摘要:对于信息安全建设,企业往往存在外紧内松的情况,对接入互联网部署了多种安全防御系统,但对于内网安全却管控不足,导致外来计算机和不安全的内部计算机随意接入,给网络带来非法访问、信息泄露和病毒传播等安全问题,是主要的威胁来源。本文主要对基于IEEE802.1X协议的终端准入控制系统在企业内网的应用进行探究,就如何部署接入服务和安全策略,实现Windows AD域与802.1x统一认证,对接入企业内网的计算机终端进行带身份认证和合规性检查的准入控制,防范非法接入进行论述,以求从根源上截断安全威胁,保护企业的信息安全。
关键词:终端准入、 接入服务、 安全策略、LADPs、 802.1x
引言:A公司是一家从事油气勘探开发的单位,经过多年的建设,公司信息化水平相对较高,信息技术为油气勘探发挥了重要的推动作用。勘探开发和生产经营过程中产生的数字信息,是与油藏资源具有等同重要性数据资产,需采取措施弥补内部信息安全管控不足,保障数字资产。
一、现状和存在问题
A公司Internet出口部署有入侵检测、防火墙、代理服务器等设备,公司内网部署了AD域,内部各信息系统统一使用AD域账号进行验证,对上外网安全防范较为严格规范。内部网络采用三层交换,对于不同的部门划分了不同的VLAN,采用DHCP自动分配IP地址;还部署有网络防病毒软件系统。但对计算机接入内网、主机是否合规等缺乏管控手段,对于来自内部的攻击防范能力较弱。
其内部网络安全管控主要存在以下问题:
1、内网没有终端准入控制,非授权的计算机可随意接入公司内网。
2、缺乏主机合规检查技术手段,不符合安全规范的终端随意接入。例如:没有按规定安装防病毒软件、操作系统版本不符、没有升级系统补丁、或安装了非法软件计算机,可随意接入。
3、对非法外联缺乏控制手段,在已接通内网的计算机上随意插上4G上网卡连接互联网,绕过公司Internet安全防护设备上网。
上述问题,会给内网带来严重的信息安全威胁。解决这些问题,光靠行政手段是很难杜绝的,须采用技术手段加以管控。
二、解决方案
对内网实行终端准入控制,能有效解决上述问题。目前主流的终端准入控制产品有H3C EAD终端准入控制、ymantec NAC、CISCO网络访问控制等。经过从产品的稳定性、功能完善性、日志和报表系统等角度分析比较,A公司最终采用了H3C EAD终端准入控制系统。该产品可通智能客户端、安全策略服务器、联动设备等,对于要接入网络的用户进行身份认证,并根据策略对计算机进行合规性检查,合规的计算机才能接入内网。
终端准入控制系统的部署,必须有效整合内网已有的基础设施资源,保持原有应用的持续性。A公司各个应用系统都是通过AD域进行身份认证的,继续保留使用原有的AD域进行统一认证,在接入层交换机启用Radius对用户进行认证,按不同情况设置用户接入认证策略和措施。
1、通过认证,且通过主机合规性检查的,自动接入内网对应的VLAN;
2、通过认证,但主机合规性检查没有通过的,只是杀毒软件病毒定义库或系统安全补丁没有按要求升级的,自动放入隔离区,在隔离区内,计算机可以连接到补丁升级服务器、病毒库升级服务器等,进行补丁升级或者病毒定义库升级,使用之符合安全要求后重新接入内网。
3、认证失败的,或安装了不允许的软件,或安装了多个网卡,或通过4G手机卡方式非法上网等违规情况的计算机,直接进行下线或加入黑名单处理。
系统的部署,保留内网原有的物理结构不改变,在逻辑上,需要增加一个VLAN作为隔离区;各接入层交换机需全部支持802.1x功能,不符合要求的交换机需要进行更换,实施时需要对全部的接入层交换机参数重新进行配置。
系统实施方案网络拓扑结构图
.png)
系统配置及策略应用
在系统部署时,准备好软硬件安装环境,安装H3C EAD终端准入控制系统服务器,需要安装EAD安全策略、用户接入管理、用户行为审计、网络流量分析服务器组件,通常需要架设两台服务器互为冗余。服务器的基础参数初始化设置,一般是在系统安装时按提示进行,一旦设置完成,日后就很少需要变更。现主要探讨如何通过配置接入服务、服务器同步和交换机参数,来解决上述内网管控方面存在的几方面问题,这是系统配置的关键,也是系统管理员最常见的系统运维工作。
1、配置接入服务参数
接入服务有两个关键要素,分别是接入策略和安全策略。
1)定义接入策略
使用接入策略检查客户端计算机网络参数是否合规,以及定义对违规计算机的处理模式(下线或监控)。例如:防范非法外联控制,可禁止主机安装多块网卡,若计算机强行插入4G网卡等,系统就检测到主机有两块网卡,强制其下线;绑定接入设备端口,限制电脑等终端设备只能连接到制定的端口,自行更换到别的办公场所网络端口是不能连接的;绑定接入设备硬件特征码,私自更换电脑,即使使用同一账号密码,也不能登录成功;可以指定网络打印机等哑终端设备无须使用INode客户端认证等等。接入策略提供了多种灵活的接入检查控制方式,实际应用时根据需要启用。
2)定义安全策略
安全策略主要是对系统和应用软件进行管控。
常用参数如下:
补丁管理器:通过配置此参数可规定符合某个版本的Windows系统、安装了某个编号补丁的电脑才能接入网络,否则只能下线或者放到隔离区网段。PC安全软件策略管理:可规定使用什么防病毒软件,以及病毒定义库必须升级到某一日期版本后,才能接入内网,否则只能下线或接入隔离区。PC可控软件组管理:可定义软件黑白名单,或软件进程,只有安装了合法软件的电脑才能接入内网,否则自动下线。安全策略还可以对文件共享、操作系统注册表、流量和广播报文等多个方面进行管控。
设置完上述两个要素后,将它们关联,就可形成接入服务,在后面的配置过程中,需要使用到这些接入服务。
2、服务器同步配置
服务器同步主要是配置Windows AD域与802.1x统一认证参数,实现单点登录。
1)配置LDAP与AD域用户信息同步
在LDAP参数中,可使用指定Windows AD域控制器进行认证,同步某一OU下的用户。配置AD域控制器IP,在输入管理员DN参数时,要注意格式,例如:张三是ABC.EFG.ACOM域北京数据中心有权限的管理员;其输入格式如下:CN=张三,OU=用户,OU=数据中心,OU=北京,DC=ABC,DC=EFG,DC=ACOM,只能使用“,”或“;”中的一种作为分隔符。
2)配置LDAPS连接
EAD服务器与AD域控制器之间的通讯,需配置启用LDAP SSL连接和通道绑定安全特性。微软公司从2020年1月初起,对目前提供技术支持的所有Windows操作系统发布的安全补丁强制启用AD域的LDAP签名和通道绑定安全特性,旨在防范高等级黑客凭据重放攻击。启用该特性,如果EAD终端准入控制服务器不加入域,则需导入相关AD域的根证书。
3)配置同步策略
同步策略就是设置EAD终端准入控制服务器与AD域控如何进行同步。在此参数下,可指定将AD域中哪一个OU下的用户同步过来,使之具有接入内网的权限。不在此范围的账号,是不能接入内网的。在此要设置好账号同步的过滤条件,例如:只同步某一OU下没有过期的用户,那么可输入过滤条件:&(objectclass=user)(sAMAccountName=*)
(accountExpires>=now))。还可设置同步选项,例如,自动同步或按需同步等。
应用Windows域与802.1x统一认证方案,可避免用户二次认证的烦琐,增强用户网络的安全性。
3、接入层交换机配置
服务器端配置好后,需配置接入层交换机Radius认证等参数。在配置交换机前,需在EAD服务中预先设置好与交换机通讯使用的SNMP参数和Radius密码等。
配置上联口为trunk模式
interface Ethernet1/0/8
port trunk permit vlan all
配置Radius参数(Radius服务器IP为10.0.0.1,密码为abc123,Radius域为acom)
dot1x
dot1x authentication-method eap
radius scheme acom
primary authentication 10.0.0.1
primary accounting 10.0.0.1
key authentication abc123
key accounting abc123
domain acom
authentication default radius-scheme acom
authorization default radius-scheme acom
accounting default radius-scheme acom
配置交换机端口认证成功后接入Vlan 333,若认证失败则接入Vlan 555
interface Ethernet1/0/1
port access vlan 333
dot1x re-authenticate
dot1x guest-vlan 555
dot1x auth-fail vlan 555
dot1x
配置SNMP参数
snmp-agent
snmp-agent local-engineid 800076A20374258AAB22B3
snmp-agent community read abc123
snmp-agent sys-info version all
snmp-agent trap enable default-route
配置完成后,客户端电脑还需安装INode软件才能使用。
四、应用效果
系统的实施应用,收到了较好的效果。部署初期,出现了部分用户
因安装了不被允许的软件被强制下线;部分用户的系统补丁版本不符合而放到隔离区进行升级等等,计算机维护技术人员逐一解决,封堵这些主机的安全漏洞,使主机达到合规标准才接入问题;后续工作中也陆续收到一些部门按规定为有工作合作关系的外来人员申请临时账号使用,防止了私自、随意接入。也有一些账号不明原因被多次尝试密码而被加入黑名单禁止使用,体现出系统发挥出了信息安全防范作用,较好地解决了内网管控方面的问题,保障了内网安全。
五、结束语
基于802.1x协议的终端准入控制系统提供了一种本地用户接入认证以及主机合规性检查的技术手段,大大提高了网络的安全性。本文的技术方案可作为规模相近、有类似终端管控安全问题的单位在准入控制方面参考之用,在运用网络准入控制技术加强终端安全管控方面,需要技术与管理制度相结合,才能有效防范信息安全风险。
参考文献:
【1】周祥峰,《基于802.1x协议的网络准入技术在电力企业的推广应用》,现代计算机,2010.08
【2】张俊贤,单蓉胜,《基于域活动目录的网络准入控制方案的研究》,微型电脑应用,2010年第26卷第9期
【3】张德安,《浅谈802.I X协议的网络准入控制技术》,广东科技2011.3第6期
【4】周庆,内网安全-网络准入与桌面的管理,网络安全技术与应用,2017年10期
【5】豆丁网,http://www.docin.com/p-1238338909.html,《H3C EAD终端准入控制解决方案》
论文作者:张宝明
论文发表刊物:《基层建设》2019年第32期
论文发表时间:2020/4/7
标签:终端论文; 内网论文; 参数论文; 服务器论文; 交换机论文; 用户论文; 系统论文; 《基层建设》2019年第32期论文;