的天數(shù)內(nèi)沒(méi)有更新，就開(kāi)始更新病毒定義。

（2）反間諜軟件。如果反間諜軟件定義在高級(jí)終端評(píng)估配置定義的天數(shù)內(nèi)沒(méi)有更新，就開(kāi)始更新反間諜軟件定義。

（3）如果防火墻檢查發(fā)現(xiàn)設(shè)置和規(guī)則不滿足高級(jí)終端評(píng)估配置中定義的要求，就重新配置防火墻的設(shè)置和規(guī)則。