5.4　准入安全

讨论完局域网安全，下面来介绍准入安全。本节将准入安全分为有线准入、无线准入和拨入准入3个部分。

5.4.1　有线准入

IEEE 802.1X是工业化标准，是基于端口的认证和授权技术。如图5-12所示为简化的802.1X模型示意。

在802.1X的工作环境中有3个角色，即恳求者、认证者和认证服务器。一般来说，恳求者由用户PC充当，认证者由交换机或无线控制器充当，认证服务器由RADIUS服务器充当。注意，802.1X只支持RADIUS服务。

802.1X的工作特点是由恳求者和认证服务器直接使用EAP（扩展认证协议）通信。

在工作过程中，从恳求者到认证者使用EAP over LAN，从认证者到认证服务器使用EAP over RADIUS。

802.1X认证者能够与恳求者组件兼容，也可以与一些特殊的应用程序进行交互。可以通过MAC地址对那些不能支持802.1X的设备进行认证，如IP Phones、打印机，也就是MAB（Mac Authentication Bypass）。可以设置不同的授权策略（VLAN|ACL|IP），使用802.1X实现动态VLAN划分。另一种dynamic VLAN的配置方法是使用交换机配置Mac Address Database，来实现dynamic VLAN划分。

802.1X是基于端口的认证和授权技术。也就是说，当一台交换机接口开启802.1X时，在这个接口连接一台HUB或一台不支持802.1X的AP，这时802.1X的认证就存在一个漏洞。如果任意一个人能够提交用户认证并认证成功，那么接在这个HUB或AP上的其他所有用户都能访问内网。对于此问题通常有两种解决方法：一种是如果交换机太旧可以配合端口安全，指定MAC地址来缓解此类问题；另一种是如果交换机是新型号，可以设置host mode来解决此类问题。

关于接口授权状态描述：当一个接口开启802.1X功能以后，此接口默认处于未授权状态，在此状态下，接口只接收和发送EAP包，不做正常流量转发。当有设备接入时，会激活认证要求，如果认证成功，此接口转为授权状态。当接口处于授权状态时，可以进行正常流量转发。

802.1X是二层技术，也就是说，要完成802.1X认证不需要提前为终端分配IP地址。

除了传统的802.1X，网络准入控制（NAC）还应包含如下内容。

（1）策略生命周期管理：对所有操作场景强制执行策略，而不需要单独的产品或附加模块。

（2）分析和可见性：在恶意代码造成损坏之前识别和分析用户及其设备。

（3）来宾网络访问：通过一个可定制的自助服务门户（包括来宾注册、来宾身份验证、来宾赞助和来宾管理门户）管理来宾。

（4）安全状态检查：根据用户类型、设备类型和操作系统来评估安全策略是否符合要求。

（5）事件响应：通过实施安全策略来减轻网络威胁，这些策略可以阻止、隔离和修复不符合要求的计算机，而无须管理员的注意。

（6）双向集成：通过开放API接口与其他安全和网络解决方案集成。

5.4.2　无线准入

在无线环境下，最常用的认证方式是Web认证，Web身份验证使无线控制器在特定客户端正确提供有效的用户名和密码之前，不允许来自特定客户端的IP流量（DHCP和DNS相关数据包除外）。它是一种简单的身份验证方法，不需要请求方或客户机提前安装程序。Web身份验证通常由希望部署来宾访问网络的客户使用。需要注意的是，Web身份验证不提供数据加密。Web身份验证通常用作“热点”或校园氛围中的简单访客访问，其唯一关心的是连接性。

Web身份验证过程如下。

（1）用户打开Web浏览器并输入URL，如http://www.×××.com。客户端发送此URL的DNS请求以获取目标的IP。无线控制器绕过DNS请求到DNS服务器，DNS服务器以包含目标www.×××.com的IP地址的DNS回复进行响应，反过来又被转发到无线客户端。

（2）客户端尝试与目标IP地址建立TCP连接。它发给www.×××.com的IP地址一个TCP SYN包。

（3）无线控制器为客户端配置了规则，因此可以充当www.×××.com的代理。它将一个TCP SYN-ACK包发回客户端，源地址是www.×××.com的IP地址。客户端发回一个TCP ACK包，完成TCP三次握手，并建立TCP连接。

（4）客户端给www.×××.com发送一个HTTP GET数据包。无线控制器截获这个包并进行重定向。HTTP应用程序网关准备一个HTML主体，并将其作为对客户端请求的HTTP GET的回复发送回去。此HTML将客户端转到无线控制器的默认网页URL，如http://<virtual server ip>/login.html。

（5）客户端关闭与IP地址的TCP连接。

（6）现在，客户端希望转到http://×.×.×.×/login.html。因此，客户端尝试打开一个到无线控制器虚拟IP地址的TCP连接。它向无线控制器发送×.×.×.×的TCP SYN包。

（7）无线控制器以TCP SYN-ACK响应，客户端将TCP ACK发回无线控制器以完成握手。

（8）客户端发送一个http get for/login.html，目的地是×.×.×.×，以便请求登录页面。

（9）这个请求被转发到无线控制器的Web服务器上，服务器用默认的登录页面进行响应。客户端在浏览器窗口上接收登录页面，用户可以在其中继续登录，完成认证。

5.4.3　拨入准入

通常在规划接入安全时总是会想到内网接入，包括有线和无线网络，但是往往忽略了VPN接入。大多企业对于VPN的拨入安全的主要关注点在认证方式上，如选择多因子认证的方式提高安全性。但是在威胁日新月异的今天，仅关注认证已经无法满足VPN接入的安全性需求了。

VPN准入功能是由主机扫描模块来实现的，主机扫描是一个安装在远程设备上的软件，当用户连接到VPN服务器之后，在用户登录之前安装。通常主机扫描由基本功能模块、终端评估模块和高级端点评估模块的任意组合组成。

1. 基本功能

主机扫描自动识别任意远程设备上的操作系统和服务包，建立无客户端SSL VPN或任意连接VPN的客户端会话。

也可以配置主机扫描来检查终端的特定进程、文件和注册表项。它在整个隧道建立之前执行所有的检查，并将这些信息发送给VPN服务器，以区分公司拥有的、个人的和公共的计算机。这些信息也可用于健康度评估。

2. 终端评估

终端评估是主机扫描的扩展，它检查远程计算机上运行的防火墙，防病毒等安全软件的版本和更新状态是否满足安全策略要求。在VPN服务器向会话分配特定的动态访问策略之前，可以使用此功能检查终端条件以满足用户的需求。

3. 高级终端评估：反病毒、反间谍软件和防火墙修复

（1）针对杀毒软件组件的检查可以强制文件系统保护启用已禁用的杀毒软件，以及强制病毒定义更新。如果反病毒定义在高级终端评估配置定义的天数内没有更新，就开始更新病毒定义。

（2）反间谍软件。如果反间谍软件定义在高级终端评估配置定义的天数内没有更新，就开始更新反间谍软件定义。

（3）如果防火墙检查发现设置和规则不满足高级终端评估配置中定义的要求，就重新配置防火墙的设置和规则。