网络准入控制技术简史 (中篇)

2020-11-19 ackmin


网络准入控制技术简史

(中篇)







引言




在上一篇文章中总体进行了网络准入的简介,那么在这一篇文章中,我会具体到网络准入技术的一个应用历程。





timg (2).jpg




技术起源




    

在2007年之前,国内是没有网络准入的,没有产品,也没有市场,甚至在公安部的安全产品资质中没有这一类。当向客户介绍这项技术的时候,往往要先回答,什么是网络准入?

最初的概念有三个,分别是:

●思科提出的的NAC(Network Admission Control)

●微软提出的NAP(Network Access Protection)

●TCG(Trusted Computing Group)提出的TNC(Trusted Network Connect)

网络上这三者的资料都非常多,我就不再赘述了。可以说,这三者的目标和实现技术有很大的相似性。目标上,都是保护主机的安全接入。当PC接入内网,要通过一定的方法和协议对其进行检验,包括用户名密码、证书等身份信息,也包括是否符合管理员预设的安全策略:操作系统版本、补丁、病毒库更新、软硬件的使用等。建立隔离区,通过一定的方法强制将不符合要求的PC隔离起来,只允许打补丁和软件修复;只有在验证通过后才允许正常接入网络。实现上,基本上是含有客户端、策略服务器、接入控制三个逻辑模块。

理想很丰满,现实很骨感。完美的概念,想要在现实网络中落地,却是不大容易。

      在实现方式的选择上,客户端和策略服务器,由于需要具有特殊的准入控制功能,需要单独开发;而接入控制模块,则可以充分利用在网络中已经广泛存在的网络设备,交换机由于最为靠近用户终端,便成为上上之选,既充分利用了用户现有的网络设备,又减少了项目软硬件成本和实施成本。于是802.1x准入技术最先登场了。








 802.1x准入技术   




    802.1x准入技术中,主要使用了802.1x协议和Radius协议。当终端通过网线接入到交换机端口的时候,终端并不能正常访问网络;终端上的802.1x客户端负责跟交换机协商,并将用户输入的账号密码发送给交换机,然后交换机再通过Radius协议将账户密码发送给Radius服务器(独立服务器或集成在策略服务器中);在得到Radius服务器的应答确认通过认证后,交换机切换端口状态,允许终端正常访问网络。这项技术非常符合网络准入的理念,能落实到每一个交换机端口,控制力度也很强;在未通过认证之前,还可以赋予端口隔离VLAN,允许终端在隔离VLAN内完成必要的漏洞修复、补丁更新的操作;既有安全性,又有方便性。但这个方案略显高冷,因为这个方案要求网络中的所有接入层交换机都必须支持802.1x功能,而多数企业网络中是存在老旧交换机的,要做到这一点,意味着用户需要大批量的更新升级网络中的交换机,意味着繁重的网络改造工作和一大笔费用,尤其是在建网较早的企业中。这就好比世界级足球运动员到了泥地里也难以踢出世界波了。那是不是在全网部署了高端交换机的网络就可以发挥实力了呢?也还不是。由于整个社会经济技术都发展的很快,几年前规划建设的网络,在今天可能就不能满足实际需要,最常见的就是办公工位上的网口不够用。于是HUB在企业内网中大行其道。由于802.1x方案是控制到交换机每一个端口的,假如在一个端口下通过HUB接入了多个终端呢?第一个终端完全合法的通过了校验检查成功入网,同时交换机端口也变为开放状态,此时第二个、第三个终端就可以不受任何约束的自由接入了。再加上802.1x客户端较为复杂、实施难度大、故障恢复困难等原因,这个方案就有些镜花水月了。泥地里碰上了野路子球风,世界级球员也只能徒叹奈何了。







DHCP准入技术




    既然网络基础设施不能一夜之间实现现代化,那能不能不依赖已有的硬件呢?自然是有的,于是轮到DHCP准入技术登场了。跟802.1x相比,DHCP准入技术也是采用了标准协议(DHCP),但对现有网络基础设施没有特别要求。具体方法是,在终端接入网络的第一时间,给终端分配一个租约比较短的隔离IP,通过适当的路由设置,确保此隔离IP无法访问网络内的邮件、文件服务器、数据库、OA系统等各种资源,也不能与已经入网的合法终端通讯,但又能够访问到必要的资源来安装杀毒软件、更新病毒库和打补丁;在终端通过webportal或客户端通过了策略服务器的身份认证和策略检查之后,由于隔离租约到期,终端自动再次请求地址时,策略服务器(此时也是DHCP服务器)就可以给终端分配办公IP正常访问网络了。DHCP准入技术成功的解决了802.1x准入技术依赖交换机功能以及无法控制HUB的缺陷,依靠标准的DHCP协议,控制能力触及到了每一个MAC;在管理好企业的终端资源的同时,也为访客、外协人员携带的终端(管理员无法提前预知其软硬件配置)接入网络但又不允许访问企业重要资源提供了很好的解决方案。业内人士很快就会发现,DHCP准入技术并不那么完善,因为其发挥作用的前提是每个终端都采用DHCP方式获取IP,如果有人手设固定IP呢?当然,就这一点,也可以借助交换机的DHCP Snooping  DAI功能来限制手设IP的终端收发报文,但这跟802.1x技术一样,也要依赖网络基础设施的先进程度。准入厂家从一开始就准备了ARP准入技术作为补充。







ARP准入技术




    ARP准入技术,简单来说,就是策略服务器通过监听网络中的DHCP报文和ARP报文来发现网络中的IP-MAC对应关系,剔除经策略服务器认证检验后分配的办公IP,其它的均为非法,然后就可以采用ARP阻断技术让非法终端不能正常访问网络。为了解决多VLAN、跨路由的问题,厂家发展出了VLAN Trunk连接、代理探针等多种可落地、容易扩容、分布式管理的实施方法。在与ARP防火墙的斗法中,厂家也不断更新阻断方法,虽然不能物理上将违规终端隔离起来,但阻断之下,一方面让违规终端难以进行破坏和窃取,一方面让管理员知道后能及时处理,总体效果也还是不错的。当然,ARP准入技术虽然是为了使以DHCP准入技术为基础的方案更完美而产生的,但它并不依赖DHCP准入技术,ARP准入技术是可以独立实施的,只需要在可信IP-MAC的来源里增加管理员的审批这一途径即可,而不需要关心用户网络中终端IP获取方式,DHCP的、静态手设的、二者兼而有之的,统统兼容







SNMP准入技术




    DHCP+ARP的技术方案虽然好用,但不免有所缺憾,那就是没有充分利用交换机的价值。不少单位的网管在交换机端口上手工建IP-MAC-Port的绑定,确保只有指定的MAC使用指定的IP从指定的交换机端口接入才能访问网络。这个控制力度非常强,但完全依靠手工操作,新设备采购、旧设备淘汰、人员离职、设备变更用途等日常维护,只能让管理员且痛且不快乐了,人工操作不可避免带来的错漏、遗忘,也是不小的风险。准入厂家很快将注意力重又放到交换机上了,只不过这次不是802.1x,而是SNMP协议。相比较而言,交换机对SNMP协议的支持,要比802.1x普遍的多。通过综合使用SNMP协议扫描和snmptrap机制,准入策略服务器可以很方便的获取到交换机上每一个端口的信息以及端口上连接的是哪些MAC以及使用了什么IP。与DHCP+ARP准入技术相同,剔除合法接入网络的终端后,准入策略服务器就可以通过SNMP协议关闭交换机端口的方法将非法终端彻底清除出网络了,这就是SNMP准入技术了。我们可以注意到,DHCP、ARP、SNMP三种准入技术之间没有任何冲突,是可以随意组合的,对于建成日久、复杂多变的企业网络,可谓是利器在手,天下我有了!







客户端




至此,有必要请另一重要角色登场了,那就是客户端。虽然作为管理措施的例外,管理员可以在策略服务器上设置受信任的终端,允许使用指定的IP,但那毕竟不能替代动态授信的机制。用户的身份认证尚可以通过WebPortal、802.1x等方法来实现,但终端健康检查则非客户端不可了,在以上的各种技术方案中,都离不开客户端。毕竟,终端是什么操作系统、是否打了补丁、是否运行了非法软件、是否运行有杀毒软件、病毒库有没有及时更新、是否有双网卡、是否违规连接了手机热点、是否违规使用U盘等,只有客户端能检查能实时控制违规。也有少数环境,在AD域权限的支持下,通过远程命令的方式读取终端上的软硬件信息,以及进行必要的控制,但场景太特殊了,不作讨论。无疑,对于网络准入的概念来讲,终端检查是必不可少的,这也就让客户端显得很重要。客户端对终端状态的检查,恰恰是上述的各方案中合规终端的判定的重要依据,在管理员不干预的情况下,企业用户能在准入系统的控制下自动完成授信入网过程。可以说,没有客户端的准入,是不完整的。

一般而言,客户端也有其自身的麻烦,比如实施维护麻烦,比如难以兼容众多操作系统,比如一些嵌入式设备无法安装客户端。虽然通过指纹扫描等方式,一定程度上能解决客户端无法全覆盖的问题,但在多数终端上安装客户端,还是让很多管理员心里犯怵,以至于部分准入厂家为了迎合管理员的这种心理,将无客户端作为其方案的亮点,但那只不过是自说自话,砍掉客户端,始终是要以牺牲安全性为代价的。另外,由于不喜欢受到客户端的束缚,PC用户往往是能不装就不装,装了也想方设法的停用、卸载,甚至不惜重装系统。某国有大型企业,在部署了一套桌面终端管理系统之后,就经常发现因为部分终端没有安装客户端不受控而造成了安全事件,专门命名为“XXX脱缰”,通过行政扣奖罚款来督促下级单位信息管理部门人工检查客户端安装情况。ARP准入技术和SNMP准入技术则很好的解决了这个问题,没有安装客户端的终端无法通过终端合规性检查,先安装后卸载的终端也能被及时揪出并踢出办公网络。







意外收获




我们很容易注意到,在网络准入的技术方案中,触及到了企业网络的方方面面。

  • DHCP准入技术+ARP准入技术,完美实现IP地址管理;
  • ARP准入技术帮助管理员发现了网络串接;
  • SNMP准入技术,不但能及时发现交换机断开,还能实时绘制二层网络拓扑图+精确定位每一个终端的接入位置;
  • 摸清了家底,准入控制系统顺便让管理员实时看到网络中的每一个终端和每一个IP的使用情况,包括当前的、昨天的、上周的,让管理员吃惊于自己管理的网络规模原来这么大;
  • 各种技术中的扫描分析功能,帮助管理员给网络中的难记的MAC地址标上了厂商、操作系统、主机名、分类;
  • 客户端与网络准入的结合,不仅能帮助用户确保已部署的桌面管理系统全面实施,甚至能帮用户省掉采购部署桌面管理系统的费用;
  • 管理员费尽口舌也难以完成的登记注册、通知下发、文件下发等工作,准入系统也能一并给做了,毕竟客户端在每一台终端上跑着呢;

原本是想为用户提升网络安全等级的,不小心还帮着做了下网络管理桌面管理









往期回顾

01

准入控制技术简史(上篇)