网络准入控制技术介绍深圳联软科技有限公司2020年4月21日星期二——网络准入,不仅仅是802.1xAgenda一、准入控制技术概述二、802.1x准入控制技术介绍三、CiscoNAC准入控制简介四、DHCP准入控制技术简介五、ARP干扰技术简介六、UniAccess准入控制解决方案为什么需要网络准入病毒的爆发周期越来越短网络承载的业务越来越多,可靠性要求越来越高网上的机密信息越来越多,信息的价值越来越高使用网络的人员越来越多,网络接入的接口越来越多网络的接入方式越来越多,无线、远程、VPN……NAC系统架构访问请求者策略执行点策略决策点网络边界PostureValidatorPostureValidator网络准入控制客户端代理网络访问请求器网络执行控制点网络访问授权器服务器端代理安全状态检验12345678访问请求者策略部署控制点策略决策点PostureCollectorPostureCollector安全状态收集网络准入网络准入建立如下机制:终端注册安全检测安全隔离安全通知安全修复网络准入的意义防止病毒/蠕虫/间谍件/木马泛滥不符合安全要求的终端不能直接访问未符合安全要求的终端将被自动隔离对接入的设备进行验证,防止非法接入防止非法无线AccessPoint接入没有合法账户无法接入不是单位内的合法终端也无法接入让接入网络的终端都安装代理除非你为其单独设置例外……其它更多好处……ARPspoofing,IPspoofing……比喻:建立指纹识别网络门禁还可发现/并隔离感冒的员工!常见的网络准入控制技术NetworkDeviceEnforcement802.1x,多网络厂商支持,网络交换机和无线AP上实现CiscoNAC,NAC支持多种准入技术,包括802.1x准入DHCPEnforcement/IPSecEnforementMicrosoftvista,还有美国的一些小厂商GatewayEnforcement主要是防火墙厂商采用该方法ARP干扰许多中国国内厂商采用该方法Agenda一、准入控制技术概述二、802.1x准入控制技术介绍三、CiscoNAC准入控制简介四、DHCP准入控制技术简介五、ARP干扰技术简介六、UniAccess准入控制解决方案IEEE802.1x认证服务器23802.1x是一个client-server-based的访问控制和认证协议,用于限制非授权的设备直接连接到可被公共访问的LAN网络端口411用户激活网线(例如:启动PC,接上网线)2交换机向认证服务器发送请求,询问是否允许用户访问网络34认证服务器返回认证结果如果是授权用户,交换机打开controlledport,允许用户访问LANIEEE802.1x的3个组件(2)端口访问认证器AuthenticatorPAE(SwitchorRouter)(1)端口访问请求者SupplicantPAE(PortAccessEntity)EAPOLEAPOLEAPoverLAN(3)认证服务器EAP:ExtensibleAuthenticationProtocol802.1xHeaderEAPPayload802.1x工作原理每一个802.1x交换机端口,交换机都为其创建两个虚拟接口(1)ControlledPort只在通过802.1x认证后才被导通(2)Uncontrolledport:仅仅用于传输EAP包(EAPOL)EAPOLControlledPortUncontrolledPort应用服务器区后台资源Radius认证服务器802.1x网络准入控制技术外来电脑(无Agent)进入GuestVLAN不符合安全的桌面电脑进入修复区进行自我修复合法且符合安全要求的进入工作区通过在网络设备上限制VLAN的访问权限,从而实现终端的访问控制+Radius访客区VLAN工作区修复区VLAN身份+安全状态802.1X802.1x准入控制接入过程示例应用服务器区后台资源补丁服务器防病毒服务器应用服务器Radius认证服务器登录请求登录信息检查安全策略登录成功应用接入策略这是姚明,把他设置到VLAN5支持802.1x的终端接入网络将端口设置到VLAN5交换机应用策略并Enable端口通过认证之前:终端不能与其它网络资源通信姚明可以访问网络了802.1x交换机端口认证模式802.1x交换机端口认证模式Singlehost模式一个端口只能连接一台终端Multi-host模式一个端口下可以连接多台终端,只需要一台终端通过认证,其它的终端便可以访问网络Multi-Auth模式一个端口下可以连接多台终端,每台终端都通过认证才能访问网络Huawei-3com的多数型号交换机支持CiscoCatalyst6500系列支持802.1x基于Port的准入控制组网(1)应用服务器准入控制服务器(主)合法用户(符合安全要求)合法用户(不符合安全要求)准入控制服务器(备)准入控制交换机支持802.1X非法接入拒绝接入自动隔离SingleHost认证控制方案802.1xMulti-Auth认证组网方案(2)应用服务器准入控制服务器(主)合法用户(符合安全要求)合法用户(不符合安全要求)准入控制服务器(备)准入控制交换机支持802.1X非法接入拒绝访问安全修复服务器受限访问Multi-Auth认证控制方案1.无法做VLAN动态切换2.只有:允许和拒绝两种状态3.只能对服务器进行保护4.自动安全修复服务器部署复杂802.1x准入控制优缺点优势802.1x是一个国际标准,多个厂商支持通过动态VLAN切换,实现对不安全终端的隔离不会影响网络的性能缺陷一个交换机端口下面只能接一台终端只有通过LAN接入才能做准入控制,VPN/Wirelesss不行许多网络交换机、HUB不支持802.1x协议许多无线AP支持802.1x,但是不支持动态VLAN切换不同厂商在802.1x协议实现上有差别,存在兼容性问题Agenda一、准入控制技术概述二、802.1x准入控制技术介绍三、CiscoNAC准入控制简介四、DHCP准入控制技术简介五、ARP干扰技术简介六、UniAccess准入控制解决方案CiscoNAC系统架构Policy(AAA)ServerVendorServer尝试接入网络的主机网络访问设备NAD访问控制策略服务器CredentialsCredentialsEAP/UDP,EAP/802.1xRADIUSCredentialsHTTPSAccessRightsNotificationCiscoTrustAgent124562aComply?Enforcement3管理和监控系统CiscoWorksVMSCiscoWorksSIMSNAC安全管理的挑战:•如何管理众多终端上的Agent?•如何获得访问控制的全面应用情况?•如何自动分发策略?NAC安全管理:•管理软件Agent以保护桌面终端•监视和管理访问设备的性能和运行状况•监控端点、访问设备、策略服务器和防病毒产品•集中策略管理,确保接入设备符合管理策略CiscoNACNAC实现准入控制的三种方式NAC-L2-802.1xNAC-L2-IP(EAPoverUDP)NAC-L3-IP(EAPoverUDP)NAC-L2-802.1x与其它网络设备厂商的方式一致NAC-L2/3-IPCisco设备专有NAC三种部署技术特性对比NACL3IP̶EAPoverUDP安全状态检查(RoutersandVPN)NACL2IP̶EAPoverUDP安全状态检查(L2交换机端口)NACL2802.1x̶EAPover802.1x(L2交换机端口)特性NACL2802.1xNACL2IPNACL3IP触发机制链路激活DHCP或ARP转发数据包终端身份识别√★(UniAccess)★(UniAccess)用户身份识别√★(UniAccess)★(UniAccess)终端安全状态检查√√√VLAN分配√URL重定向★(UniAccess)√√下载ACL只在6500上支持√√安全状态询查√√802.1x安全状态变更√NAC-L2-802.1x完全符合IEEE802.1x标准主要特性终端身份和安全状态的认证检查交换机端口动态VLAN设置动态下载ACL交换机端口支持两种模式SingleHost/Multi-host支持的设备Catalyst6500系列(Sup2/32/720),NativeIOS暂时不支持Catalyst4000/4500系列(Sup2+,3-5),IOS版支持Catalyst3550/3560/3750系列Catalyst2940/2950/2955/2970系列NACL3IP简介适合于有多个L3路由器跳数的环境:Cisco路由器和VPN集中器仅提供安全状态检查认证不做身份认证EAPoUDP认证过程由“newIPpacket”触发通过L3/4ACL实现访问控制(per-hostL3/L4ACLs)支持安全状态询查和URLredirection(重定向)通过缺省设置支持未安装Agent的终端由DefaultACL决定缺省的访问权限NACL2IP简介适合于带HUB的局域网环境只有Cisco交换机才支持仅提供安全状态检查认证不做身份认证EAPoUDP认证过程由“ARPrequest”触发IOS:PortACL,IPdevicetracking,&DHCPsnoopingCatOS:ARPinspection,DHCPsnooping通过L3/4ACL实现访问控制(per-hostL3/L4ACLs)支持安全状态询查和URLredirection(重定向)支持未安装Agent的终端接入NAH:NonAgentHostNAC-L2/3-IP网络准入控制技术通过ACL来控制终端访问动态下载ACL和重定向URL依据的安全状态终端可以通过HUB、无线AP、VPN接入只要中间有支持NAC-L2/3-IP的设备+Radius访客可访问资源安全区资源修复区资源安全状态NAC-L2/3-IPACL访问控制不支持用户身份认证NAC部署示例(完全来自Cisco的资料)MainOfficeBranchOfficeInternetRemoteAccessDial-inNASRAIPsecVPNCampusFWEdgeRouterAVServerAAASvrBranchRouterRADIUS(posture)SSLEAP/UDP11:BranchofficecomplianceEnforceonL3routerandfirewall2EAP/UDPafterIPsec2:RemoteaccesscomplianceExtensionof“AreYouThere”3TBD3:Dial-inaccesscomplianceEAP802.1x(wireless)44:WirelesscampusprotectionQuarantinewithACLs/VLANSExtensionof802.1x5EAP802.1x(wired)5:CampusaccessanddatacenterprotectionQuarantinewithACLs/VLANSExtensionofwired802.1x•Ubiquitoussolutionforallconnectionmethods•Validatesallhosts支持NAC-L2/3-IP网络设备支持NAC-L2的网络交换机Catalyst3550/3560/3750/4500/4900/6500软件版本(6500以外):CiscoIOS12.2(25)SG以上版本软件版本(6500):CatOS8.5或CiscoIOS12.2(18)SXF2支持NAC-L3的路由器Cisco830/