深圳联软NAC方案

网络准入控制技术介绍深圳联软科技有限公司2020年4月21日星期二——网络准入，不仅仅是802.1xAgenda一、准入控制技术概述二、802.1x准入控制技术介绍三、CiscoNAC准入控制简介四、DHCP准入控制技术简介五、ARP干扰技术简介六、UniAccess准入控制解决方案为什么需要网络准入病毒的爆发周期越来越短网络承载的业务越来越多，可靠性要求越来越高网上的机密信息越来越多，信息的价值越来越高使用网络的人员越来越多，网络接入的接口越来越多网络的接入方式越来越多，无线、远程、VPN……NAC系统架构访问请求者策略执行点策略决策点网络边界PostureValidatorPostureValidator网络准入控制客户端代理网络访问请求器网络执行控制点网络访问授权器服务器端代理安全状态检验12345678访问请求者策略部署控制点策略决策点PostureCollectorPostureCollector安全状态收集网络准入网络准入建立如下机制:终端注册安全检测安全隔离安全通知安全修复网络准入的意义防止病毒/蠕虫/间谍件/木马泛滥不符合安全要求的终端不能直接访问未符合安全要求的终端将被自动隔离对接入的设备进行验证，防止非法接入防止非法无线AccessPoint接入没有合法账户无法接入不是单位内的合法终端也无法接入让接入网络的终端都安装代理除非你为其单独设置例外……其它更多好处……ARPspoofing，IPspoofing……比喻：建立指纹识别网络门禁还可发现/并隔离感冒的员工！常见的网络准入控制技术NetworkDeviceEnforcement802.1x，多网络厂商支持，网络交换机和无线AP上实现CiscoNAC，NAC支持多种准入技术，包括802.1x准入DHCPEnforcement/IPSecEnforementMicrosoftvista，还有美国的一些小厂商GatewayEnforcement主要是防火墙厂商采用该方法ARP干扰许多中国国内厂商采用该方法Agenda一、准入控制技术概述二、802.1x准入控制技术介绍三、CiscoNAC准入控制简介四、DHCP准入控制技术简介五、ARP干扰技术简介六、UniAccess准入控制解决方案IEEE802.1x认证服务器23802.1x是一个client-server-based的访问控制和认证协议，用于限制非授权的设备直接连接到可被公共访问的LAN网络端口411用户激活网线(例如：启动PC，接上网线)2交换机向认证服务器发送请求，询问是否允许用户访问网络34认证服务器返回认证结果如果是授权用户，交换机打开controlledport，允许用户访问LANIEEE802.1x的3个组件(2)端口访问认证器AuthenticatorPAE(SwitchorRouter)(1)端口访问请求者SupplicantPAE(PortAccessEntity)EAPOLEAPOLEAPoverLAN(3)认证服务器EAP:ExtensibleAuthenticationProtocol802.1xHeaderEAPPayload802.1x工作原理每一个802.1x交换机端口，交换机都为其创建两个虚拟接口(1)ControlledPort只在通过802.1x认证后才被导通(2)Uncontrolledport:仅仅用于传输EAP包(EAPOL)EAPOLControlledPortUncontrolledPort应用服务器区后台资源Radius认证服务器802.1x网络准入控制技术外来电脑（无Agent）进入GuestVLAN不符合安全的桌面电脑进入修复区进行自我修复合法且符合安全要求的进入工作区通过在网络设备上限制VLAN的访问权限，从而实现终端的访问控制＋Radius访客区VLAN工作区修复区VLAN身份＋安全状态802.1X802.1x准入控制接入过程示例应用服务器区后台资源补丁服务器防病毒服务器应用服务器Radius认证服务器登录请求登录信息检查安全策略登录成功应用接入策略这是姚明，把他设置到VLAN5支持802.1x的终端接入网络将端口设置到VLAN5交换机应用策略并Enable端口通过认证之前：终端不能与其它网络资源通信姚明可以访问网络了802.1x交换机端口认证模式802.1x交换机端口认证模式Singlehost模式一个端口只能连接一台终端Multi-host模式一个端口下可以连接多台终端，只需要一台终端通过认证，其它的终端便可以访问网络Multi-Auth模式一个端口下可以连接多台终端，每台终端都通过认证才能访问网络Huawei-3com的多数型号交换机支持CiscoCatalyst6500系列支持802.1x基于Port的准入控制组网(1)应用服务器准入控制服务器(主)合法用户(符合安全要求)合法用户(不符合安全要求)准入控制服务器(备)准入控制交换机支持802.1X非法接入拒绝接入自动隔离SingleHost认证控制方案802.1xMulti-Auth认证组网方案(2)应用服务器准入控制服务器(主)合法用户(符合安全要求)合法用户(不符合安全要求)准入控制服务器(备)准入控制交换机支持802.1X非法接入拒绝访问安全修复服务器受限访问Multi-Auth认证控制方案1.无法做VLAN动态切换2.只有：允许和拒绝两种状态3.只能对服务器进行保护4.自动安全修复服务器部署复杂802.1x准入控制优缺点优势802.1x是一个国际标准，多个厂商支持通过动态VLAN切换，实现对不安全终端的隔离不会影响网络的性能缺陷一个交换机端口下面只能接一台终端只有通过LAN接入才能做准入控制，VPN/Wirelesss不行许多网络交换机、HUB不支持802.1x协议许多无线AP支持802.1x，但是不支持动态VLAN切换不同厂商在802.1x协议实现上有差别，存在兼容性问题Agenda一、准入控制技术概述二、802.1x准入控制技术介绍三、CiscoNAC准入控制简介四、DHCP准入控制技术简介五、ARP干扰技术简介六、UniAccess准入控制解决方案CiscoNAC系统架构Policy(AAA)ServerVendorServer尝试接入网络的主机网络访问设备NAD访问控制策略服务器CredentialsCredentialsEAP/UDP,EAP/802.1xRADIUSCredentialsHTTPSAccessRightsNotificationCiscoTrustAgent124562aComply?Enforcement3管理和监控系统CiscoWorksVMSCiscoWorksSIMSNAC安全管理的挑战:•如何管理众多终端上的Agent？•如何获得访问控制的全面应用情况？•如何自动分发策略？NAC安全管理:•管理软件Agent以保护桌面终端•监视和管理访问设备的性能和运行状况•监控端点、访问设备、策略服务器和防病毒产品•集中策略管理，确保接入设备符合管理策略CiscoNACNAC实现准入控制的三种方式NAC-L2-802.1xNAC-L2-IP(EAPoverUDP)NAC-L3-IP(EAPoverUDP)NAC-L2-802.1x与其它网络设备厂商的方式一致NAC-L2/3-IPCisco设备专有NAC三种部署技术特性对比NACL3IP̶EAPoverUDP安全状态检查(RoutersandVPN)NACL2IP̶EAPoverUDP安全状态检查(L2交换机端口)NACL2802.1x̶EAPover802.1x(L2交换机端口)特性NACL2802.1xNACL2IPNACL3IP触发机制链路激活DHCP或ARP转发数据包终端身份识别√★(UniAccess)★(UniAccess)用户身份识别√★(UniAccess)★(UniAccess)终端安全状态检查√√√VLAN分配√URL重定向★(UniAccess)√√下载ACL只在6500上支持√√安全状态询查√√802.1x安全状态变更√NAC-L2-802.1x完全符合IEEE802.1x标准主要特性终端身份和安全状态的认证检查交换机端口动态VLAN设置动态下载ACL交换机端口支持两种模式SingleHost/Multi-host支持的设备Catalyst6500系列(Sup2/32/720),NativeIOS暂时不支持Catalyst4000/4500系列(Sup2+,3-5),IOS版支持Catalyst3550/3560/3750系列Catalyst2940/2950/2955/2970系列NACL3IP简介适合于有多个L3路由器跳数的环境:Cisco路由器和VPN集中器仅提供安全状态检查认证不做身份认证EAPoUDP认证过程由“newIPpacket”触发通过L3/4ACL实现访问控制(per-hostL3/L4ACLs)支持安全状态询查和URLredirection(重定向)通过缺省设置支持未安装Agent的终端由DefaultACL决定缺省的访问权限NACL2IP简介适合于带HUB的局域网环境只有Cisco交换机才支持仅提供安全状态检查认证不做身份认证EAPoUDP认证过程由“ARPrequest”触发IOS:PortACL,IPdevicetracking,&DHCPsnoopingCatOS:ARPinspection,DHCPsnooping通过L3/4ACL实现访问控制(per-hostL3/L4ACLs)支持安全状态询查和URLredirection(重定向)支持未安装Agent的终端接入NAH:NonAgentHostNAC-L2/3-IP网络准入控制技术通过ACL来控制终端访问动态下载ACL和重定向URL依据的安全状态终端可以通过HUB、无线AP、VPN接入只要中间有支持NAC-L2/3-IP的设备＋Radius访客可访问资源安全区资源修复区资源安全状态NAC-L2/3-IPACL访问控制不支持用户身份认证NAC部署示例(完全来自Cisco的资料)MainOfficeBranchOfficeInternetRemoteAccessDial-inNASRAIPsecVPNCampusFWEdgeRouterAVServerAAASvrBranchRouterRADIUS(posture)SSLEAP/UDP11:BranchofficecomplianceEnforceonL3routerandfirewall2EAP/UDPafterIPsec2:RemoteaccesscomplianceExtensionof“AreYouThere”3TBD3:Dial-inaccesscomplianceEAP802.1x(wireless)44:WirelesscampusprotectionQuarantinewithACLs/VLANSExtensionof802.1x5EAP802.1x(wired)5:CampusaccessanddatacenterprotectionQuarantinewithACLs/VLANSExtensionofwired802.1x•Ubiquitoussolutionforallconnectionmethods•Validatesallhosts支持NAC-L2/3-IP网络设备支持NAC-L2的网络交换机Catalyst3550/3560/3750/4500/4900/6500软件版本(6500以外)：CiscoIOS12.2(25)SG以上版本软件版本(6500):CatOS8.5或CiscoIOS12.2(18)SXF2支持NAC-L3的路由器Cisco830/