主页 > 案例大全 > 论文方法写作-网络准入控制系统的研发与实现
相关栏目 / Category

论文方法写作-网络准入控制系统的研发与实现

2021-04-30 15:32:48   浏览:522  次

  在经典网络中,安全性是作为网络接入节点的重中之重,确保网络接入后不会对终端带来安全隐患,所以需要对入网终端设备进行细致严格的认证以及对信任的评估。为了减少对可信网络接入的节点可能产生的对于的安全性的影响,提出了可信接入的概念。

  本文介绍了网络访问控制的研究现状,研究了网络访问控制的关键技术、系统构成和基本流程,讨论了基于DHCP、802.1 x、TCP等协议对网络访问控制技术提供的必要条件并与市场上已经存在的网络访问控制产品,以及此项技术在国内与国外的发展状况,分析了各产品存在的优势与劣势,以此为基础,梳理出本系统的主要实现网络准入的过程和各个过程之间的关系,设计以及实现对于网络准入控制的架构模型,同时此部分还讨论了本系统的总体使用流程以及丰富架构内容。访问控制,通过802.1 x使用DHCP灵活控制用户IP地址分配访问认证,详细介绍了具体配置,交换机和认证服务器实现的符合性检查模块,用户发布的符合性检查,禁止非法用户访问处理,对其修改后相应的违规行为进行说明,并对其进行验证,经测试系统已经成功运行。

  近年来,随着信息技术的发展,内部网络安全的威胁远远大于外部威胁,这与内部网络的接入管理有很大关系。由于内部网用户信息技术水平参差不齐,许多用户缺乏足够的安全意识和相关专业知识,下载网络中存在威胁的软件或随意访问不安全链接,这些行为给网络安全带来很大的安全风险。

  1.1研究背景及意义

  随着信息技术的飞速发展,由于内部网络缺乏安全机制,内部网络漏洞所造成的威胁远远大于来自互联网的防火墙渗透所造成的威胁。然而,传统的防火墙和入侵检测系统等技术并不能有效地阻止它。现实中的突出问题主要表现在10个方面:私有设备接入网络,私接网络设备,主机规范不落地,责任不能定位到人,设备非法外联,仿冒问题,资产管理混乱,外部人员随意访问网络,缺少物理位置定位,桌面客户端与日俱增[1]。无论多么坚固的网络堡垒,其内部都很脆弱,极易被攻破。只要终端接入本身是开放的,哪怕是被分配到隔离网中,公司中的无论何人都可以通过例如手机、笔记本电脑等设备自由接入企业的网络访问核心业务网站,以及企业的内部网站的各种网络资源。而如果接入网站的终端中有携带蠕虫病毒的终端,就有很大的可能会造成内网病毒的广泛传播。一个开放的网络就好比一个没有白细胞的人体。病毒侵入人体没有隔离和防护,病毒则会肆意繁殖没有天敌。因此,没有防护机制的就将终端接入,那其中就有可能混杂了不安全的终端。它们就像定时炸弹,罪犯可以随时把它们当作跳板。仅仅只要做出一丁点的危险举动或非法行为,都有可能会给企业带来十分巨大的损失[2]。

  1.2国内外研究现状

  当今社会下,内部网络安全领域的热门研究之一就是网络准入控制技术。在1999年为了对计算机基础漏洞进行完善,增加终端可信性解决结构上存在的漏洞,因此几大IT行业的领导者组织了名叫TCPA(Trusted Computing PlatformAlliance)可信计算平台联盟。这个组织在03年的时侯将名字改为TCG(Trusted Computing Group)。此组织在2004年的时候成立了可信网络连接分组(Trusted Network Connection Sub Group,TNC-SG),主要负责制定和研究可信网络连接(Trusted Network Connection,TNC)的相关执行标准以及框架。因此可信网络连接的标准就逐渐成为了每个网络准入厂商产品的标准流程,它所提出的目标是:1.区分不同接入终端分配相对应的网络资源。2.保证每个接入终端安全。3.保证无论是手机、笔记本电脑甚至是终端“哑设备”都可以入网,如电话、摄像头、打印机等。4.对企业资产监控以及软件升级等功能协助解决。思科在2003年11月时率先推出了自己的终端准入控制的解决方案--NAC(Network Admission Control);NAP--终端安全解决模块是由微软从visat开始推出了的;EAD--是由H3C在它公司内部开始测试于2006年开始实施的终端安全准入解决方案;UNC--是由Juniper在07年推出的终端访问控制准入方案。这些准入方案的存在的目的是为了阻止对企业产生的危害的病毒和蠕虫等新兴黑客技术。凭借着网络准入设备,设备内的客户通过审核允许合法可信的终端设备(例如PC、服务器、PDA)接入网络中,而未经审核的非法设备禁止接入[3]。

  随着时间的推移,网络准入的安全策略也在不断变化。Gartner在2012年曾发布的数据报告,报告指出在(2003~2006年)第一波网络接入应用中,网络接入管理的策略主要是终端的系统配置(如是否更新了系统补丁、是否安装了杀毒软件等)。2007年,网络访问应用进入了第二波浪潮,重点转移到提供对客户设备的简单、基于身份验证的控制,以创建灵活的客户网络环境。到了2011年,网络准入技术发展到第三波,不仅要为访问者提供简单访问入口,还要为员工的私人入网设备提供“有限的接入”。根据Gartner认为,有史以来最强大的将是第三波网络接入应用,并会为推动网络接入行业的生产力变得越来越成熟和稳定而定期宣传。为了避免BYOD产生的威胁,有限访问区域成为组织必须创建的,将网络重要区域与个人移动设备进行隔离。个人用户的设备只能访问互联网,亦或者只可以访问所属公司业务内的特定子集,没有其他的访问权限。因为这些私有的终端设备都是个人的,因此企业的IT部门基本很难对私有设备进行部署生命周期管理工具、策略或安全客户端。另一方面,有利于网络安全的方法是将这些专用终端隔离到受限访问区域。想要创建一个完善的有限访问区域,当终端接入网络时能够识别相关信息并发现是一个非常重要的要素,这也被称为“profiling”。当终端设备的物理信息被识别出来,它理所当然可以被放置在相对应的网络区域(有限访问区域、访客网络或机构生产网络等),在这些网络区域中,网络访问控制策略可以依据许可实现不同的入网范围。厂商越多,对终端识别能力的提升更能认识到其重要性,还能将不同的私有移动终端设备上策略分离并应用,其战略完整性得分越高。而现在,需要在网络中使用使用智能手机、私人的笔记本电脑和平板电脑的企业越来越多,这已经发生了非常大的变化。在许多方面,企业和其他行业显示出与教育行业,特别是与大学校园的相似性:在大学校园,终端用户(学生)在使用自己的手机或是笔记本电脑等设备连接到学校的网络。过时的终端保护平台(Endpoint protection platform Endpoint security platform,即国产台式机产品)制造商在第一波网络接入中取得了成功,因为他们努力控制机构购买的内部终端,但是在BYOD趋势下逐渐失去了优势。增值资源的供应商必须修改其网络接受策略,以适应自带设备的现象。当前,存在三种类型的网络访问市场:第一,网络基础设施制造商:对于大多数商用网络交换机制造商都可以提供网络访问解决方案。在市场开始时,这些制造商将网络访问集成到网络交换机中。BYOD现象带来了一个大问题,因为当前的策略必须是针对有线和无线网络,而且大多数交换机制造商都没有强大的无线产品功能。总的来说,在自带设备的新时代,支持无线局域网的网络准入政策的能力将变得越来越重要。此外,一个不可避免的硬伤害兼容性问题,有线和无线网络基础设施制造商们很难部署他们自己的网络准入系统在异构网络或其竞争对手的基础设施网络中。其次,网络安全提供商包括虚拟专用网、入侵防御系统等提供商,他们能够提供一定网络接入功能。由于这些产品已经作为网络中的策略执行点存在,因此可以将它们伪装成其他的网络准入控制点。最后,完整的网络访问提供商和BYOD为这些供应商提供了新的机会。作为新趋势的一部分,纯网络访问提供商也已成为网络访问市场增长的主要驱动力。在当今的终端环境越来越多样化,部署和管理通常需要各种特定的策略。因此,纯第三方网络访问提供商的出色兼容性和专业性已成为复杂和大规模网络环境中用户的重要基准。

  1.3论文主要工作

  本文主要采用文献研究和调查的方法,仔细查阅网络准入控制系统及其文献,数据报告和期刊等,并仔细研究技术架构,并扩展到接入设备的具体开发功能。将最易受攻击的网络攻击方法和来源集成到公司安全性以及网络访问控制的常见方法和应用方案中。比较不同技术的差异,区分多个网络接入控制系统制造商的设备和功能,总结主要功能点,分析和总结接入设备的产品框架。首先讨论网络访问技术的重要性,然后探索该技术中使用的方法,阐明系统的部署和组织,直到完成并实施产品设计为止,最后使用性能测试检查相关参数。

  1.4论文内容安排

  第一部分绪论,主要陈述了网络准入控制系统的研究背景及意义、分析国内外对此系统的研究现状、论文主要所做的工作及其时间安排。

  第二部分主要是对准入技术进行研究以及目前企业内网所容易遭受网络攻击的来源做简单分析,最后结合目前市面上的准入产品进行分用于加深理解,同时为设计准入系统做准备。

  第三部分是对准入控制系统进行整体的需求分析,结合同类产品归纳哟欧华系统流程,明确功能实现目标。

  第四部分对系统中准入方式的设计和实现进行具体的表述,并对部署架构、实现原理、设计流程做了相应的介绍。

  第五部分功能测试环节,设计测试部署环境,对网络准入方式做功能和性能的测试并总结。

  1.5本章小结

  分析设计准入系统的总体需求,并与同类产品结合以总结和优化系统流程,确认此套系统执行流程模块中的基本功能点,预期的功能目标以及相关的性能指标,以满足易用性要求。

  2准入控制技术研究分析

  本章节主要根据当前企业网络的特点,分析企业容易受攻击的技术系统的类型,与现有网络接入技术的类型进行比较,比较不同厂商相应接入产品的功能特性,以此为基础从而进一步的完成系统设计和实施。

  2.1企业内网威胁来源

  在企业内部网安全的诸多安全隐患中,最常见的是计算机病毒,也是最普遍的一大问题。病毒可以通过系统漏洞、电子邮件或网页的方式传播,由于病毒具有一定的传染性,只要企业中的一台计算机中毒,企业内部网就有可能在短时间内瘫痪,给企业带来灾难性的损失。然而,未经过授权用户的恶意访问同样也是一个不能忽视的问题。从目前企业网络的使用情况来看,很多企业都在使用开放的网络,所以企业的外籍人员可以通过互联网打开网络连接,在上网的过程中可能会无意中检查到带有病毒的网站,从而使企业内部数据信息的安全受到病毒的威胁。同时,这种情况也为计算机病毒的传播提供了空间,极大的影响到企业的内部安全,产生了不良的影响。最后是黑客的入侵。在对企业内部网的黑客攻击中,我们可以将这些攻击分为四种类型,即入侵、信息窃取、欺骗黑客入侵和拒绝服务。黑客可以利用一系列非法手段破坏、复制、修改或删除企业存储的数据,从而达到窃取商业秘密的目的,对企业的良好发展带来巨大影响[4]。

  2.2常见的网络准入方式

  几种常见的网络准入协议的研究与分析。

  2.2.1基于802.1x的准入控制

  在802.1X身份验证中,端口的状态决定客户端是否可以访问网络。当启用802.1x身份验证后,通常不允许端口的初始状态为授权状态。在此状态下,除了802.1x消息和广播消息外,不允许进行任何流量入口或出口通信。客户端成功通过身份验证后,端口状态将更改为授权状态,从而允许客户端通过端口正常通信。

  IEEE802.1X协议采用典型的客户端/服务器架构,包括三个主要部分:认证器系统、客户端和认证服务器。图2.1所示,描述了三者之间的关系以及交流。

  图2.1 802.1x协议示意图

  客户端:它是一个终端设备(如PC和网络打印机),需要访问LAN/WLAN并享受交换机提供的服务。终端设备通常需要安装一个对EAPOL协议支持的客户端软件。使用者通过使用指定的客户端软件来启动802.1X身份验证。

  认证系统:是一个对客户端提供端口的网络设备,通常情况下都会支持802.1X协议。认证系统充当代理角色,在客户端和认证服务器之间,它与客户端之间的通信方式为EAPOL协议,通过EAPOver Radius报文亦或是标准的Radius报文与认证服务器之间通信。

  认证服务器:多数情况下是一个Radius服务器,它的作用是对使用者的身份进行验证、授权操作和收费。认证服务器对用户是否有权使用认证系统的判断是由网络服务通过检查客户端发送的标识来进行判断的。一旦完成用户身份验证,身份验证服务器会将用户信息发送到身份验证系统,身份验证系统将相应地构建动态访问控制列表,并通过以上设置监视流量用户访问。

  综上所述三个部分,客户端系统除外,认证系统和认证服务器两者之间既可以分布在两个不同的物理实体上,也可以是集中在一个物理实体上,后者指的是由认证系统独立完成用户的认证授权,即本地认证。

  2.2.2基于DHCP的准入控制

  DHCP动态主机配置协议,以前称为BOOTP协议,这是一种使用UDP协议工作的局域网协议。常用的两个端口是67(DHCP服务器)以及68(DHCP客户端)。此协议通常作用于局域网环境。它的主要功能是将IP地址集中管理和分配,以便客户端可以动态获取IP地址、DNS服务器地址、网关地址等信息。可以改善地址使用率。简而言之,DHCP是一种协议,它自动将IP地址和其他信息分配给内部网机器,而不需要帐户密码来登陆,图2.2所示。

  图2.2 DHCP工作原理

  DHCP是基于Client/Server工作模式,根据网络环境的差异服务器可以设置可用的IP地址。在一定范围内,DHCP服务器将发送给客户机IP地址和相关的选项设置请求。客户端只需在其TCP/IP属性中将IP地址设置为“自动获取IP地址”,就可以从服务器自动接收到合法的IP地址[5]。

  2.2.3基于TCP的准入控制

  TCP RST阻塞是通过流量监控提取流量中的源地址和目标地址,然后检测是否包含认证传递的信息。如果没有,它发送一个重置数据包的假TCP通信连接的源地址,以阻止获得的TCP连接。TCP协议报头的标志位有一个“复位”位,大多数数据包的标志位设置为0[6]。如果说将标志位设置为1,那么对于接收数据包的主机就会马上打开TCP的会话连接,而此连接也不会再继续发送和接收数据包。简而言之,TCP重置消息将会把TCP会话连接直接关闭。TCP重置消息的构建是为了防止TCP会话继续传输无效数据,在某些特殊情况下。例如,如果通信方的服务进程在崩溃后重新启动,并对TCP会话的上下文环境失去了连接,那么它可以使用重置消息来将当前连接关闭,然后将正常通信的连接重新建立[7]。

  2.3部分准入设备技术对比

  对国内国外的网络准入厂商的产品进行细致的研究,分析其优缺点。

  2.3.1华三EAD分析

  EAD是以终端访问控制为出发点,将终端安全产品与网络访问控制集成,实现安全策略服务器、安全客户端、访问开关、杀毒服务器的联动,实现对所有访问终端的统一访问控制。EAD是通过检查和隔离使用者的终端的安全状态,提升了准入用户的可信度和企业内网的安全性。同时,EAD策略可以强制访问终端对病毒数据库进行更新,并通过杀毒服务器协助用户手动更新。监控与管理作为EAD的重要实现模块,为网络管理员提供了良好的用户管理平台。系统提供的用户安全检查列表也显示了管理员终端访问的实时情况[8],如图2.3所示。

  图2.3华三EAD示意图

  H3C EDA产品的主要技术特性如下:可以添加自己的网络设备(交换机,路由器)和特殊协议以及特殊组件(EAD)。它具有自己的客户端代理inode,客户端软件加载,并支持某些第三方安全提供程序(Microsoft WSUS修补程序服务,Symantec病毒服务器等)。它有自己的imc统一策略服务器,可以与第三方补丁程序和病毒服务器配合使用。它具有资产管理和终端审计等功能。我们的产品系统可以完全实现大型,完整和复杂的终端控制解决方案,还可以结合第三方软件和设备来构建简单而小型的终端解决方案。与Windows域统一身份验证兼容。华三开关需要EAD模块支持,对其他厂家支持较少。对客户环境设备以及部署成本都很高。

  2.3.2思科NAC分析

  思科NAC网络准入控制是思科公司发起的一个项目,很多制造商都参加了这个项目。它的主要目的是用以防止新兴的黑客技术(如病毒和蠕虫)危害企业的安全。使用NAC,客户只能允许合法和可信的终端设备(如笔记本电脑、私人手机、服务器、PDA等)访问网络,而不允许其他设备访问网络[9]。Cisco?NAC Profiler与Cisco NAC Appliance协同运行,可以加速部署网络接纳控制(NAC)解决方案。该产品简化了所有端点设备的发现和描述,无论它们是否与用户相关联。Cisco NAC Profiler还改进了这些设备的管理,因为它能够管理设备标识、位置,以及在部署后在这些端点中添加、移动和更改操作。

  对所有设备或终端进行快速分析以及管理是NAC的核心功能之一。虽然许多端点是与用户相关联的台式机和笔记本电脑,但网络上还有大量其他端点设备与用户无关,如IP电话和打印机。这些设备通常被称为无响应主机或非关联设备。Cisco NAC Profiler可以分析所有网络端点,并在部署强大的身份验证机制前后准确描述网络边缘的状态。该产品收集了大量可选信息源,包括:汇聚点网络流量监控结果、终端站活动、NetFlow数据采集、连续端口状态(位置)监控和主动分析。由于网络上20%到40%的设备可能是无响应的主机,因此上述信息对于有效的NAC解决方案越来越重要[10]。

  Cisco NAC Appliance通过端点上的标准Web浏览器或是轻量级的只读客户端启动接收过程。用户第一步输入他们的证书信息,接着NAC设备用于确定访问权限和策略要求。对于不能支持这种用户交互的设备,Cisco NAC设备通过其Clean Access Manager中的特殊情况列表(“过滤列表”)接受这些设备,该列表列出了这些没有响应的主机的MAC地址。当过滤器列表中的设备试图访问网络时,NAC设备使用基于角色的VLAN分配为其提供相应的路由服务。过滤列表的分发是批量输入或是手动输入MAC地址从而来完成的。必须组织和分发此列表,以支持完整的NAC部署。此外,没有响应的主机的列表必须在任何时候更新,而不管更改是否在进行中。例如,如果要添加新的网络打印机,必须将其MAC地址添加到筛选器列表中,以便建立连接。类似地,当设备从网络中移动或永久删除时,管理员需要重置或删除其MAC地址[11]。为了将这个过程简单化,Cisco NAC Profiler创建了一个自动化库存用以所有端点,不仅可以起到分发MAC地址的作用,还可以作用于分发设备描述符(例如打印机、IP电话、不间断电源等)和正确的访问类型值,用以确定相符合的访问级别。Cisco NAC Profiler将自动在Clean Access Manager中分发过滤列表,并对列表持续管理,确保每一个获得网络访问权限的设备相关性和准确性。

  2.3.3微软NAP分析

  自server2008和Vista起,Microsoft已添加其自己的组件来管理网络访问保护网络访问保护系统(NAP)的安全性。国家行动计划的框架遵循跨国企业的框架过程,并且更加重视软件的实施。客户端可以使用NAP建立主机健康策略。当客户端连接到网络时,它可以检测到客户端的健康状态,并为不符合该策略的主机提供相应的解决方案。使用NAP,可以与客户端一起发出网络访问请求,以便客户端应用主机的NAP策略。合作产品模块:1.NAP代理:由NAP平台提供,以完成NAP客户端的主要功能。2.NAPEC(执行客户端):客户端由第三方提供执行,与每个网络通信方法和策略执行点相对应。3.SHA(系统健康代理System Health Agent):与TNC中的IMC模块相对应,对一个第三方可以提供的多方面的系统维护和报告健康状态。4.NAPES:检查客户端并限制其网络访问的强制服务器、计算机或网络访问设备(交换机、路由器等)。NAP的策略实施点与NPS的决策相依赖,NPS起着NAP健康策略服务器的重要作用。5.NAP服务器:接收Radius访问请求消息,提取SSoh(系统健康声明)并将其发送到NAP管理服务器。6.网络计划管理服务器:处理网络计划服务和用户服务之间的通信。7.系统健康验证:系统健康验证模块,对应于跨国公司的IMV模块和通过上海汽车有限公司的上海汽车,负责对健康政策检查。同时可由第三方开发。微软NAP产品的关键特征技术:对终端操作系统掌控,根据操作系统的不同自主研发组件,同时还可以与系统完美融合。SHV/SHA插件部分还可以通过第三方供应商进行扩展。它还有自己的AD域服务器(统一策略服务器)[12]。如果没有网络设备,产品系统需要第三方网络设备的支持来完成一套大型、完整、复杂的终端控制解决方案。与思科NAC模块兼容。部署成本相对较高,对客户端软件来说,网络环境的变化非常大。

  2.4本章小结

  从目前易受公司Intranet攻击的网络攻击源中,研究和分析了网络访问的技术方法,并与一些现有的访问设备结合起来进行比较分析,并总结了各种程序的不同优缺点。为未来的产品设计提供相应的技术。

  3系统需求分析

  “终端”不仅是服务器,台式机和笔记本电脑,而且还有“哑设备”,例如打印机,指纹扫描仪,扫描仪,IP电话,IP摄像机或轻量级定制云桌面设备[13]。

  3.1需求定位

  这些设备的共同特征如下:一种是使用交互性较低的专有操作系统,并且不能在主机级别安装Security Agent软件来提供保护。其次,它具有相对较高的网络权限,防火墙通常为其提供完全访问权限。如果发生网络钓鱼攻击,则很容易闯入现有的网络安全保护系统,并且存在严重的网络攻击,数据泄漏和其他安全风险[14]。但是,传统的基于802.1x的访问控制技术必须安装软件代理,但这并不能真正解决上述安全问题。当前,对于哑设备的管理,通常在交换机上使用媒体访问控制链路,即MAB(MAC旁路认证)技术。该技术使用媒体访问控制地址作为唯一标识符,这具有很大的缺点[15]。本文设计的基于网络终端的基于指纹的访问控制系统的特点是采用MAB,动态主机配置协议,动态主机配置协议和传输控制协议。传输控制协议终端多维字符识别技术基于MAB功能识别模块和传输控制协议扫描模块添加了动态主机选项,可在访问设备之前和之后进行有效的安全检查,从而显着提高了整体系统安全性并充分利用了传统的访问控制技术在假的哑设备的MAC地址中。

  3.2主要功能需求

  主要功能是检查系统与终端访问网络的一致性。当测试结果不符合要求时,终端网络连接被阻塞并检查。

  3.2.1网络准入功能

  主要通过标准802.1x协议,在网络访问层执行访问身份验证,并根据身份验证结果确定网络是否被授权访问。它可以链接到网络符合性的验证,并且可以根据验证结果授予网络访问权限。借助交换机配置,可以将不兼容的终端分配给特定的VLAN进行维修或作为客户空间[16]。

  3.2.2合规性检查功能

  检查终端合规性,根据检查策略隔离不合规性的终端,并提供修复向导。为保证不影响用户的正常业务,当用户终端运行检查时,检查应尽可能快,检查项目应尽可能准确地反映终端的安装状态。合规性检查功能应包括五种类型的检查项目:身份认证、安全审计、访问控制、资源控制和入侵防御[17]。

  操作系统检查:检查操作系统的兼容性,尤其是检查操作系统的类型,版本,语言和补丁程序编号是否符合公司规定;检查终端操作系统的类型和版本。服务器提供授权范围。不属于此范围的任何客户都不会通过此控制。系统补丁:用于检查操作系统补丁是否与补丁安装基准一致。基准测试中要安装的修复程序分为三个重要级别:关键,重要和一般。系统服务、来宾帐户:在一些版本较低的windows中,默认来宾帐户的密码一般都为为空,可以使用来宾的身份进行网络共享(包括默认共享)访问和ipc,如果客人身份被提升,遥控器可以控制整个终端。在windows xp的更高版本中,默认来宾帐户是被禁用的。账户空密码:只有当用户的密码强度拥有极高的的责任水平时,才能达到抵御野蛮攻击的强度。如果密码猜对了,那么就对终端来说,就可以进行完全的远程和本地控制。是否安装杀毒软件:在操作系统上安装防病毒软件是保护操作系统免受病毒和恶意软件攻击的非常重要的方法。传统的防病毒软件基于签名数据库匹配规则。及时更新病毒数据库对于防病毒软件的正常运行至关重要。此检查用于确定设备上是否安装了防病毒软件,以及所安装的防病毒软件是否与组织指定的软件相同。包括制造商和版本列表。并确定病毒数据库是否经常更新。如果上次更新时间与当前时间之间的比较在某个值范围内。如果防火墙是开放的:个人防火墙是限制终端从网络层外部访问网络内部的重要手段。Windows XP已推出。终端保护规则可用于一起配置域控制并释放网络访问服务。此处检查的是Windows内置的防火墙是否处于正常运行状态并可以打开。文件共享足够开放:文件夹和打印共享(包括默认共享和ipc共享)可以远程复制和写入文件,操作系统配置项(例如仅启动项,远程运行的程序等)。此验证确认最终用户已关闭有风险的共享项目。意识能力的验证:组织定义了管理信息安全的规则和用户互联网行为的规则,要求限制或禁止用户访问互联网。但是,许多用户可以通过专用wifi,代理服务器等绕过此规则。或者允许用户浏览Internet,但是用户无法通过组织指定的Internet出口绕过网关。该检查的目的是确认是否符合Internet访问法规:容量符合要求和出口符合要求。如果远程桌面已打开:检测终端是否已打开Windows远程桌面,以便其他人可以从网络访问终端桌面。注册表检查:检查注册表项是否存在,并与给定值进行比较。

  3.3本章小结

  本文分析了访问系统的总体需求,结合类似产品对系统过程进行了总结和优化,并确定了执行过程模块的基本功能点,预期功能目标和相关性能指标。系统符合可用性要求。

  4系统设计与流程

  根据前几章对不同访问控制技术的分析,再结合对公司生产环境的实际需求的分析,准入过程至少应包括:身份验证,合规性验证,访问控制阻止这三个过程。

  4.1整体流程设计

  系统业务流程:系统发出入网请求与数据库内的信息对比,如果是已记录的合法用户,则对其进行合规性检查,合规性检查范围由准入策略提供,如果是合法用户且符合入网策略则对其入网放行,如果不符合入网策略则禁止入网,并会被重定向到修复页面,在符合策略后再予以放行。如果是未注册用户,则会被入网阻断,重定向到注册页面,在成功注册完成后进行入网策略检查,若符合则予以入网,不符合则禁止入网。

  4.1.1业务流程

  系统的业务流程如图4.1所示。

  图4.1业务流程图

  当有用户连接到内部网络时,可以分别使用802.1X认证客户端或者是网络门户。802.1x身份验证客户端提供了802.1x身份验证技术以此实现端口级访问。门户认证可以使注册的用户在没有安装客户端时访问内部网。

  4.1.2系统架构图

  系统的架构根据不同的功能共划分为五个模块:分别为:数据展示模块、RADIUS模块、TCP扫描模块、DHCP模块和数据存储模块如图4.2所示。

  图4.2系统架构图

  4.1.3认证服务器

  图4.3认证服务器

  PORTAL验证或802.1x身份验证是对身份验证中心NAC的身份验证请求。特定的身份验证源可以是本地用户或第三方身份验证源,如Ldap、电子邮件、HTTP、radius等[18],如图4.3所示。

  4.2准入设计实现

  经过多年的发展,802.1X+RADIUS方法是实现网络准入的方案中,功能非常强大的方式。RADIUS丰富的字段不仅仅只对用户名和密码进行验证,还可以依据接入设备的IP地址,MAC地址,交换机的端口信息来完成验证。

  4.2.1 802.1准入实现

  通过标准的802.1x协议,在网络接入层进行接入认证,根据认证授权条件确定网络是否可以接入,进行合规性检查,根据检查结果发布网络接入权限,如图4.4所示。

  图4.4 802.1x网络部署图

  终端安装了身份验证客户端后,将在进入网络之前显示身份验证界面。用户输入用户名和密码后,如果身份验证成功,则将允许正常的网络访问。如果定义了适当的网络访问检查策略,则将执行合规性检查。如果检查成功,它将进入正常服务网络。否则,请进入维护区域。维护过程中,终端只能访问维护服务器。如果修复完成,则修复区域中的终端通常可以访问工作区网络。

  802.1X访问方法包括在网络访问层级别执行访问身份验证,根据身份验证和授权状态确定网络是否可访问,检查网络访问符合性并根据检查结果发布网络访问权限。802.1x身份验证可以在端口级别提供强大的访问身份验证方案,支持用于身份验证和授权,安全性检查,隔离修复和访问控制的完整网络访问管理“单个窗口”,从而使对内部终端的访问管理安全且可控,透明。802.1x链路交换机执行EAP身份验证,其最终目标是确定交换机端口是否可以通信。对于端口,如果身份验证成功,则将成功打开该端口,并允许所有消息通过。如果身份验证失败,则端口将关闭。目前,仅授权802.1X EAPOL身份验证消息通过。这种身份验证技术的方案与国内外许多常用的交换机兼容,并支持各种有线和无线网络环境中的访问身份验证。用户接入层交换机配置了802.1x,认证服务器指向NAC,NAC收到终端的认证请求,并将认证结果发送给交换机,以决定是否释放。

  802.1X认证模块包括用户认证、认证服务和决策模块如图4.5所示。

  图4.5 802.1x认证模块

  认证服务/认证中心:主要用来监控终端所发送的认证请求,同时将认证信息转发到用户认证模块。

  用户认证:负责认证用户的有效性,并将认证结果转发给决策模块

  决策模块:负责确定最终用户的网络行为和权限。然后检查终端的合法性,根据检查策略隔离不兼容终端上的本地ACL防火墙策略,并提供修复或修复向导。服务器发布的检查策略必须包括检查元素和关联的参数。终端分析服务发布策略,基于策略的检查元素收集相关信息,并将最终结果传达给服务器。服务器确定由决策模块批准的终端是否符合要求,以便分配相应的网络访问权限。一些检查项目客户提供一键式修复功能,而其他检查项目则邀请修复助手。在此图中,通过将用户链接到VLAN或本地ACL防火墙来定义不同的网络权限。将不同的网络访问权限链接到不同的用户,受邀用户只能访问受邀资源,不兼容的终端只能访问维修区域内的资源。

  VLAN:不同的用户链接到相应的VLAN,并且在成功通过身份验证后,将通知交换机释放链接的VLAN。对于配置访客VLAN的访问者,他们只能访问某些维护资源。终端代理ACL防火墙:终端代理主机防火墙用于实现不兼容的终端,这些终端只能访问维修区域中的资源。对于不符合要求的终端,系统将提供一键式修复或修复助手,以帮助终端自身进行修复。对于某些需要在线下载或手动参与的软件,服务,流程,注册表格,关键位置文件和其他维修项目,我们提供了下载链接或维修说明,以指导用户进行自我修复。支持第三方身份验证服务器,例如广告域,LDAP服务器,邮件服务器和HTTP身份验证服务器。该系统支持多种身份验证来源,并且可以链接到第三方服务器进行身份验证。

  提供用户链接和其他身份验证机制,以实现严格的网络访问安全性,用户链接和VLAN身份验证,用户链接和访问交换机身份验证,用户和终端链接身份验证以及身份验证有效期参数。提供本地添加用户的链接关系以及相应的链接参数,例如VLAN,访问交换机,终端等。如果为成功认证的交换机分配了VLAN,则只能在链接的访问交换机中进行认证。如果在链接终端中执行身份验证,则当用户帐户的有效期到期时,将无法对其进行身份验证。

  4.2.2配置Freeradius

  (1)在CentOS7下,命令行进入cd->/usr->/local->/etc->/raddb,使用vim打开users文件,并将以下注释全部去掉。

  steve Cleartext-Password:="testing"

  Service-Type=Framed-User,

  Framed-Protocol=PPP,

  Framed-IP-Address=172.16.3.33,

  Framed-IP-Netmask=255.255.255.0,

  Framed-Routing=Broadcast-Listen,

  Framed-Filter-Id="std.ppp",

  Framed-MTU=1500,

  Framed-Compression=Van-Jacobsen-TCP-IP

  (2)进入到cd/etc/hosts中修改并添加以下命令:127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 yuying::1localhost localhost.localdomain localhost6 localhost6.localdomain6

  (3)进入到cd usr/local/etc/raddb/中,之后打开radius.conf文件将allow_vulnerable_openssl=no修改成allow_vulnerable_openssl=yes

  (4)修改防火墙配置,允许FreeRadius的端口1812和1813使用通过。

  iptables-A INPUT-p udp--dport 1812-j ACCEPTiptables-A INPUT-p udp--dport 1813-j ACCEPT

  (5)完成Radius部署后,执行相关测试,在终端输入“radiusd-X”,在新打开的终端输入“radtestyuio testlocalhost 0 test 123”。其中,yuio是用户名,test123是密码。

  (6)与交换机的对接

  进入目录/usr/local/etc/raddb/site-enabled,打开defoult文件。将authorize{}以及accounting{}里去掉sql前面的#,同时将authorize{}中files前加上#;

  转到/usr/local/etc/raddb,打开文件clients.conf并增添以下内容:client10.1.1.55//此为交换机的管理IP地址

  ipaddr=10.1.1.55

  secret=testing123

  Short name=radius server

  nastype=other

  4.2.3交换机打开802.1x认证

  以H3C交换机为例

  (1)H3C进入特权模式后,打开802.1X认证协议和认证方法。命令如下:

  dot1x

  dot1x authentication-method eap

  (2)对于身份验证服务器Radius配置的命令如下:

  radius scheme demo

  primary authentication 10.1.1.55//radius服务器的IP

  primary accounting 10.1.1.55//radius服务器的IP

  key authentication cipher testing123//radius服务器认证密码

  key accounting ciphertesting123//radius服务器计费密码

  user-name-format without-domain

  (3)配置3A认证,最好是打开每个认证,在配置过程中可能不配置计费认证,从而导致认证失败,具体命令如下:

  domain system

  authentication lan-accessradius-scheme demo

  authorization lan-accessradius-scheme demo

  accounting lan-access

  radius-schemedemo

  access-limit disable

  state active

  idle-cut disable

  self-service-url

  disable

  (4)开启802.1X端口的认证命令如下:

  interface Gigabit Ethernet1/0/10

  dot1x guest-vlan ID//认证失败下发一个guest VLAN

  undo dot1x handshake//关闭这个握手协议,用来避免Windows认证过一段时间后掉线,再重连。

  dot1x port-method portbased

  dot1x

  idle-cut disable

  self-service-url

  4.2.4 DHCP特征识别

  终端在入网前首先会对DHCP服务器发送一个IP请求。终端操作系统在发送请求消息时,将操作系统和硬件信息携带到服务器,如MAC地址、主机名、厂商特定数据等,并在DHCP数据包的Option字段中传递,如图4.6所示。

  图4.6 DHCP报文结构

  对DHCP数据包中MAC地址的Option信息进行检查,初始化启用学习模式对每个设备的DHCP报文中的Option(12)、Option(55)、Option(60)进行学习,自动生成DHCP指纹快照,当启用检查模式后对每次DHCP请求进行比对,当相同MAC地址的请求中Option值与快照数据库中不同则禁止接入网络,从而可在一定程度上防止MAC仿冒发生,设计流程如图4.7所示。

  图4.7 DHCP特征采集和检查流程

  4.2.5 TCP特征识别和检测

  较为传统的802.1X或MAB认证不会对终端进入网络后有任何监控的行为。如果合法设备通过传统的接入技术认证进入网络,假冒的MAC地址将成功欺骗接入系统。本文设计了TCP特征检测技术来监控设备在接入网络后是否是网络钓鱼MAC。操作系统类型和版本是终端类型识别的重要元数据,而TCP/IP特征库的主要原理是依靠不同操作系统对网络协议栈的不同实现。终端操作系统信息可以通过监控传输控制协议/网际协议数据流或向目标终端发送特定的传输控制协议/网际协议探测序列,以及通过分析或响应传输控制协议/网际协议数据包的报头特征来获得[19]。

  探测一个TCP端口是否开启分三种情况:端口开启、端口拒绝、端口无响应,三种情况都可以作为其特征元数据的一部分进行分析[20]。本文对TCP/IP协议进行研究,研究并得出基于TCP/IP特征的操作系统特征库,主要包含:IP报文头部的TTL值(Time-To-Live),以及TCP报文头部的MSS值(MaximumSegment Size)、窗口大小WSize(Window Size)、窗口扩大因子(scale)、TCP选项字段(options)等,如图4.8所示。

  图4.8 TCP报文结构图

  4.2.6数据库配置

  (1)修改FreeRadius中的MySQL数据库认证配置:

  进入以下路径cd usr/local/etc/raddb/mods-enabled/

  执行命令:ln-s../mods-available/sql

  (2)修改FreeRadius中的MySQL配置文件

  vim usr/local/etc/raddb/mods-available/sql

  找到行driver=“rlm_sql_null”,修改为driver=“rlm_sql_mysql”,保存并退出。执行下列命令:

  vim usr/local/etc/raddb/sites-available/default,将authorize{}和accounting{}中的SQL前面的#号去掉。

  (3)对sql.conf进行如下更改:

  server="localhost"

  login="root"

  password="123456"

  radius_db="radius"

  (4)在调试模式下重新运行freeradius:radiuss-x

  (5)打开一个新终端并运行以下测试工具命令:radtest testtestpwd localhost 1812 testing123(如果认证通过,服务器将成功构建)。

  4.2.7入网流程

  (1)安装安全客户端→访问网络(已安装客户端,允许访问受保护的服务器/允许访问任何http协议)

  (2)注册/认证→网络访问(成功注册/认证后,用户可以访问受保护的服务器/禁止任何http协议访问)

  (3)注册/认证→安装客户端→访问网络(用户注册/认证成功,安装客户端允许访问受保护的服务器/http协议访问)

  (4)认证页面:支持门户网站页面自定义LOGO预览效果,管理员门户网站页面消息设置,支持注册页面流程定义,注册信息选项配置,注册用户密码复杂度要求。

  4.3本章小结

  本章对系统整体设计流程进行说明,并详细介绍了Freeradius的配置方法,DHCP特征识别与TCP特征识别及检测方法,H3C交换机配置情况以及数据库相关配置。

  5系统测试与运行

  测试系统选择为画方准入控制系统,型号为NAM2000。

  5.1功能测试

  测试网络准入控制功能能否正常运行。

  5.1.1测试环境

  网络环境:准备支持端口镜像的交换机,准备一个无线接入点,准备支持802.1x协议的交换机,接入测试交换机,2-3个固定IP地址(NAC设备和终端管理系统),开放网络端口(如果有防火墙),几个测试终端

  硬件测试环境:(1)测试所用计算机环境:CPU Intel Core i7 4720HQ、内存为16GB、硬盘为1TB、操作系统:WIN10 64位。

  (2)准入所用设备型号:画方准入控制系统NAM2000(3)测试用交换机的型号:H3C-S6800

  5.1.2客户端入网检查

  新设备入网,在未安装桌面终端管理软件的情况下,验证系统在非插件的形式下能否发现并隔离控制。

㊣ 转载请附上文章链接并注明:论文方法写作-网络准入控制系统的研发与实现

相关热词搜索: 论文降重 降重技巧 降重 上一篇: 论文在线分享-云南煤化工厂房应急体系设计 下一篇: 论文知识案例-苏州乐美智能物联技术股份有限公司盈利能力的研究