黃嶺 步文海

工程兵指揮學(xué)院教育技術(shù)中心 江蘇 221004

0 引言

網(wǎng)絡(luò)技術(shù)的日益更新帶來了動(dòng)態(tài)而無定式的網(wǎng)絡(luò)安全生態(tài)系統(tǒng)。復(fù)雜的網(wǎng)絡(luò)環(huán)境需要具有較高動(dòng)態(tài)性和可擴(kuò)展性的安全解決方案，以應(yīng)對(duì)不同類型的威脅和黑客攻擊。現(xiàn)今更多的安全技術(shù)解決方案已經(jīng)緊密地集成到了網(wǎng)絡(luò)的基礎(chǔ)結(jié)構(gòu)中。越來越多的實(shí)踐證明，大多數(shù)的安全漏洞源于網(wǎng)絡(luò)內(nèi)部，并且在一段時(shí)間內(nèi)并不能被檢測(cè)出來。最新的攻擊傳播速度也表明，系統(tǒng)安全更新(補(bǔ)丁)遠(yuǎn)落后于脆弱的系統(tǒng)被攻擊的速度，而且系統(tǒng)經(jīng)常在相應(yīng)廠商提供最新的更新程序之前就已經(jīng)遭受了攻擊。

當(dāng)終端登錄到網(wǎng)絡(luò)時(shí)，它就具有影響網(wǎng)絡(luò)安全的潛在的威脅，未遵循網(wǎng)絡(luò)安全策略(病毒庫(kù)過期、系統(tǒng)漏洞未修補(bǔ)等)的終端普遍存在于園區(qū)網(wǎng)中。難以被發(fā)現(xiàn)且無法有效控制，每當(dāng)它們連接網(wǎng)絡(luò)時(shí)，就增加了網(wǎng)絡(luò)的安全威脅。而傳統(tǒng)的安全產(chǎn)品和技術(shù)都是相互獨(dú)立工作的，如防火墻、訪問控制措施和入侵檢測(cè)和防護(hù)系統(tǒng)主要是面對(duì)網(wǎng)絡(luò)外部的攻擊的，并不能提供充足的防御來抵抗內(nèi)部的威脅。

目前的園區(qū)網(wǎng)終端安全接入技術(shù)的主要思路是從終端著手，通過管理員制定的安全策略，對(duì)接入園區(qū)網(wǎng)的主機(jī)進(jìn)行安全性檢測(cè)，自動(dòng)拒絕不安全的主機(jī)接入保護(hù)網(wǎng)絡(luò)直到這些主機(jī)符合網(wǎng)絡(luò)內(nèi)的安全策略為止。具有代表性的技術(shù)包括：思科的網(wǎng)絡(luò)接入控制技術(shù)(NAC)、微軟的網(wǎng)絡(luò)訪問保護(hù)技術(shù)(NAP)以及TCG組織的可信網(wǎng)絡(luò)連接(TNC)技術(shù)等。本文將依據(jù)思科的 NAC框架技術(shù)來給出園區(qū)網(wǎng)終端安全接入的設(shè)計(jì)。

1 基于思科NAC框架的園區(qū)網(wǎng)終端安全接入系統(tǒng)設(shè)計(jì)

1.1 系統(tǒng)設(shè)計(jì)依據(jù)

網(wǎng)絡(luò)接入控制是一項(xiàng)由思科發(fā)起、多家廠商參與的網(wǎng)絡(luò)終端安全接入計(jì)劃，其宗旨是防止病毒和蠕蟲等新興黑客技術(shù)對(duì)企業(yè)網(wǎng)絡(luò)安全造成危害。借助NAC，網(wǎng)絡(luò)將只允許合法的、值得信任的終端設(shè)備(例如PC、服務(wù)器、PDA)接入網(wǎng)絡(luò)，而不允許其他設(shè)備的接入。

對(duì)于 NAC的解決方案，思科提出了兩種不同的形式。基于思科 NAC設(shè)備的解決方案和基于 NAC框架的解決方案。前者以NAC設(shè)備專用的思科清除訪問(CCA)為基礎(chǔ)，其并不依賴于第三方的產(chǎn)品和廠商，能夠提供自給自足的終端評(píng)估、策略管理和修復(fù)服務(wù)，由于它是思科包裝的解決方案，依賴于思科的網(wǎng)絡(luò)設(shè)備，所以適用于對(duì)全新網(wǎng)絡(luò)的設(shè)計(jì)規(guī)劃，而在已有的網(wǎng)絡(luò)實(shí)施中無法展開。

而基于 NAC框架的解決方案使用現(xiàn)有的網(wǎng)絡(luò)基本機(jī)構(gòu)和第三方廠商的解決方案，執(zhí)行與所有終端一致的安全策略，可以在已有的網(wǎng)絡(luò)中實(shí)施，無需投入新的設(shè)備，減少成本的開銷。在執(zhí)行接入控制時(shí)，網(wǎng)絡(luò)中的原有系統(tǒng)無需覆蓋。

基于 NAC框架的終端安全接入系統(tǒng)主要包含以下四個(gè)組件。

(1) 終端軟件：終端安全軟件包括反病毒軟件、安全代理軟件、個(gè)人防火墻和信任代理軟件。其中信任代理軟件是自由分布式軟件，可以從多個(gè)軟件客戶端收集終端安全狀態(tài)信息，并發(fā)送給連接在網(wǎng)絡(luò)中的執(zhí)行訪問控制策略的網(wǎng)絡(luò)接入設(shè)備。

(2) 網(wǎng)絡(luò)接入設(shè)備：網(wǎng)絡(luò)接入設(shè)備可以是第二層或者第三層的設(shè)備，用于實(shí)施基于終端遵從性的策略執(zhí)行和接入控制。

(3) 訪問控制與策略服務(wù)器：訪問控制和第三方廠商服務(wù)器負(fù)責(zé)評(píng)估網(wǎng)絡(luò)接入設(shè)備轉(zhuǎn)發(fā)的終端安全信息，并應(yīng)用相應(yīng)的網(wǎng)絡(luò)訪問策略。

(4) 管理系統(tǒng)：為NAC框架提供監(jiān)控和報(bào)告工具。

在園區(qū)網(wǎng)中，NAC框架的各組件功能如圖1所示。

1.2 系統(tǒng)功能模塊

在園區(qū)網(wǎng)的NAC系統(tǒng)主要包括圖2中的三個(gè)主要模塊。

圖2 園區(qū)網(wǎng)NAC系統(tǒng)的主要模塊組成

接入控制和認(rèn)證模塊主要用來對(duì)終端接入進(jìn)行身份的認(rèn)證。系統(tǒng)設(shè)計(jì)應(yīng)支持用戶身份與接入終端的MAC地址、IP 地址、所在VLAN 等信息進(jìn)行綁定，同時(shí)支持智能卡、數(shù)字證書認(rèn)證，增強(qiáng)身份認(rèn)證的安全性。

接入決策模塊通過對(duì)用戶身份的合法性，進(jìn)而與接入策略模塊互動(dòng)，確定終端安全狀態(tài)，根據(jù)決策的模型確定終端接入的狀態(tài)。決策模型基于策略模塊的反饋信息和用戶身份認(rèn)證信息來決定網(wǎng)絡(luò)授權(quán)，按照分組、分級(jí)、分權(quán)限原則規(guī)范用戶的網(wǎng)絡(luò)使用行為。

接入策略模塊用來評(píng)估終端安全狀態(tài)，反饋給接入決策模塊，根據(jù)決策模塊的決策來進(jìn)行修復(fù)。策略模塊中有行為審計(jì)功能，可以高效地收集用戶使用網(wǎng)絡(luò)資源的數(shù)據(jù)，記錄操作過程，分析用戶上網(wǎng)行為，掌握網(wǎng)絡(luò)運(yùn)行狀態(tài)，并生成日志以備查用。具備網(wǎng)絡(luò)狀態(tài)查詢功能，能夠?qū)崟r(shí)監(jiān)測(cè)用戶在線、離線狀態(tài)，可以對(duì)接入用戶進(jìn)行直觀管理，實(shí)時(shí)查看上網(wǎng)用戶信息、強(qiáng)制用戶下線、執(zhí)行安全檢查等操作。同時(shí)，允許接入的終端可以進(jìn)行終端病毒庫(kù)版本檢查、終端補(bǔ)丁檢查、終端安裝的應(yīng)用軟件檢查、是否有代理、撥號(hào)配置等。

NAC框架組件中的管理系統(tǒng)可以集成為一個(gè)獨(dú)立的監(jiān)控模塊。它具有日志管理功能，對(duì)于用戶及管理人員的所有操作，包括登錄、注銷的時(shí)間、登錄 IP 地址以及登錄期間進(jìn)行的任何可能修改系統(tǒng)數(shù)據(jù)的操作，都會(huì)記錄詳細(xì)的日志。同時(shí)，對(duì)各項(xiàng)性能具備管理功能，能夠?qū)崟r(shí)查看到網(wǎng)絡(luò)設(shè)備的CPU 利用率、流量等關(guān)鍵指標(biāo)，支持實(shí)時(shí)性能監(jiān)視，當(dāng)鏈路或端口的流量出現(xiàn)異常時(shí)，系統(tǒng)將會(huì)發(fā)送性能告警，使管理人員可以及時(shí)了解網(wǎng)絡(luò)中的隱患，及時(shí)消除隱患。同時(shí)為故障定位提供手段。

1.3 系統(tǒng)數(shù)據(jù)流向

在確定各功能模塊的作用，完成模塊設(shè)計(jì)同時(shí)，對(duì)園區(qū)網(wǎng) NAC系統(tǒng)的數(shù)據(jù)流向進(jìn)行分析，從而確保系統(tǒng)模塊的設(shè)計(jì)滿足 NAC框架體系要求，數(shù)據(jù)流向完整符合預(yù)期設(shè)計(jì)。園區(qū)網(wǎng)NAC系統(tǒng)數(shù)據(jù)流向如圖3所示。

圖3 園區(qū)網(wǎng)NAC系統(tǒng)數(shù)據(jù)流向

圖中各數(shù)據(jù)流向說明如下：

① 安裝了信任代理軟件的終端上，網(wǎng)絡(luò)流量觸發(fā)NAC的挑戰(zhàn)策略。終端安裝的信任代理收集終端的安全狀態(tài)信息(操作系統(tǒng)版本、病毒庫(kù)版本、補(bǔ)丁安裝程序等)。

② 信任代理終端使用NAC的網(wǎng)絡(luò)訪問設(shè)備證書進(jìn)行挑戰(zhàn)，發(fā)送給網(wǎng)絡(luò)訪問設(shè)備。使用基于UDP的EAP在終端和網(wǎng)絡(luò)訪問設(shè)備之間交換身份與驗(yàn)證證書。

③ 網(wǎng)絡(luò)訪問設(shè)備通過RADIUS協(xié)議將證書轉(zhuǎn)發(fā)至訪問控制服務(wù)器。

④ 訪問控制服務(wù)器(AAA服務(wù)器)可以選擇性的使用代理證書，和第三方廠商服務(wù)器協(xié)商，并進(jìn)行終端遵從性的驗(yàn)證。由第三方廠商服務(wù)器評(píng)估終端是否遵從安全策略。并回復(fù)給訪問控制服務(wù)器關(guān)于終端的遵從性驗(yàn)證結(jié)果。

⑤ 訪問控制服務(wù)器根據(jù)反饋的遵從性驗(yàn)證結(jié)果來尋找匹配的訪問控制策略。

⑥ 訪問控制服務(wù)器確認(rèn)終端接入狀態(tài)、授權(quán)狀態(tài)。

⑦ 訪問控制服務(wù)器通過RADIUS協(xié)議將確定的終端接入狀態(tài)信息返回給網(wǎng)絡(luò)訪問設(shè)備進(jìn)行執(zhí)行。

⑧ 網(wǎng)絡(luò)訪問設(shè)備通過 EAP信息告知接入終端其狀態(tài)信息。

⑨ 若終端與定義的安全策略符合，則終端的接入狀態(tài)正常，可以順利訪問園區(qū)網(wǎng)資源。若終端與定義的安全策略不吻合，則將終端重定向到一個(gè)隔離區(qū)域(Guest VLAN)，并進(jìn)行相關(guān)策略的修復(fù)。

1.4 系統(tǒng)的部署

基于 NAC框架的終端安全接入系統(tǒng)是在已有的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)上實(shí)施的，其部署不會(huì)改變已有的園區(qū)網(wǎng)結(jié)構(gòu)，但要發(fā)揮系統(tǒng)的最佳效能，需要與已有的園區(qū)網(wǎng)設(shè)備做好緊密的結(jié)合，使其可以和網(wǎng)絡(luò)設(shè)備進(jìn)行最佳的互動(dòng)與聯(lián)動(dòng)，通過網(wǎng)絡(luò)設(shè)備與安全設(shè)備將終端導(dǎo)向安全控制策略系統(tǒng)。需要注意的是在帶外的園區(qū)網(wǎng)環(huán)境中，要防止終端繞過控制策略系統(tǒng)而直接訪問外部網(wǎng)絡(luò)，因?yàn)樵L問控制服務(wù)器及策略服務(wù)器在驗(yàn)證、端口評(píng)估和修復(fù)時(shí)一直在帶內(nèi)運(yùn)行。部署帶外的系統(tǒng)時(shí)要設(shè)置終端通過所有的策略檢查修復(fù)后才可能穿過交換機(jī)端口到達(dá)帶外。

2 結(jié)語

隨著網(wǎng)絡(luò)安全對(duì)園區(qū)網(wǎng)基礎(chǔ)結(jié)構(gòu)和信息資源的威脅不斷增加，僅僅建立邊界防御已經(jīng)遠(yuǎn)遠(yuǎn)不夠，傳統(tǒng)的方法、獨(dú)立的運(yùn)行方式無法應(yīng)對(duì)現(xiàn)有的網(wǎng)絡(luò)攻擊技術(shù)。網(wǎng)絡(luò)安全模式正迅速的由被動(dòng)性模式向主動(dòng)性模式轉(zhuǎn)變。基于 NAC框架的終端安全接入系統(tǒng)雖然無法完全規(guī)避網(wǎng)絡(luò)風(fēng)險(xiǎn)，但在一定的程度上可以緩解源自園區(qū)網(wǎng)內(nèi)部的安全危機(jī)，確保網(wǎng)絡(luò)內(nèi)部的堅(jiān)固性，配合對(duì)外的安全措施(IPS、防火墻、IDS、VPN)等，則可以建立形成對(duì)內(nèi)外的、貫穿網(wǎng)絡(luò)多層的立體的安全防護(hù)體系，從而提高園區(qū)網(wǎng)的安全等級(jí)。

[1] 思科系統(tǒng)網(wǎng)絡(luò)技術(shù)有限公司.下一代網(wǎng)絡(luò)安全[M].北京郵電大學(xué)出版社.2006.

[2] 楊義先.信息安全新技術(shù)[M].北京郵電大學(xué)出版社.2002.

[3] 楊義先.網(wǎng)絡(luò)安全理論與技術(shù)[M].北京:人民郵電出版社.2004.

[4] Michael Watkins.CCNA 安全認(rèn)證考試指南[M].北京:人民郵電出版社.2009.