网络接入控制在大型局域网内的应用
2016-02-06◆王林
◆王 林
(火箭军指挥学院 湖北 430000)
网络接入控制在大型局域网内的应用
◆王 林
(火箭军指挥学院 湖北 430000)
本文主要介绍在大型局域网内现普遍存在的网络信息安全问题,探讨接入控制在大型局域网内网络安全中应具有的功能,并结合网络实际提出相应的部署方法。
大型局域网;网络接入控制;802.1x
0 引言
随着信息化建设的持续发展,人们在工作中越来越依赖于网络。网络的普及给办公、教学带来了便利和高效率,但也带来了诸多的网络安全问题。据一份权威调查报告显示,网络内部的威胁在信息安全的危害中占60%,而来自内部的威胁主要是网络终端引起的,网络终端的安全已经成为首要的安全问题。
网络接入控制是保证网络安全的重要手段,它通过一种机制控制不同级别的终端以不同的权限访问目标网络资源。它的核心是通过对要求访问网络的终端进行身份认证及安全状态检查,当满足设定的网络安全要求时,才允许接入到网络中,而针对不符合安全要求的终端则进行隔离,并引导其完善本身的安全状态,从而保证网络接入终端达到安全可控性。
1 大型局域网使用现状及存在的问题
大型局域网一般为一个学校、工厂、企业、事业单位等组织所独立拥有,为办公、生活提供网络服务。现有的局域网已从早期简单的实现文件管理、文件共享、打印共享、电子邮件、传真通信发展成为集服务器程序、客户程序、防火墙、开发平台、升级平台为一体的信息交流与协作平台。通过对现有大型局域网的使用情况进行梳理分析,主要存在以下问题。
(1)无法管理使用网络的用户。网络管理员一般都对上网终端的MAC地址、IP地址与交换机的端口进行了绑定,实现了终端的定位管理,但无法对用户进行管理,用户使用哪台机器无法控制和审计,另外存在外来人员进入内网的安全隐患。
(2)规章制度难以落实。大型局域网内一般都有自己要求必须安装的保密软件、杀毒软件和禁止安装的软件,但这些要求难以落实,没有技术手段可管控。
(3)无法规范用户的操作行为。用户接入网络后,系统对不同用户的访问权限不能进行有效控制,无法实现用户的分权管理。
(4)无法有效地监控终端使用状态。无法查看网络终端的使用情况、配置情况及软件安装情况等,缺乏一个有效统一的平台进行管理维护。
(5)缺乏完善的保护和审计机制。无法对上网终端的行为进行审计,不能有效记录用户的登录日志,以及用户访问的源IP、目的IP、访问内容日志等,重要文件通过网络、移动存储设备泄露后无法逆查。
2 网络接入控制应具备的功能
为了解决以上安全以及管理问题,使得网内的上网终端高效运行,实现对网络通信管理、终端管理、用户身份管理等多方面的安全要求,有效改善网络管理及安全所面临的压力,最终做到“访问安全的网络、使用健康的终端,让合法的用户做规范的事”,同时对于用户的行为可以有效记录和审计,便于事后排查。该系统应该具备如下功能:
(1)终端用户通过身份认证连接网络时,通过严格的IP、MAC、交换机IP、交换机端口、用户名、密码绑定措施,确保接入用户身份的合法性。
(2)认证方式灵活多样,允许账号在网内漫游,可指定终端可不用账号连接网络(如监控摄像头、门禁设备、电子屏幕等),但可限定其联网目标IP。
(3)认证后对终端自动进行安全性检查,包括操作系统补丁,防病毒软件及特征库版本、软件黑、白名单;共享目录检查;分区表检查等。
(4)引导用户完善自身终端网络安全,当上网终端不满足安全策略时,系统将其上网地址强制指向特定地址引导用户进行完善。
(5)可按照用户划分不同的访问权限,根据用户身份的不同,限制不同的访问资源权限,使其只能访问自己权限之内的服务器和网络区域。
(6)可按照策略进行管理,包括资产安全、补丁安装、资源访问、应用程序、外设和远程维护等策略管理。
(7)具有绿色访问通道,使用户在没有认证前也可访问特定的网络资源。
(8)有详细的综合报表,允许管理员对当前和历史事件进行筛选查找并可生成详细的报表,帮助管理者监察和控制网络终端。
(9)行为审计,记录上网用户的上下线时间、源IP、目的IP及访问行为。
(10)具有广泛的兼容性,不仅要对现网络中使用的交换机品牌、版本兼容,还要对网络终端的操作系统、保密软件、杀毒软件、办公软件兼容。
3 网络接入控制系统部署
在大型局域网中一套完整的网络接入控制系统是由安全认证服务器、行为管理与审计服务器、WSUS服务器、安全软件服务器和交换机组成。
安全认证服务器是整个接入控制系统的核心组成部分,主要负责策略制定、权限划分、数据库管理及功能的制定,同时,根据预定义的策略,对来自终端设备的安全信息数据进行检查,并做出相应的访问接入控制决策。行为管理与审计服务器主要负责记录和查询用户的上网行为和流量统计等。WSUS漏洞服务器用于自动检测和修复终端软件漏洞。安全软件服务器主要为用户提供杀毒软件的安装和升级服务。交换机由核心交换机、汇聚交换机和接入交换机组成,在接入交换机上配置802.1x协议负责收集认证软件用户提交的身份认证信息、终端安全状态信息等数据,将其传送到服务器端进行终端验证。
(1)搭建网络接入控制系统架构。将安全认证服务器和行为管理与审计服务器接入核心交换机,WSUS服务器和安全软件服务器接入汇聚交换机连接至网络后,在接入交换机的全局模式下开启AAA认证、记账功能、记账更新、认证功能及客户端在线探测功能,定义dot1x的授权和认证策略,指定认证服务器的IP地址、radius共享密码、SNMP共同体字段、客户端的探测周期和存活时间。以锐捷交换机为例:
(2)开启所有端口上的安全认证,以48口锐捷交换机为例:
(3)开启网络接入控制逃生功能,确保在认证服务器出现故障时不影响用户正常使用网络。在全局模式下配置“none”认证,使交换机在等待radius服务器超时响应2秒,服务器重传2次,响应超时15秒后自动转为“none”认证,让dot1x认证客户端直接认证成功。
(4)开启网络接入控制重定向功能,使用户在没有安装安全代理客户端时,用户打开浏览器后跳转至下载客户端页面,引导用户安装客户端。在全局模式下需开启重定向后配置跳转服务器IP、网址及终端用户网关IP。
switch(config)#dot1x redirect
switch(config)# http redirect 192.168.1.2
switch(config)#http redirect homepage http://192.168.1.2:9000/jr.html
switch(config)#http redirect direct-site 192.168.1.2 arp
switch(config)#http redirect direct-site 192.168.60.254 arp
(5)开启开启网络接入控制绿色通道功能,使用户在没有认证前可以访问一些特定的资源。需先创建访问控制列表后放通IP报文、arp报文及网络资源IP再在全局模式下开启全局安全模式。
Switch(config)# expert access-list extended ruijie
switch(config-exp-nacl)#permit arp any any any any any
switch(config-exp-nacl)# permit ip any any host 192.168.33.61 any
switch(config-exp-nacl)#exit
switch(config)# security global access-group ruijie
4 结束语
在大型局域网内建立一个统一的网络接入控制认证系统,对接入网络的用户实现统一认证、统一授权和统一管理是保证网络信息安全的重要途径。本文主要介绍了IEEE802.1x,在目前应用中还有其他的一些认证技术如:PPPoE、WEB认证方式等,它们各有优点,但相比较其他技术IEEE802.1x它的设备要求低,开销小,策略定制灵活更加适合在大型局域网内使用。随着无线局域网技术的广泛使用,接入控制系统的重心向无线局域网方向不断更新和完善,为局域网提供一个安全稳定的网络平台。
[1]刘彪.一种基于局域网的全局安全设计[J].计算机安全,2010.
[2]曲晶.全局安全网络的设计与实现[J].大连海事大学,2010.
[3]王镇海.基于校园网的接入控制系统的研究[J].上海交通大学,2014.
[4]张晓璇.数字化校园网络中接入控制系统的研究与实现[J].华南理工大学,2012.
