无线EAD解决方案
关 键 词: EAD、 iMC、安全、准入
摘 要:终 端准入控制( EAD, End user Admission Domination)方案的主要目的是从网络端点接入控制入手, 加强网络终端的主动防御能力,控制病毒、蠕虫的蔓延。无线终端准入控制解决方案将原有的 EAD功能与无线网络结合,为用户提供了一套安全,便捷的无线网络接入环境。
缩略语清单:
Noun | Explanation | 中文解释 |
EAD | End user Admission Domination | 终端准入控制 |
H3C iMC | H3C Intelligent Management Center | H3C 开放智能管理中枢 |
ACL | Access Control List | 访问控制列表 |
1 EAD 解决方案技术原理介绍
1.1 技术背景
网络安全问题的解决,三分靠技术, 七分靠管理,严格管理是企业、机构及用户免受网络安全问题威胁的重要措施。事实上,多数企业、机构都缺乏有效的制度和手段管理网络安全。网络用户不及时升 级系统补丁、升级病毒库的现象普遍存在;随意接入网络、私设代理服务器、私自访问保密资源、非法拷贝机密文件、利用非法软件获取利益等行为在企业网中也比 比皆是。管理的欠缺不仅会直接影响用户网络的正常运行,还可能使企业蒙受巨大的商业损失。
为了解决现有网络安全管理中存在的 不足,应对网络安全威胁, H3C推出了终端准入控制( EAD, End user Admission Domination) 解决方案。该方案 从用户终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及防病毒软件产品、系统补丁管理产品、桌面管理产 品的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,可以加强用户终端的主动防御能力,大幅度提高网络安全。
EAD 在用户接入网络前,通过统一管理的安全策略强制检查用户终端的安全状态,并根据对用户终端安全状态 的检查结果实施接入控制策略,对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁升级等操作;在保证用户终端具备自防御能力并安 全接入的前提下,可以通过动态分配 ACL 、 VLAN 等合理控制用户的网络权限,从而提升 网络的整体安全防御能力。
EAD 还引入了资产管理、软件分发、 USB 监控等功能,提供了企 业内网 PC 集中管理运维的方案,以高效率的管理手段和措施,协助企业 IT 部门及时盘点内网资产、掌控内网资产变更情况。
1.2 EAD 方案介绍
EAD 终端准入控制方案包括两个重要功能:安全防护和安全监控。安全防护主要是对终端接入网络进行认证,保 证只有安全的终端才能接入网络,对达不到安全要求的终端可以进行修复,保障终端和网络的安全;安全监控是指在上网过程中,系统实时监控用户终端的安全状 态,并针对用户终端的安全事件采取相应的应对措施,实时保障网络安全。
目前 EAD 还引入的资产管理、软件分发、 USB 监控等功能,与之前的 准入防御功能并没有交叉,下面分别介绍 EAD 解决方案的端点准入防御,资产管理,软件分发等功能。
1.2.1 EAD 端点准入防御方案介绍
图1 EAD解决方案端点准入防御应用模型图
l 身份验证: 用 户终端接入网络时,首先进行用户身份认证,非法用户将被拒绝接入网络。目前 EAD 解决方案支持 802.1x , Portal 认证。
l 安全检查: 身 份认证通过后进行终端安全检查,由 EAD 安全策略服务器验证用户终端的安全状态(包括补丁版本、病毒库版本、软件安装、系统服务、注册表、 是否登录密码为弱密码等)是否合格。
l 安全隔离: 不 合格的终端将被安全联动设备通过 ACL 策略限制在隔离区进行安全修复。
l 安全修复: 进 入隔离区的用户可以进行补丁、病毒库的升级、卸载非法软件和停止非法服务等操作,直到安全状态合格。
l 动态授权: 如 果用户身份验证、安全检查都通过,则 EAD 安全策略服务器将预先配置的该用户的权限信息(包括网络访问权限等)下发给安全联动设备,由安全联 动设备实现按用户身份的权限控制。
l 实时监控: 在 用户网络使用过程中,安全客户端根据安全策略服务器下发的监控策略,实时监控用户终端的安全状态,一旦发现用户终端安全状态不符合企业安全策略,则向 EAD 安全策略服务器上报安全事件,由 EAD 安全策略服务器按照 预定义的安全策略,采取相应的控制措施,比如通知安全联动设备隔离用户。
图2 EAD安全准入流程图
1.2.2 EAD 端点 准入防御方案特点
Ø 终端补丁检 测: 评估客户端的补丁安装是否合格,可以检测的补丁包括:操作系 统 (Windows 2000/XP/2003等,不包括 Windows 98)等符合微软补丁规范的热补丁。
Ø 安全客户端版本检测: 可以检测安全客户端 iNode Client的 版本,防止使用不具备安全检测能力的客户端接入网络,同时支持客户端自动升级。
Ø 安全状态定时评估: 安全客户端可以定时检测用户安全状态,防止用户上网过程中因安全状态发生变化而造成的与安全策略的不一致。
Ø 自动补丁管理: 提供与微软 WSUS/SMS(全称: Windows Server Update Services/System Management Server)协同的自动补丁管理,当用户补丁不合格时,自动安装补丁。
Ø 终端运行状态实时检测: 可以对上线用户终端的系统信息进行实时检测,包括已安装程序列表、已安装补丁列表、已运行进程列表、共享目录信息、分区表、屏保设置和已启动 服务列表等。
Ø 防病毒联动: 主 要包含两个方面,一是端点用户接入网络时,检查其计算机上防病毒软件的安装运行情况以及病毒库和扫描引擎版本是否符合安全要求等,不符合安全要求可以根据 策略阻止用户接入网络或将其访问限制在隔离区;二是端点用户接入网络后, EAD定期检查防病毒软件的运行状态,如果发现不符合安全要求可以根据策略强制让用户下线或将其访问限制在隔离区。
联动方式目前包括强联动和弱联动,强联动需要防病毒软件厂商提供联动插件, iNode客户端通过该联动插件完成对防病毒软件的运行状态检查以及行为控制。弱联动不需要防病毒厂商提供联 动插件, iNode客户端通过其他方式实现对防病毒软件的运行状态检查以 及行为控制。当前支持的强 AV联动支持的防病毒软件有:瑞星、金山和江 民。当前支持的弱 AV联动支持的防病毒软件有:诺顿、趋势、 McAfee 、安博士、 CA安全甲胄、 VRV、卡巴斯基等。
Ø ARP 防火墙: iNode客户端将截获用户的 ARP报文,并且根据如下原则判断是否是非 法 ARP报文:
n 发出的 ARP 报文必须满足 :
① 以太网源地址=发 送端以太网地址=本机发包网卡的 MAC地址
② 发送端 IP地址=本机发包网卡的 IP地址
③ 在满足上面两条的 前提下判断是否是 ARP请求报文,如果是请求报文必须满足是广播报文。
n 接收的 ARP 报文必须满足 :
① 以太网源地址=发 送端以太网地址。
如果 iNode 发现报文为非法 ARP 报文,那么将会对报文做丢弃处理。
Ø 强身份认证: 在用户身份认证时,可绑定用户接入 IP、 MAC、接入设备 IP、端口和 VLAN等 信息,进行强身份认证,防止帐号盗用、限定帐号所使用的终端,确保接入用户的身份安全。
Ø “ 危险 ” 用户隔离: 对于安全状态评估不合格的用户,可以限制其访问权限(通过 ACL隔离),使其只能访问防病毒服务器、补丁服务器等用于系统修复的网络资源。
Ø “ 危险 ” 用户在线隔离: 用户上网过程中安全状态发生变化造成与安全策略不一致时(如感染不能杀除的病毒), EAD可以在线隔离并通知用户。
Ø 软件安装和运 行检测: 检测终端软件的安装和运行状态。可以限制接入网络的用户 必须安装、运行或禁止安装、运行其中某些软件。对于不符合安全策略的用户可以记录日志、提醒或隔离。
Ø 支持匿名认 证: iNode客户端与 EAD安全策略服务器配合提供用户匿名认证功能,用户不需要输入用户名、密码即可完成身份认证和安全认证。
Ø 接入时间、区 域控制: 可以限制用户只能在允许的时间和地点(接入设备和端口) 上网。
Ø 限制终端用户使用多网卡和拨号网络: 防止用户终端成为内外网互访的桥梁,避免因此可能造成的信息安全问题。
Ø 代理限制: 可以限制用户使用和设置代理服务器。
Ø 终端强制或提 醒修复: 强制或提醒不符合安全策略的终端用户主机进行防病毒软件 升级,病毒库升级,补丁安装;目前只支持手工方式(金山的客户端可以与系统中心做自动升级)。
Ø 安全状态监 控: 定时监控终端用户的安全状态,发现感染病毒后根据安全策略可 将其限制到隔离区。
Ø 安全日志审计: 定时收集客户端的实时安全状态并记录日志;查询用户的安全状态日志、安全事件日志以及在线用户的安全状态。
Ø 强制用户下 线: 管理员可以强制行为 “可疑 ”的用户下线。
1.2.3 桌面资产管理 方案介绍
EAD解决方案不仅能够对用户的端点准入安全进行管理,而且能够对用户网络中的资产进行管理和控制,其基本 的功能包括:资产管理、软件分发。
桌面资产管理应用模型如下:
图3 桌面资产管理应 用模型
桌面资产管理的应用流程如下图所示:
图4 桌面资产管理工 作流程
身份验证及安全认证: EAD 的桌面资产管理功能 是与 EAD 的端点准入功能紧密结合的:在安全认证成功之后,服务器将 DAM 服务器的地址和端口下发给 DAM 客户端。作为另外一种 选择, DAM 服务器的地址和端口,也可以采用 iNode 客户端管理中心定制指定。
资产上线: 资 产上线分成几种情况:
1 、已管理资产的上线:服务器根据客户端上传的资产编号找到资产记录即回应确认信息,客户端之后请求资 产策略,服务器回应资产策略给客户端。
2 、客户端注册方式的新资产(该资产由管理员增加)上线:服务端要求客户端输入资产编号,客户端提交 后,服务端根据资产编号找到资产信息,发给客户端确认,确认后服务端将该资产置为已管理状态,回应确认信息,客户端之后请求资产策略,服务器回应资产策略 给客户端。
3 、服务器自动生成新资产方式的上线:服务端根据客户端上传的资产指纹信息生成新资产编号;客户端弹出 资产信息录入界面并由用户录入,之后上传给服务端,服务端回应确认信息,客户端之后请求资产策略,服务器回应资产策略给客户端。
4 、重装操作系统之后的客户端上线:服务端根据客户端传递过来的指纹信息找到已有的资产记录,之后回应 资产信息给客户端;客户端用户确认服务器返回的资产信息与自己的资产相匹配,之后,客户端发送确认报文给服务端;服务端确认后将正在上线的资产与自身已有 记录关联起来;服务端回应确认信息,客户端之后请求资产策略,服务器回应资产策略给客户端。
5 、安装了多操作系统的资产上线:用户启动一个操作系统并上线成功后,在另一个操作系统下又发起上线请 求;服务端发现多操作系统情况,将只允许最后安装的操作系统的客户端可以上线;服务端回应确认信息,客户端之后请求资产策略,服务器回应资产策略给客户 端。
资产信息上报: 客户端获取本地资产信息,保存到本地,并上报给服务端;客户端定期会扫描本地资产信息,如发现有变更,更新本地保存的资产文件,同时将资产变更 信息上报给服务端。
USB 使用信息上报: 客户端实时监测 USB 插入情况,如果有 USB 插入、向 USB 中写入文件、或者拔出 USB ,都会写入文件,客户 端定期上报 USB 使用信息给服务端。
软件分发: 服 务端为资产创建分发任务,客户端向服务端请求资产策略,服务端回应同时,将分发任务下达给客户端,客户端连接到分发服务器进行软件下载,下载到本地之后可 由用户自行安装,也可以自动安装。
1.2.4 桌面资产管理功能特点
ü 基于用户的资产管理: 资产与认证用户相结合,支持直接查询某个用户资产状况,也可以基于资产信息找到对应的用户,方便管理员的管理。
ü 资产编号处理: 可自动 /手工生成资产编号,为资产分配责任人或自动关联责任 人。可对资产信息进行查询和手工扫描。对资产信息上报的策略可以进行自定义。
ü 支持资产信息的增删改: 管理员可以增加、删除、修改资产信息。
ü 支持资产分组管 理: 对资产通过分组统一管理,默认放置于缺省分组中。分组支持嵌 套,支持分组间的资产转移,方便管理。
ü 资产信息审计: 可对软硬件资产进行查询,支持按 CPU、制造商、型号、操作系统等统计资产,便于管理员分类进行企业资产盘点。
ü 资产变更审计: 可针对资产变更信息进行审计,审计内容包含资产名、编号、变更类型、变更内容、资产责任人、变更时间等,便于管理员及时掌握企业资产变动情况。
ü 支持 USB 使用审计: 支 持 USB插拔及使用的审计,审计内容包括插拔时间、资产名、文件名、文件 大小、操作时间等,便于企业安全审计。
ü 支持 USB 等外设使用控制: 支持对 USB、软驱、光驱、 Modem、串口、并口、 1394、红外、蓝牙等外设使用的控制。
ü 分发任务管理: 支持软件分发任务的增加,修改,查询和删除以及关闭功能;可以按资产分组、选中单个或者多个资产进行资产批量分发,可以自定义分发操作的时间, 支持 HTTP, FTP和文件 共享三种方 式的分发服务器的参数配置功能。
ü 软件分发查询: 支持按照资产查询软件分发历史,支持按照分发任务查询每个资产的软件分发状态。
ü 软件分发: 支 持 HTTP、 FTP和文件共享等三种协议的软件分发,软件分发给终端之后,安装的方式可以根据管理员指定好的策略进行静 默安装或者普通安装。也可支持按资产分组、资产进行批量方式的软件分发。
2 无线 EAD 解决方案介绍
无线局域网的安全问题主要体现在访问控制和数据传输两个层面。在访问控制层面上,非授权或者非安全的 客户一旦接入网络后,将会直接面对企业的核心服务器,威胁企业的核心业务,因此能对无线接入用户进行身份识别、安全检查和网络授权的访问控制系统必不可 少。 在无线网络中,结合使用 EAD 解决方案,可以有效的满足园区网的无线安全准入的需求。
2.1 无线 EAD 解决方案典型组网 -Portal认证方式
图5 无线 EAD典型组网 -Portal方式 (使用独立无 线控制器 )
图6 无线 EAD解决方案 典型组网 -Portal方式 (使用无线控制器插卡 )
2.1.1 组网特点介绍
1. FIT AP与无线控制器之间的连接可以使用二层连接,也可以使用三层连接。
2. 用户接入时需要使用 Windows客户端接入无线网络,然后使用 iNode进行 Portal接 入。
3. Portal接入控制方式使用二层 Portal(汇聚交换机作为客户端网关 )。
4. 在组网中,用户 IP地 址不发生变化的情况下,可以在 AP之间漫游。
5. 基于用户身份的控制信息在 AC上下发。
2.1.2 无线用户认证流程
图7 无线用户认证流程 -Portal认证方式
1. 无线用户接入企业网络,根据实际需要对无线链路的保护可以使用 WPA-PSK, WPA2-PSK等 多种方式。
2. 在客户端的报文发 送到无线控制器后,解开 LWAPP封装,并对客户端进行 HTTP重定向。
3. 在无线控制器与 iMC之 间交互 RADIUS报文,对接入用户进行身份认证。
4. 当 Portal认证完成后, iMC向 AC下发用户权限控制策略。此时用户被隔离在隔离区,等待安全认证。
5. iMC通知客户端 身份认证成功,进行安全认证。
6. 客 户端进行安全认证。
7. 通 过安全认证后,对用户下发基于用户身份的安全控制策略。
2.1.3 无线 EAD典型组网实施效果
1.在无线控制器上进行 Portal认证,在无线用户通过身份认证之前,只能访问无线控制上指定的资源。
2.合法用户接入网络后,其访问权限受在无线控制器上下发的基于用户的 ACL控制。特定的服务器只能由被授权的用户访问。
3.用户正常接入网络前,必须通过安全客户端的安全检查,确保没有感染病毒且病毒库版本和补丁得到及时 升级。降低了病毒和远程攻击对企业网带来的安全风险。
4.通过使用 iNode客户端,可对用户的终端使用行为进行严格管理,比如禁止设置代理服务器、禁用双网卡等。
5.如果在相同 AC的 AP间漫游时用户 IP未 发生变化,则无需再次进行用户身份认证。
2.1.4 无线 EAD 典型组网中涉及的设备
在网络中部署无线 EAD的典型组网,需要配置如下设备:
n 无线控制器:
H3C WX3024
H3C WX5002
H3C WX6103, H3C LSQM1WCMB0, H3C LSBM1WCM2A0
n AP:
H3C WA2110-AG
H3C WA2210-AG
H3C WA2220-AG
H3C WA1208E
n 策略服务器:
H3C iMC/CAMS
n 认证客户端:
H3C iNode