深圳联软NAC方案分析解析PPT课件

.,1,网络准入控制技术介绍,深圳联软科技有限公司2020年5月22日星期五,网络准入，不仅仅是802.1x,.,2,Agenda,一、准入控制技术概述二、802.1x准入控制技术介绍三、CiscoNAC准入控制简介四、DHCP准入控制技术简介五、ARP干扰技术简介六、UniAccess准入控制解决方案,.,3,为什么需要网络准入,病毒的爆发周期越来越短网络承载的业务越来越多，可靠性要求越来越高网上的机密信息越来越多，信息的价值越来越高使用网络的人员越来越多，网络接入的接口越来越多网络的接入方式越来越多，无线、远程、VPN,.,4,NAC系统架构,访问请求者,策略执行点,策略决策点,网络边界,.,5,PostureValidator,PostureValidator,网络准入控制,客户端代理,网络访问请求器,网络执行控制点,网络访问授权器,服务器端代理,安全状态检验,1,2,3,4,5,6,7,8,访问请求者,策略部署控制点,策略决策点,PostureCollector,PostureCollector,安全状态收集,.,6,网络准入,网络准入建立如下机制:终端注册安全检测安全隔离安全通知安全修复,.,7,网络准入的意义,防止病毒/蠕虫/间谍件/木马泛滥不符合安全要求的终端不能直接访问未符合安全要求的终端将被自动隔离对接入的设备进行验证，防止非法接入防止非法无线AccessPoint接入没有合法账户无法接入不是单位内的合法终端也无法接入让接入网络的终端都安装代理除非你为其单独设置例外其它更多好处ARPspoofing，IPspoofing,比喻：建立指纹识别网络门禁还可发现/并隔离感冒的员工！,.,8,常见的网络准入控制技术,NetworkDeviceEnforcement802.1x，多网络厂商支持，网络交换机和无线AP上实现CiscoNAC，NAC支持多种准入技术，包括802.1x准入DHCPEnforcement/IPSecEnforementMicrosoftvista，还有美国的一些小厂商GatewayEnforcement主要是防火墙厂商采用该方法ARP干扰许多中国国内厂商采用该方法,.,9,Agenda,一、准入控制技术概述二、802.1x准入控制技术介绍三、CiscoNAC准入控制简介四、DHCP准入控制技术简介五、ARP干扰技术简介六、UniAccess准入控制解决方案,.,10,IEEE802.1x,认证服务器,2,3,802.1x是一个client-server-based的访问控制和认证协议，用于限制非授权的设备直接连接到可被公共访问的LAN网络端口,4,1,1,用户激活网线(例如：启动PC，接上网线),2,交换机向认证服务器发送请求，询问是否允许用户访问网络,3,4,认证服务器返回认证结果,如果是授权用户，交换机打开controlledport，允许用户访问LAN,.,11,IEEE802.1x的3个组件,(2)端口访问认证器AuthenticatorPAE(SwitchorRouter),(1)端口访问请求者SupplicantPAE(PortAccessEntity),EAPOL,EAPOL,EAPoverLAN,(3)认证服务器,EAP:ExtensibleAuthenticationProtocol,.,12,802.1x工作原理,每一个802.1x交换机端口，交换机都为其创建两个虚拟接口,(1)ControlledPort只在通过802.1x认证后才被导通(2)Uncontrolledport:仅仅用于传输EAP包(EAPOL),EAPOL,ControlledPort,UncontrolledPort,应用服务器区后台资源,Radius认证服务器,.,13,802.1x网络准入控制技术,外来电脑（无Agent）进入GuestVLAN不符合安全的桌面电脑进入修复区进行自我修复合法且符合安全要求的进入工作区通过在网络设备上限制VLAN的访问权限，从而实现终端的访问控制,Radius,访客区VLAN,工作区,修复区VLAN,身份安全状态,802.1X,.,14,802.1x准入控制接入过程示例,应用服务器区后台资源,补丁服务器,防病毒服务器,应用服务器,Radius认证服务器,这是姚明，把他设置到VLAN5,支持802.1x的终端接入网络,将端口设置到VLAN5,通过认证之前：终端不能与其它网络资源通信,姚明可以访问网络了,.,15,802.1x交换机端口认证模式,802.1x交换机端口认证模式Singlehost模式一个端口只能连接一台终端Multi-host模式一个端口下可以连接多台终端，只需要一台终端通过认证，其它的终端便可以访问网络Multi-Auth模式一个端口下可以连接多台终端，每台终端都通过认证才能访问网络Huawei-3com的多数型号交换机支持CiscoCatalyst6500系列支持,.,16,802.1x基于Port的准入控制组网(1),应用服务器,准入控制服务器(主),合法用户(符合安全要求),合法用户(不符合安全要求),准入控制服务器(备),准入控制交换机支持802.1X,非法接入,拒绝接入,自动隔离,SingleHost认证控制方案,.,17,802.1xMulti-Auth认证组网方案(2),应用服务器,准入控制服务器(主),合法用户(符合安全要求),合法用户(不符合安全要求),准入控制服务器(备),准入控制交换机支持802.1X,非法接入,拒绝访问,安全修复服务器,受限访问,Multi-Auth认证控制方案,1.无法做VLAN动态切换2.只有：允许和拒绝两种状态3.只能对服务器进行保护4.自动安全修复服务器部署复杂,.,18,802.1x准入控制优缺点,优势802.1x是一个国际标准，多个厂商支持通过动态VLAN切换，实现对不安全终端的隔离不会影响网络的性能缺陷一个交换机端口下面只能接一台终端只有通过LAN接入才能做准入控制，VPN/Wirelesss不行许多网络交换机、HUB不支持802.1x协议许多无线AP支持802.1x，但是不支持动态VLAN切换不同厂商在802.1x协议实现上有差别，存在兼容性问题,.,19,Agenda,一、准入控制技术概述二、802.1x准入控制技术介绍三、CiscoNAC准入控制简介四、DHCP准入控制技术简介五、ARP干扰技术简介六、UniAccess准入控制解决方案,.,20,CiscoNAC系统架构,Policy(AAA)Server,VendorServer,尝试接入网络的主机,网络访问设备NAD,访问控制策略服务器,Credentials,Credentials,EAP/UDP,EAP/802.1x,RADIUS,Credentials,HTTPS,AccessRights,Notification,CiscoTrustAgent,Comply?,Enforcement,管理和监控系统CiscoWorksVMSCiscoWorksSIMS,NAC安全管理的挑战:如何管理众多终端上的Agent？如何获得访问控制的全面应用情况？如何自动分发策略？,NAC安全管理:管理软件Agent以保护桌面终端监视和管理访问设备的性能和运行状况监控端点、访问设备、策略服务器和防病毒产品集中策略管理，确保接入设备符合管理策略,.,21,CiscoNAC,NAC实现准入控制的三种方式NAC-L2-802.1xNAC-L2-IP(EAPoverUDP)NAC-L3-IP(EAPoverUDP)NAC-L2-802.1x与其它网络设备厂商的方式一致NAC-L2/3-IPCisco设备专有,.,22,NAC三种部署技术特性对比,NACL3IPEAPoverUDP安全状态检查(RoutersandVPN)NACL2IPEAPoverUDP安全状态检查(L2交换机端口)NACL2802.1xEAPover802.1x(L2交换机端口),.,23,NAC-L2-802.1x,完全符合IEEE802.1x标准主要特性终端身份和安全状态的认证检查交换机端口动态VLAN设置动态下载ACL交换机端口支持两种模式SingleHost/Multi-host支持的设备Catalyst6500系列(Sup2/32/720),NativeIOS暂时不支持Catalyst4000/4500系列(Sup2+,3-5),IOS版支持Catalyst3550/3560/3750系列Catalyst2940/2950/2955/2970系列,.,24,NACL3IP简介,适合于有多个L3路由器跳数的环境:Cisco路由器和VPN集中器仅提供安全状态检查认证不做身份认证EAPoUDP认证过程由“newIPpacket”触发通过L3/4ACL实现访问控制(per-hostL3/L4ACLs)支持安全状态询查和URLredirection(重定向)通过缺省设置支持未安装Agent的终端由DefaultACL决定缺省的访问权限,.,25,NACL2IP简介,适合于带HUB的局域网环境只有Cisco交换机才支持仅提供安全状态检查认证不做身份认证EAPoUDP认证过程由“ARPrequest”触发IOS:PortACL,IPdevicetracking,&DHCPsnoopingCatOS:ARPinspection,DHCPsnooping通过L3/4ACL实现访问控制(per-hostL3/L4ACLs)支持安全状态询查和URLredirection(重定向)支持未安装Agent的终端接入NAH:NonAgentHost,.,26,NAC-L2/3-IP网络准入控制技术,通过ACL来控制终端访问动态下载ACL和重定向URL依据的安全状态终端可以通过HUB、无线AP、VPN接入只要中间有支持NAC-L2/3-IP的设备,Radius,访客可访问资源,安全区资源,修复区资源,安全状态,NAC-L2/3-IP,ACL访问控制,不支持用户身份认证,.,27,NAC部署示例(完全来自Cisco的资料),MainOffice,BranchOffice,Internet,RemoteAccess,Dial-inNAS,RAIPsecVPN,CampusFW,EdgeRouter,AVServer,AAASvr,BranchRouter,RADIUS(posture),SSL,UbiquitoussolutionforallconnectionmethodsValidatesallhosts,.,28,支持NAC-L2/3-IP网络设备,支持NAC-L2的网络交换机Catalyst3550/3560/3750/4500/4900/6500软件版本(6500以外)：CiscoIOS12.2(25)SG以上版本软件版本(6500):CatOS8.5或CiscoIOS12.2(18)SXF2支持NAC-L3的路由器Cisco830/870系列：831/836/837Cisco1700系列:1701/1711/1712/1721/1751/1760Cisco2600系列:2600XM/2691Cisco3600系列:3640/3640-A/3660-ENTCisco1841/2800/3700/3800系列Cisco7200/7500/7600系列软件版本：CiscoIOS12.3(8)T或以后版本,.,29,NAC-L2/3-IP准入控制优势,组网灵活多种类型设备：交换机、路由器、VPN接入设备等等只要终端访问后台资源中间有支持NAC-L2/3-IP的设备即可允许设置例外，如：网络打印机控制精确通过ACL动态下载，可以实现非常精确的资源访问不同的终端、不同的用户可以访问不同的网络资源指示明确用户违反安全管理规定时，网络设备对其HTTP访问重定向重定向URL可以在Radius服务器上设置不影响网络的可靠性、性能等在边缘接入或者汇聚层进行准入控制,.,30,NAC-L2/3-IP准入控制劣势,Cisco的解决方案，其它厂商网络设备不支持所幸绝大多数高端用户都使用Cisco网络设备必须安装CTACiscoTrustAgentCTA有多个服务进程CTA只做准入控制要结合其它的安全厂商才能做更多的功能防病毒安全补丁如果我还要其它的功能怎么办？资产管理禁止拨号禁止USBCOPY文件出去,.,31,Agenda,一、准入控制技术概述二、802.1x准入控制技术介绍三、CiscoNAC准入控制简介四、DHCP准入控制技术简介五、ARP干扰技术简介六、UniAccess准入控制解决方案,.,32,DHCP准入控制,终端连接到网络时，DHCP服务器给终端分配一个临时的IP和路由，使得终端只能访问有限的资源终端通过安全检查之后，重新获取一个IP，此时可以正常访问网络不是真正意义上的准入控制Microsoft的NAP最初采用此解决方案NAP后来又支持802.1x,IPsec等,.,33,DHCP准入控制的优点和缺点,优点:费用低，通过更换DHCP服务器软件即可实现缺点用户如果手工设置IP，可以绕开准入控制终端如果感染ARP广播病毒，可以继续破坏网络,.,34,Agenda,一、准入控制技术概述二、802.1x准入控制技术介绍三、CiscoNAC准入控制简介四、DHCP准入控制技术简介五、ARP干扰技术简介六、UniAccess准入控制解决方案,.,35,ARP干扰,通过ARP干扰实现准入控制制造IP地址冲突ARPspoofingARPpoisoning技术实现简单，利用了ARP协议本身的一些缺陷主要是一些国内厂商在采取该技术,.,36,ARP干扰的优势和劣势,优点:技术简单，实现成本低缺点:在网络上产生ARP广播，可能会影响网络的正常运行要求在每个网段部署一个干扰器,.,37,Agenda,一、准入控制技术概述二、802.1x准入控制技术介绍三、CiscoNAC准入控制简介四、DHCP准入控制技术简介五、ARP干扰技术简介六、UniAccess准入控制解决方案,.,38,UniAccess安全接入管理产品,综合型桌面管理产品集准入控制、安全管理、传统桌面管理功能于一体以解决桌面安全管理问题为主，同时兼顾传统桌面管理需求努力成为世界领先的终端安全管理产品,安全管理,传统桌面管理,网络准入控制,强制遵守组织安全策略禁止非法用户随意接入,软件部署资产发现使用监控远程维护设备定位,防病毒管理补丁管理策略遵循漏洞管理安全加固个人防火墙,.,39,UniAccess网络准入控制技术,支持基于802.1x协议的准入控制支持多厂商网络设备支持CiscoEoU认证准入控制比802.1x更灵活，组网更方便支持通过探测器(ARP干扰)实现准入控制和HTTP访问重定向同时支持802.1x和NAC准入控制技术(一个Agent)可以验证终端硬件ID防止非法电脑接入同一个Agent支持Cisco网络设备支持华为网络设备,全球第一家,.,40,UniAccess网络准入控制的认证内容,认证项目1：用户名和密码防止外来人员私自安装Agent接入网络认证项目2:终端的安全设置检查终端的防病毒、补丁、操作系统的各种安全设置等认证项目3:终端的ID:硬件ID:MAC+主板+硬盘+CPU终端重新安装OS后“硬件ID”不变防止内部用户将外来终端接入网络或者，防止内网机器接入到外网AgentID:每次安装时随机生成防止用户私自卸载Agent之后，再将Agent重新安装认证项目4:终端从哪个交换机端口接入可以限定终端只能从指定的交换机端口接入,管理员可自定义:终端接入时需认证的项目！,.,41,VPN/拨号接入,Radius,内部网络,ActiveDirectoryLDAP,一个用户账户实现对网络访问一个客户端支持所有访问方式策略集中设置、部署、监视、统计支持多台Radius保障接入服务可靠性,远程访问,WirelessLAN,UniAccess网络准入控制部署示意图,用户认证,802.1x接入,HUB接入,远程分支机构,移动终端,台式机,打印机,桌面终端,分支机构,DB,LeagView后台服务器,准入策略,.,42,准入控制服务的高可用性,高可用性的意义准入控制服务停止导致终端无法接入网络准入控制相关的后台组件网络设备(接入层交换机/路由器、汇聚层交换机/路由器)Radius数据库：准入控制策略LDAP/AD:用户账户验证UniAccess接入控制高可用性措施Radius双机备份策略缓存技术，DB发生故障不影响准入控制服务用户账户缓存技术，LDAP服务器故障不影响准入控制服务AAAdownPolicy与一键式撤防技术,.,43,终端接入网络的处理过程(1),未安装Agent的终端(外来访客/内部终端)802.1x方式接入:自动设置到“访客VLAN”任何HTTP访问，探测器强制弹出提醒页面:如果是内部终端，提醒其安装Agent如果是外来终端，提醒其联系管理员之后才能访问Internet其它方式(CiscoEoU认证控制):缺省不能访问网络资源(管理员许可的除