网络准入控制
目录
前言
一、概述
1.存在问题
2. 概述
3. 基本原理
4. 策略授权
二、认证技术
1. 802.1X认证
① 认证方式(网络接入设备和认证服务器间)
② 认证流程
③ 接入控制方式
④基本配置命令
2. MAC地址认证
① 概述
② 应用场景
③ 配置命令
3. Portal认证
① 概述
② 认证方式
③ 应用场景
④ 优点
⑤ 认证流程
基于Protal协议的认证
基于HTTP/HTTPS协议的认证
⑥ 配置外置Portal服务器
4. MAC旁路认证
5. MAC优先的Portal认证
①技术背景
②mac优先
③ 认证流程
三、用户授权与下线
1.认证授权
2. 用户下线
四、NAC配置
五、策略联动
1. 技术背景
①选择接入层设备作为认证点面临的问题
②上移面临问题
2. 策略联动
3.实现机制
总结
前言
随着园区网络的应用和发展,病毒、木马、间谍软件、网络攻击等各种信息安全威胁也不断增加。在传统的园区网络建设思路中,一般认为园区内网是安全的,安全威胁主要来自外界。但是研究表明,80%的网络安全漏洞都存在于网络内部,他们导致的网络故障对网络的破坏程度和影响范围在持续扩大,经常引起业务系统崩溃、网络瘫痪。
网络准入控制(NAC)从对接入网络的终端入手,将终端安全状况和网络准入控制结合在一起,通过检查、隔离、加固和审计等手段,加强网络用户终端的主动防御能力,保证园区中每个终端的安全性,进而保护园区网络的安全性。
一、概述
1.存在问题
- 防病毒软件未实现集中管理,补丁管理混乱,企业即便购买了防病毒软件,很难保证所有终端其病毒特征库都是最新的,导致一旦某台终端感染病毒或恶意代码,很快会在内网泛滥。
- 无法识别用户的身份,无法识别非法用户导致网络存在安全隐患。
- 缺乏对接入终端的访问控制,只要用户接入网络,就能够自由地访问整个网络。
2. 概述
主导思想: 只有合法的用户、安全的终端才可以接入网络。
用户终端:PC、手机、打印机、摄像头
网络准入设备:终端网络的认证控制点,准入设备对接入用户进行认证,是园区安全策略的实施者,按照网络指定的安全策略实施响应的准入控制。 如:交换机、路由器、无线接入点、VPN网关等
准入服务器:实现对用户的认证和授权,用于确认尝试接入网络的终端身份是否合法,还可以指定身份合法的终端所能拥有的网络访问权限。如:RADIU服务器和用户数据源服务器(存储用户的身份信息)。
3. 基本原理
4. 策略授权
策略管控: 终端通过认证接入网络,也并不意味着可以访问网络内的所有资源,而是需要基于用户身份对其加以区分,分别赋予其不同的网络访问权限。
二、认证技术
1. 802.1X认证
802.1X认证是一种基于端口的网络接入控制协议,即在接入设备的端口这一级验证用户身份并控制其访问权限。使用EAPol(局域网可扩展认证协议),实现客户端、设备端和认证服务器之间认证信息的交换。
应用场景:对安全要求较高的办公用户认证场景。
① 认证方式(网络接入设备和认证服务器间)
- EAP终结 EAP报文在设备终端终结并重新封装到RADIU报文中,利用标准RADIUS协议完成认证、授权和计费。
- EAP中继 EAP报文直接封装在RADIUS报文中,以便穿越复杂的网络到达认证服务器。
EAP中继
优点:设备端处理更简单,支持更多的认证方式
缺点:认证服务器必须支持EAP,且处理能力足够强
EAP终结
优点: 现有的RADIUS服务器基本均支持PAP和CHAP认证,无需升级服务器,
缺点: 设备端工作比较繁重 ,不仅要提取客户端信息,还要封装成RADIUS协议
② 认证流程
③ 接入控制方式
- 基于端口模式
- 基于MAC模式
当采用基于MAC地址方式时,该端口下的所有接入用户均需要单独认证。当某一用户下线时,不影响其他用户接入网络。
④基本配置命令
- 创建802.1x接入模板视图
[Huawei]dolt1x-access-profile name XXX
- 配置802.1X用户的认证方式
[HuHuawei-dot1x-XXX]dot1x authentication-method chap/pap/eap
- 配置触发802.1X认证的报文类型
[Huawei-dot1x-XXX]authentication trigger-condition {dhcp | arp | dhcpv6 | any-l2-packet }
- 配置802.1X认证报文二层透明传输功能
[Huawei]l2protocol-tunnel user-defined-protocol protocol-Name protocol-mac protocol-mac group-mac group-mac
[Huawei-ge0/0/0]l2protocol-tunnel user-defined-protocol protocol-name enable
2. MAC地址认证
① 概述
MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法。
② 应用场景
- 不需要用户安装任何客户端软件
- 适用于IP电话、打印机等哑终端接入
③ 配置命令
- 创建MAC接入模板视图
[Huawei]mac-access-profile name access-profile-name
- 配置MAC认证用户的认证方式
[Huawei-mac-access-profile]mac-authen authentication-method {chap | pap}
- 配置能够触发MAC认证的报文类型
[Huawei-access-profile-profilename]authentication trigger-condition { dhcp | arp | dhcpv6 | nd | any-l2-packet }
- mac认证用户采用的用户名形式
[Huawei-mac-access-profileName]mac-authen username { fixed username [ password cipher password ] | macaddress [ format { with-hyphen | without-hyphen } [ password cipher password ] ]}
3. Portal认证
① 概述
Portal认证也称为Web认证。用户可以通过Web认证页面,输入用户账号和密码信息,实现对终端用户身份的认证。
② 认证方式
- 主动认证: 通过浏览器主动访问Portal认证网站
- 重定向认证: 用户输入的访问地址不是Portal认证网站地址,被接入设备强制访问Portal认证网站。
③ 应用场景
Protal认证不需要安装专门的客户端软件,因此主要用于无客户端软件要求的接入场景或访客接入场景。
④ 优点
- 一般情况下,客户端不需要安装额外的软件,直接在网页上认证,简单方便
- 便于运营,可以在网页上进行广告发布、企业宣传等业务拓展
- 技术成熟,被广泛应用于运营商、连锁快餐、酒店、学校等网络
- 部署位置灵活,可基于用户名与VLAN/IP地址/MAC地址的组合对用户进行认证
⑤ 认证流程
基于Protal协议的认证
基于HTTP/HTTPS协议的认证
⑥ 配置外置Portal服务器
Ⅰ.开启HTTP/HTTPS协议的Portal对接功能
[Huawei]portal web-authen-server { https | http ssl-policy policy-name } [port port-name]
Ⅱ. 创建/进入Portal服务器模板
[Huawei]web-auth-server server-name
Ⅲ. 配置Portal认证时所使用的协议
[Huawei-web-auth-server-ServerName]protocol {http [password-encrypt] {none | uam }| portal }
Ⅳ.基于Portal协议的Portal服务器参数配置
[Huawei-web-auth-server-ServerName] server-ip server-ip-address
[Huawei-web-auth-server-ServerName] source-ip ip-address
[Huawei-web-auth-server-ServerName] shared-key cipher key-string
[Huawei-web-auth-server-ServerName] url url-string
Ⅴ. 基于HTTTP/HTTPS协议的Portal服务器参数配置
[Huawei-web-auth-server-ServerName] url url-string
⑦ 配置Portal接入模板
Ⅰ. 创建/进入Portal接入模板
[Huawei] portal-access-profile name access-profile-name
Ⅱ. 配置Portal接入模板使用的Portal服务器模板
[Huawei-portal-acces-profile-ProfileName] web-auth-server server-name { direct | layer3 }
4. MAC旁路认证
当接入设备接口下同时存在PC和打印机/传真机等哑终端时,可以通过MAC旁路认证功能,使不具备802.1x认证功能的哑终端能够通过MAC认证方式接入网络。
5. MAC优先的Portal认证
①技术背景
用户进行Portal认证成功后,如果断开网络,重新连接时需要再次输入用户名、密码,体验差。
②mac优先
用户进行Portal认证成功后,在一定时间内断开网络重新连接,能够直接通过MAC认证接入,无需输入用户名、密码重新认证。
③ 认证流程
三、用户授权与下线
1.认证授权
vlan: 为了将受限的网络资源与未认证用户隔离,通常将受限的网络资源和未认证的用户划分到不同的vlan。
acl: 用户认证成功后,认证服务器将指定ACL授权给用户,则设备会根据该ACL对用户报文进行控制。
UCL: User Control List,用户控制列表,是网络成员的集合。
2. 用户下线
- 客户端主动下线
- 接入设备控制用户下线
- 服务器控制用户下线
四、NAC配置
用户接入认证配置思路
五、策略联动
1. 技术背景
①选择接入层设备作为认证点面临的问题
- 接入层设备数量多,配置工作量大,运维难度大
- 接入层设备数量多,增加AAA服务器的负担
- 用户必须在固定位置接入网络
②上移面临问题
- 接入层设备需透传BPDU报文,否则用户的802.1X认证将失败
- 准入管控太高,同一层接入设备上相同vlan用户之间的访问不受控制
- 用户接入的具体位置无法感知、不易于故障定位
- 网关设备无法实时感知用户下线
2. 策略联动
通过在网关设备上统一管理用户的访问策略,并且在网关设备和接入设备执行用户的访问策略,来解决大型园区策略强度与复杂度之间矛盾的一种解决方案。
认证控制点与认证执行点之间建立CAPWAP隧道,完成设备之间用户关联、消息通信、用户授权策略下发、用户同步等处理。
3.实现机制
典型场景:
- 用户接入: 认证执行点建立用户关联表,用户与认证控制点之间进行认证交互,认证成功后认证控制点下发授权信息到认证执行点。
- 用户离开: 用户断开与接入设备连接,认证执行点实时通过CAPWAP隧道通知认证控制点,认证执行点清除用户表项。
- 用户移动:用户连接到新的网络之后,重新完成认证操作。
总结
对比项 | 802.1X认证 | Portal认证 | MAC认证 |
客户端软件需求 | 必须安装 | 不需要 | 不需要 |
优点 | 安全性高 | 部署灵活 | 无需安装客户端 |
缺点 | 部署不灵活 | 安全性不高 | 需登记MAC地址,管理复杂 |
适用场景 | 新建网络、用户集中、信息安全要求严格的场景 | 用户分散、用户流动性大的场景 | 打印机、传真机等哑终端接入认证的场景 |