分类: 系统运维
2008-03-21 19:59:13
随着网络的普及和企业信息化的深入,企业内各种业务对网络的依赖性越来越大。企业的各种信息都跑在企业网内部,一旦商业机密信息泄漏或者被不该看到的人看到,企业的正常运转就会发生严重的后果。所以各个企业网都对网络的安全防范非常重视,但是对于如何完善企业网内部各个人员登录网络时的身份管理和身份识别,各个企业网对此的认识还有待提高。
2em">
大部分企业网选择了以太网技术。以太网灵活性高,技术相对简单,易于实现,但是以太网技术“连通和共享”的设计初衷使目前由以太网构成的网络系统在解决内部身份识别的问题上存在很多先天不足。俗话说得好,“先天不足后天补”,802.1x技术恰好是弥补这个问题的一剂良药。
当前各种身份认证技术的缺点
很多企业网采用用户名/口令的方式实现身份验证。对于远程办公,如员工拨号上网,异地分支机构网上办公等,一般都采用在内部办公网上安装拨号服务器,异地分支机构、外出员工或合作伙伴使用计算机、Modem(调制解调器)等设备,通过电话线路与拨号服务器相连,实现对内部办公网的访问。而远程办公的身份认证和权限控制则与企业内部网络相同。
上面的各种方式很大程度上解决了远程办公和沟通中常见的身份识别问题,但却存在很大的隐患。
1.用户名/口令方式易被破解。网上随处可得的免费口令破解软件,使普通人都能轻易变成黑客,极大地增加了口令破解的风险。
2.很多网络安全设备自身的权限控制功能并不精确。如防火墙的权限控制只能精确到机器,而无法精确到人;服务器的权限控制则只能针对自身应用系统,而无法扩展。
3.拨号服务器为内部网络增加了一条不安全通道和额外负担。在内部网络防火墙后面架设拨号服务器相当于在防火墙上开了一条“自由”通道,而这条通道的防护很少,将成为系统安全中最薄弱的环节。
传统的企业网身份认证技术是采用PPPoE和Web/Portal认证方式。 PPPoE是从基于ATM的窄带网引入到宽带以太网的。由此可以看出,PPPoE并不是为宽带以太网量身定做的认证技术,将其应用于宽带以太网,必然会有一定的局限性。虽然它的实现方式比较灵活,在窄带网中也有较丰富的应用经验,但是,它的封装方式也造成了宽带以太网的种种问题。在PPPoE认证中,认证系统必须将每个包进行拆解才能判断和识别用户是否合法,一旦用户增多或者数据包增大,封装速度必然跟不上,就会成为网络的瓶颈。
Web/Portal认证是基于业务类型的认证,不需要安装其他客户端软件,只需要浏览器就能完成,就用户来说较为方便。但是由于Web认证遵从的是7层协议,从逻辑上来说为了达到网络第二层的连接而跑到第七层做认证,这首先不符合网络逻辑。其次由于认证走的是7层协议,对设备必然提出更高要求,增加了建网成本。第三,Web方式认证是在认证前就为用户分配了IP地址,对目前网络珍贵的IP地址来说造成了浪费,而且分配IP地址的DHCP(动态地址分配协议)对用户而言是完全裸露的,容易导致恶意攻击,而企业网一旦受攻击而瘫痪,整个网络也就没法认证了。为了解决易受攻击问题,就必须加装一个防火墙,这样一来又大大增加了建网成本。
IEEE 802.1x协议正是在基于这样的背景下被提出来的,因而成为解决局域网安全问题的一个有效手段。
802.1x的优势
802.1x协议是由(美)电气与电子工程师协会提出,刚刚完成标准化的一个符合IEEE 802协议集的局域网接入控制协议,其全称为基于端口的访问控制协议。它能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段,达到了接受合法用户接入,保护网络安全的目的。
IEEE 802.1x是一种链路层验证机制协议,控制着对网络访问端口即网络连接点的访问。通过控制网络访问,用户可以在多层安全架构部署第一道防线。在连接设备得到验证之前,网络访问权完全被禁止。得到验证之后,用户才可以被提供第二层交换机通常提供的服务以外的附加服务。这些服务包括第三层过滤、速率限制和第四层过滤,而不仅仅是简单的“开/关”服务。
链路层验证方案的一个优点是,它只要求存在链路层连接,客户端(在802.1x中称为请求者)不需要分配供验证用的第三层地址,因而降低了风险。此外,链路层验证涉及了所有能够在链路上工作的协议,从而不必为每种协议提供网络层验证。802.1x还能够使执行点尽可能地接近网络边缘,因此可以针对连接设备的特定需求定制细粒度访问规则。
在802.1x协议中,只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。
1.客户端:一般安装在用户的工作站上,当用户有上网需求时,激活客户端程序,输入必要的用户名和口令,客户端程序将会送出连接请求。
2.认证系统:在以太网系统中指认证交换机,其主要作用是完成用户认证信息的上传、下达工作,并根据认证的结果打开或关闭端口。
3.认证服务器:通过检验客户端发送来的身份标识(用户名和口令)来判别用户是否有权使用网络系统提供的网络服务,并根据认证结果向交换机发出打开或保持端口关闭的状态。
802.1x验证有效解决客户端非法行为
1.防止客户端代理
在企业网中,代理服务器可谓防不胜防,采用传统的网关身份认证的方式很难对代理服务进行防范。在网络中如果私自搭建了代理服务器,那么很多非授权终端就可以通过同一个代理服务器取得对网络的访问权。而在服务器端看来,这些访问都来自正常的一个终端机器的访问。802.1x客户端由于部署在客户终端上,它能在应用层识别代理行为,从而在终端客户机上阻止代理行为的发生。如果一个终端上发生了代理行为,802.1x客户端将拒绝此终端的入网身份认证请求(如图1所示)。
2.防止影子客户用户的非法登录
所谓影子客户就是指非法用户企图不通过身份认证,而直接采用合法用户的IP地址和MAC地址。由于IP和MAC都是伪造的和合法用户一样,普通交换机并不会报警,也不会出现常规的IP地址冲突的提示。非法用户就可以直接利用合法用户已经通过的身份认证来取得网络的访问权。对于网关身份认证,是没有办法识别影子用户的登录的。不仅留下很大的安全隐患,而且给合法用户带来了经济和安全的危险。非法用户的所有网络行为都将被认为是合法用户自身的所作所为。采用802.1x身份认证之后,再加上把IP和MAC地址绑定到指定的端口,这样就能把影子用户限定到很小的范围,如仅仅是一个端口之内。而其它的认证方式将可能使整个交换机上都存在影子用户(如图2所示)。
随着网络的普及和企业信息化的深入,企业内各种业务对网络的依赖性越来越大。企业的各种信息都跑在企业网内部,一旦商业机密信息泄漏或者被不该看到的人看到,企业的正常运转就会发生严重的后果。所以各个企业网都对网络的安全防范非常重视,但是对于如何完善企业网内部各个人员登录网络时的身份管理和身份识别,各个企业网对此的认识还有待提高。
2em">
大部分企业网选择了以太网技术。以太网灵活性高,技术相对简单,易于实现,但是以太网技术“连通和共享”的设计初衷使目前由以太网构成的网络系统在解决内部身份识别的问题上存在很多先天不足。俗话说得好,“先天不足后天补”,802.1x技术恰好是弥补这个问题的一剂良药。
当前各种身份认证技术的缺点
很多企业网采用用户名/口令的方式实现身份验证。对于远程办公,如员工拨号上网,异地分支机构网上办公等,一般都采用在内部办公网上安装拨号服务器,异地分支机构、外出员工或合作伙伴使用计算机、Modem(调制解调器)等设备,通过电话线路与拨号服务器相连,实现对内部办公网的访问。而远程办公的身份认证和权限控制则与企业内部网络相同。
上面的各种方式很大程度上解决了远程办公和沟通中常见的身份识别问题,但却存在很大的隐患。
1.用户名/口令方式易被破解。网上随处可得的免费口令破解软件,使普通人都能轻易变成黑客,极大地增加了口令破解的风险。
2.很多网络安全设备自身的权限控制功能并不精确。如防火墙的权限控制只能精确到机器,而无法精确到人;服务器的权限控制则只能针对自身应用系统,而无法扩展。
3.拨号服务器为内部网络增加了一条不安全通道和额外负担。在内部网络防火墙后面架设拨号服务器相当于在防火墙上开了一条“自由”通道,而这条通道的防护很少,将成为系统安全中最薄弱的环节。
传统的企业网身份认证技术是采用PPPoE和Web/Portal认证方式。 PPPoE是从基于ATM的窄带网引入到宽带以太网的。由此可以看出,PPPoE并不是为宽带以太网量身定做的认证技术,将其应用于宽带以太网,必然会有一定的局限性。虽然它的实现方式比较灵活,在窄带网中也有较丰富的应用经验,但是,它的封装方式也造成了宽带以太网的种种问题。在PPPoE认证中,认证系统必须将每个包进行拆解才能判断和识别用户是否合法,一旦用户增多或者数据包增大,封装速度必然跟不上,就会成为网络的瓶颈。
Web/Portal认证是基于业务类型的认证,不需要安装其他客户端软件,只需要浏览器就能完成,就用户来说较为方便。但是由于Web认证遵从的是7层协议,从逻辑上来说为了达到网络第二层的连接而跑到第七层做认证,这首先不符合网络逻辑。其次由于认证走的是7层协议,对设备必然提出更高要求,增加了建网成本。第三,Web方式认证是在认证前就为用户分配了IP地址,对目前网络珍贵的IP地址来说造成了浪费,而且分配IP地址的DHCP(动态地址分配协议)对用户而言是完全裸露的,容易导致恶意攻击,而企业网一旦受攻击而瘫痪,整个网络也就没法认证了。为了解决易受攻击问题,就必须加装一个防火墙,这样一来又大大增加了建网成本。
IEEE 802.1x协议正是在基于这样的背景下被提出来的,因而成为解决局域网安全问题的一个有效手段。
802.1x的优势
802.1x协议是由(美)电气与电子工程师协会提出,刚刚完成标准化的一个符合IEEE 802协议集的局域网接入控制协议,其全称为基于端口的访问控制协议。它能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段,达到了接受合法用户接入,保护网络安全的目的。
IEEE 802.1x是一种链路层验证机制协议,控制着对网络访问端口即网络连接点的访问。通过控制网络访问,用户可以在多层安全架构部署第一道防线。在连接设备得到验证之前,网络访问权完全被禁止。得到验证之后,用户才可以被提供第二层交换机通常提供的服务以外的附加服务。这些服务包括第三层过滤、速率限制和第四层过滤,而不仅仅是简单的“开/关”服务。
链路层验证方案的一个优点是,它只要求存在链路层连接,客户端(在802.1x中称为请求者)不需要分配供验证用的第三层地址,因而降低了风险。此外,链路层验证涉及了所有能够在链路上工作的协议,从而不必为每种协议提供网络层验证。802.1x还能够使执行点尽可能地接近网络边缘,因此可以针对连接设备的特定需求定制细粒度访问规则。
在802.1x协议中,只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。
1.客户端:一般安装在用户的工作站上,当用户有上网需求时,激活客户端程序,输入必要的用户名和口令,客户端程序将会送出连接请求。
2.认证系统:在以太网系统中指认证交换机,其主要作用是完成用户认证信息的上传、下达工作,并根据认证的结果打开或关闭端口。
3.认证服务器:通过检验客户端发送来的身份标识(用户名和口令)来判别用户是否有权使用网络系统提供的网络服务,并根据认证结果向交换机发出打开或保持端口关闭的状态。
802.1x验证有效解决客户端非法行为
1.防止客户端代理
在企业网中,代理服务器可谓防不胜防,采用传统的网关身份认证的方式很难对代理服务进行防范。在网络中如果私自搭建了代理服务器,那么很多非授权终端就可以通过同一个代理服务器取得对网络的访问权。而在服务器端看来,这些访问都来自正常的一个终端机器的访问。802.1x客户端由于部署在客户终端上,它能在应用层识别代理行为,从而在终端客户机上阻止代理行为的发生。如果一个终端上发生了代理行为,802.1x客户端将拒绝此终端的入网身份认证请求(如图1所示)。
2.防止影子客户用户的非法登录
所谓影子客户就是指非法用户企图不通过身份认证,而直接采用合法用户的IP地址和MAC地址。由于IP和MAC都是伪造的和合法用户一样,普通交换机并不会报警,也不会出现常规的IP地址冲突的提示。非法用户就可以直接利用合法用户已经通过的身份认证来取得网络的访问权。对于网关身份认证,是没有办法识别影子用户的登录的。不仅留下很大的安全隐患,而且给合法用户带来了经济和安全的危险。非法用户的所有网络行为都将被认为是合法用户自身的所作所为。采用802.1x身份认证之后,再加上把IP和MAC地址绑定到指定的端口,这样就能把影子用户限定到很小的范围,如仅仅是一个端口之内。而其它的认证方式将可能使整个交换机上都存在影子用户(如图2所示)。