网络准入控制

网络准入控制

1. 技术背景

   安全角度来分析，目前大部分的园区内部网络中，主要存在如下一些安全问题：
   防病毒软件未实现集中管理，补丁管理混乱，企业即便购买了防病毒软件，
   但很难保证所有的终端其病毒特征库都是最新的，
   导致一旦某台终端感染病毒或恶意代码，很快会在内网泛滥。
   无法识别用户的身份，无法识别非法接入用户，导致网络存在安全隐患。
   缺乏对接入终端的访问控制，只要用户接入网络，就能够自由地访问整个网络。

2. 概述

网络准入控制以“只有合法的用户、安全的终端才可以接入网络”为主导思想，通过用户认证、权限管理、安全检查、修复升级等手段提升企业网络整体终端安全防护能力
NAC系统架构：
   用户终端：各种终端设备
   网络准入设备：园区安全策略的实施者，可以是交换机、路由器、无线接入点、VPN网关或其它安全设备
   准入服务器：实现用户认证和授权，有认证服务器和用户数据源服务器

3. 基本原理

（1）用户身份认证请求：
网络准入设备通过和终端进行报文交互，获取终端的身份凭证
（2）用户身份认证：
网络准入设备将身份凭证发送给准入服务器进行身份认证
（3）用户身份校验：
准入服务器进行身份校验，确定终端身份是否合法，并将校验结果及策略下发给网络准入设备
（4）用户策略授权：
网络准入设备作为策略的实施者，根据准入服务器的授权结果对终端实施策略的控制

4. 策略管控

   即使终端通过认证接入网络，也并不意味着可以访问网络内的所有资源，而是需要基于用户身份对其加以区分，分别赋予其不同的网络访问权限

5. 策略授权

网络准入控制基本流程：

   1）用户终端接入网络，认证前都具有【认证前域】网络权限，包括访问准入控制服务器、DHCP、DNS等。
   2）对用户终端进行身份认证，认证通过后，准入服务器下发网络权限到网络准入设备，允许该用户访问【认证后域】网络。
   3）对于一些合法但是不安全的用户，身份认证后，准入服务器下发【隔离域】网络权限到网络准入设备，仅允许该用户访问隔离域网络，用户安全修复后，重新下发认证后域网络权限
   4）在隔离域时，用户可以根据需要进行终端代理软件安装，补丁安装，杀毒软件安装、升级等操作
   5）非法用户及未认证用户仅允许访问认证前域或隔离域网络资源

用户认证技术

1. 802.1X

（1）概述

   802.1X认证是一种基于端口的网络接入控制协议，即在接入设备的端口这一级验证用户身份并控制其访问权限
   802.1X认证使用EAPoL（局域网可扩展认证协议），实现客户端、设备端和认证服务器之间认证信息的交换
   组网方式：802.1X客户端、网络接入设备、认证服务器
   应用场景：对安全要求较高的办公用户认证

（2）认证方式

   EAP中继方式：
       优点是设备端处理更简单，支持更多的认证方法，缺点则是认证服务器必须支持EAP，且处理能力要足够强
       常用的EAP-TLS、EAP-TTLS、EAP-PEAP三种认证方式，
       EAP-TLS需要在客户端和服务器上加载证书，安全性最高，
       EAP-TTLS、EAP-PEAP需要在服务器上加载证书，但不需要在客户端加载证书，部署相对灵活，
       安全性较EAP-TLS低
   EAP终结方式：
       优点是现有的RADIUS服务器基本均支持PAP和CHAP认证，无需升级服务器，
       但设备端的工作比较繁重，因为在这种认证方式中，
       设备端不仅要从来自客户端的EAP报文中提取客户端认证信息，
       还要通过标准的RADIUS协议对这些信息进行封装，
       且不能支持除MD5-Challenge之外的其它EAP认证方法。
       PAP与CHAP的主要区别是CHAP密码通过密文方式传输，
       而PAP密码通过明文的方式传输。
       因而PAP方式认证的安全性较低，实际应用通常采用CHAP方式认证

（3）认证流程

   认证触发方式：客户端主动触发、接入设备主动触发
   接入控制方式：基于端口模式、基于MAC模式

（4）认证协议：

EAP-TLS、EAP-TTLS、EAP-PEAP或EAP-MD5等

2. MAC

（1）简介：

   MAC地址认证（简称MAC认证）是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法
   缺省时，交换机收到DHCP/ARP/DHCPv6/ND报文后均能触发对用户进行MAC认证。支持通过配置，使交换机收到任意的数据帧后触发MAC认证。

（2）组网方式：

   包含认证客户端、接入设备和认证服务器

（3）应用场景

   不需要用户安装任何客户端软件，适用于IP电话、打印机等哑终端接入的场景

3. Portal

（1）概述

   Portal认证也称Web认证，用户可以通过Web认证页面，输入用户帐号和密码信息，实现对终端用户身份的认证
   方式：主动认证、重定向认证
   组网：包含认证客户端、接入设备、Portal服务器和认证服务器
   应用：不需要安装专门的客户端软件，主要用于无客户端软件要求的接入场景或访客接入场景

（2）认证流程

   认证方式：二层Portal认证、三层Portal认证
   Portal接入协议：HTTP/HTTPS——客户端与Portal服务器之间的协议交互
   Portal认证协议：Portal协议（服务器和接入设备之间的协议交互）、HTTP/HTTPS

（3）Portal协议：

   采用客户机/服务器结构，基于UDP运行。 
   支持CHAP和PAP两种认证方式。相比较PAP，CHAP有更高的安全性。
   报文采用TLV格式携带用户名、密码、用户MAC等属性信息。

（4）HTTP/HTTPS协议：

（POST、GET两种请求方法）

4. 混合

（1）MAC旁路认证

   当接入设备接口下同时存在PC和打印机/传真机等哑终端时，可以通过MAC旁路认证功能，使不具备802.1X认证能力的哑终端能够通过MAC认证方式接入网络。
   MAC旁路认证比单纯的MAC认证多一个802.1X认证环节，故时间要比MAC认证时间长。

（2）MAC优先的Portal认证

   用户进行Portal认证成功后，在一定时间内断开网络重新连接，能够直接通过MAC认证接入，无需输入用户名、密码重新进行Portal认证

用户授权与下线

1. 认证成功授权

   认证用于确认尝试接入网络的用户身份是否合法，而授权则用于指定身份合法的用户所能拥有的网络访问权限，即用户能够访问哪些资源。
   常见的授权信息：VLAN、ACL、UCL组

2. 免认证与认证事件授权

（1）免认证（free-rule）

   免认证规则模板：
       方式1：普通的免认证规则，由IP地址、MAC地址、源接口、VLAN等参数确定
       方式2：关联ACL

（2）认证事件授权（又被称为逃生）

   用户在认证过程中遇到不同事件时（如认证前、认证失败、认证服务器失效等），需要拥有一定的权限
   授权参数：
       VLAN：授予用户相应VLAN内的资源访问权限
       用户组（UCL组）：根据用户组对具有相同特征的用户进行权限下发
       业务方案（service-scheme）：可在业务方案内绑定UCL组、VLAN、QoS-profile等参数

3. 用户下线

   接入设备要能够及时感知到用户已下线，删除该用户表项，并通知RADIUS服务器停止对该用户进行计费
   方式分为客户端主动下线，接入设备控制用户下线和服务器控制用户下线

NAC配置实现

1. 配置思路

（1）配置接入模板

   802.1X接入模板
   MAC接入模板
   Portal接入模板

（2）配置认证模板

（3）应用到接口开启NAC功能

策略联动

1. 技术背景

（1）选择接入层设备作为认证点面临的问题：

   接入层设备数量多，配置工作量大，运维难度大
   接入层设备数量多，增加AAA服务器的负担
   用户必须在固定位置接入网络

（2）将认证点上移面临的问题

   接入层设备需透传BPDU报文，否则用户的802.1X认证将失败
   用户准入的管控位置太高，同一接入层设备上相同VLAN用户之间的访问不受控制
   用户接入的具体位置无法感知，不易于故障定位
   网关设备无法实时感知用户下线

2. 策略联动概述

   策略联动是通过在网关设备上统一管理用户的访问策略，并且在网关设备和接入设备执行用户的访问策略，来解决大型园区策略强度与复杂度之间矛盾的一种解决方案
   策略联动方案中的角色：终端、认证接入设备、认证控制设备
   认证控制点与认证执行点之间建立CAPWAP隧道。
   通过CAPWAP完成认证控制设备和认证执行设备之间的用户关联、消息通信、用户授权策略下发、用户同步等处理。

3. 策略联动实现机制

（1）用户上线流程：

    1）控制设备与接入设备间建立CAPWAP通道。
    2）接入设备探测到有新用户接入，建立用户关联表，保存用户与接入端口等基本信息。
    3）接入设备向控制设备发送用户关联请求消息。
    4）控制设备建立用户关联表，保存用户与接入设备的对应关系，并向接入设备发送用户关联回应消息用于通知接入设备关联成功。
    5）用户向控制设备发起认证，接入设备转发用户和控制设备之间的认证报文。
    6）控制设备删除用户关联表项，在认证成功后，控制设备上生成完整的用户表项，同时向接入设备发送用户授权请求通知并下发用户的网络访问策略。
    7）接入设备保存用户关联表项，打开指定的用户网络访问权限并向控制设备发送用户授权请求回应消息。
    8）用户访问指定的网络资源。

（2）典型场景：

    用户接入：认证执行点建立用户关联表，用户与认证控制点之间进行认证交互，认证成功之后认证控制点下发授权信息到认证执行点
    用户离开：用户断开与接入设备连接，认证执行点实时通过CAPWAP隧道通知认证控制点，后者清除用户表项
    用户移动：用户连接到新网络后，重新完成认证操作

4. 方案对比

普通认证方案：

    用户与认证点交互信息，认证点直接与认证服务器交互认证信息，
    认证通过后，认证服务器将用户权限下发给认证点，认证点接口执行用户策略。

策略联动方案：

    用户与认证执行点交互信息，认证执行点通过CAPWAP隧道将身份凭证传递给认证控制点，
    认证控制点与认证服务器交互认证信息。
    认证通过后，认证服务器将用户权限下发给认证控制点，
    认证控制点通过CAPWAP隧道将用户权限传递给认证执行点，
    最终认证执行点接口执行用户策略。

5. 策略联动配置思路

（1）配置接入设备

    建立CAPWAP隧道
    配置接口作为接入点

（2）配置控制设备

    建立CAPWAP隧道
    配置接口作为控制点
    配置接入设备接入认证
    配置用户授权信息