所属分类: 网络技术 整理: FengNet.Com 更新日期:2006/3/8 10:55:52 阅读次数:6076

802.1x:老根发新芽



由于IEEE 802.1x在历史的舞台上仅仅局限于服务以太局域网,以至于搁浅在被遗忘的角落。但随着无线网络的出现,IEEE 802.1x又焕发出新的生机,一跃成为人们的关注的重点。

近来,受人们日益重视理应“可信”的笔记本电脑以及其他移动设备连入企业网所带来的种种风险的影响,802.1x重新被推上了前台。对那些采取根据终端设备的安全状态、允许或拒绝网络访问的主机策略而言,这项标准俨然是基础。

通常,网管员采用主机安全策略,根据策略授予或者拒绝外部计算机访问企业网络。核查方法包括检查防病毒特征库有无更新?有无及时下载补丁?有无安装防病毒软件和恶意软件?等等。其中满足要求的机器被允许进入,而没有满足要求的机器被送到充当隔离区的虚拟局域网(VLAN)进行补救,或被从网上强行断开。

在这些方案当中,最有名的要数思科公司的网络准入控制(NAC)系统,但其他厂商也提供了类似的方案,如微软、Enterasys Networks等。请注意,所有这些方案都使用专利性机制来传送客户端的安全状态信息。目前可信计算组织(TCP)正开始研究主机策略的标准化问题,但现阶段各厂商还在各自为政。

在采用NAC或者其他主机策略计划之前,我们有必要重新认识一下802.1x。

【从“请求者”说起】

802.1x策略执行技术的工作方式就是,迫使主机完成设备身份验证(而不是用户身份验证)之后,分配到一个IP 地址。802.1x策略执行需要多个步骤,包括可扩展验证协议(EAP)、请求者(supplicant)、验证者(authenticator)以及验证服务器。

下面我们就这四个步骤作一系列的调查和分析。“请求者”是一种客户端软件,当客户端连接到网络时,请求者会与验证者就访问进行协商。据我们调查,有很多厂商提供“请求者”软件,包括Funk Software和Meetinghouse Data Communications。微软也在Windows XP和Windows 2000当中加入了802.1x“请求者”。思科计划将以OEM方式从尚不知名的第三方购得“请求者”,并定于今年夏季发布。

“验证者”是充当中间人的一个网络硬件,如路由器、交换机或者无线接入点。目前许多厂商推出的较新型交换机所用的操作系统都支持802.1x,包括思科和Enterasys等公司。

“验证者”负责与验证服务器进行通信。802.1x标准没有规定要用哪种验证服务器,不过通常的做法是使用RADIUS服务器,因为它广为人知,而且大多数企业网络都部署了RADIUS系统。

802.1x协议建立“请求者”和“验证者”之间的通信,并且传输验证信息,但它没有明确规定将采用何种验证机制,因此这项工作由EAP来处理。各种版本的EAP都规定了各自所需的验证证书。思科的专利性、轻便的可扩展验证协议(LEAP)技术采用预共享口令,这种口令使用微软质询握手验证协议(MS-CHAP)进行加密。

目前由微软和思科共同研发的受保护可扩展验证协议(PEAP)使用存放在验证服务器上的数字证书来对访问网络的设备进行验证;验证通过后,它就会建立起安全连接,然后传输该设备的验证证书。除此之外,另一个选择就是可扩展验证协议——传输层安全(EAP- TLS)协议,它要求主机和验证服务器上都要有证书。

一旦主机通过了验证,就会被分配到一个特定的VLAN。这取决于网络的设计精确度,VLAN可限制用户组只能访问事先定义的一系列资源,并防止用户访问网络的其他地方。如果主机没有通过验证,交换机就会关闭相应端口,拒绝其访问网络,或者把该用户转移到网络资源有所限制的VLAN中。

【802.1x问题不少】

三年前,802.1x就已是一项IEEE标准;两年前,符合802.1x的网络设备就已有售。而在此之前,它仅仅是针对以太局域网而设计,但却没有发挥多大的效果。这是因为,部署802.1x架构存在许多困难。在主机策略执行技术问世之前,这些困难通常抹杀了设备身份验证的优点。

最主要的难题是通用网络架构。许多网络没有使用VLAN和隔离区进行充分隔离,所以网络设计师就要在实现设备身份验证之前,解决掉这些问题。

其次就是身份管理。如果网络缺乏一致的身份管理方案,就会遇到麻烦。Enterasys的CTO John Roese说:“要是每个部门都实施各自的活动目录,就会出问题。部署公共身份结构可以简化802.1x的部署。”

第三个问题是缺少适用于各种网络设备的“请求者”。思科的产品管理经理Russell Rice说:“打印机、PDA、大型机以及比较旧的Unix设备可能好多年都没有‘请求者’。”这会迫使网络管理员在802.1x基础设施中对没有“请求者”的设备进行例外处理。

Enterasys的Roese说:“你首先得明确规定哪个端口将使用哪种验证机制,是802.1x、MAC验证还是其他什么机制。这对一家大企业来说绝非易事。”

同时,给予例外处理也有可能带来安全漏洞。如果某位顾问可以在会议室使用交换机端口,或者某个最终用户可以拔下打印机插头,然后把笔记本电脑连入,整个验证架构的作用就会减小。这就是为什么几乎每家厂商都支持MAC验证的缘故。因为这样就可以把打印机的MAC地址与端口绑定在一起,从而有效地解决这个问题。

最后就是最终用户的问题:一旦被隔离,他们的第一反应就是打电话给求助台。“每隔90天重新设置一次口令,电话就要给打爆了。要是再把他们完全锁在网络外面,你想想会发生什么?”Fortinet的产品营销主管Phil Kwan问道。

【为802.1x赋予新价值】

因为802.1x协议为网络硬件提供了访问控制的功能,所以有许多主机策略执行计划依靠这种协议作为执行机制,来处理未满足主机策略要求的机器。

主机策略执行计划的出现使802.1x再次得到关注。这些计划让802.1x变得更有价值,因为它可以让网络设计师检查机器的安全状态同时并进行验证。

但问题在于,看似可信的机器说不定同未知设备一样容易带来风险。譬如说,越来越多的用户拥有笔记本电脑,会直接把它们接入LAN,如果这些机器感染了蠕虫或者没有下载补丁,它就为感染或者漏洞提供了可趁之机,从而绕过了传统的边界检查。

主机策略执行为802.1x赋予了新的价值:在授予网络访问权限之前,可检查设备的安全状态。思科的Rice说:“人们想获得对LAN的控制权,因为他们觉得在这方面处于下风。某个蠕虫只要击中你的10个桌面系统,你就完蛋了。”

切记:主机策略执行不会缓解802.1x的部署难题。事实上,除了802.1x自身问题以外,主机策略执行方案还需要自己的客户软件和策略评估服务器。

【隔离净化PC】

NAC及其他主机策略执行技术为PC充当某种净化区,从而把不符合安全要求的机器送到隔离区,以便“改过自新”。除了802.1x“请求者”外,主机策略执行还要求每个主机上都装有客户端软件。这个客户端软件能自动检查机器的安全状态,并且联系主机上的其他安全软件,如防病毒软件或者个人防火墙客户软件。譬如说, Zone Labs Integrity代理可以检查更新的防病毒文件、补丁和服务包安装、特定的应用软件(如VPN客户软件)以及特定的注册表键值。

Enterasys的可信终端系统(Trusted End-System)解决方案是一种主机策略执行技术,它依靠Zone Labs或者Sygate客户软件来执行上述功能。思科的NAC需要思科信任代理(Cisco Trust Agent)用于查询客户端软件。目前,信任代理可以查询由赛门铁克、McAfee和趋势科技等公司提供的第三方防病毒客户端软件的状态。它还能检查有无思科安全代理(Cisco Security Agent),这是基于思科公司的主机入侵检测软件。思科还为信任代理发布了应用编程接口(API),希望鼓励其他第三方软件厂商参与进来。

Enterasys、Zone Labs和Sygate及其他厂商都是可信计算组织(TCG)下设的可信网络连接工作组的成员。该工作组旨在为主机策略执行加强多厂商互操作性的解决方案。这与思科的NAC计划截然相反——NAC完全局限于思科硬件。因而,尽管NAC使用基于标准(因而理论上来说具有互操作性)的802.1x 来实现NAC功能,但它本身只能与信任代理和思科的硬件协同工作。

目前,思科提供的惟一具有NAC功能的硬件就是830系列到7200系列的路由器。思科的Rice说,具有NAC功能的交换机可能会在今年夏季上市。

阿尔卡特、网捷、惠普、Extreme和Enterasys都提供主机策略执行技术。这些厂商都使用Sygate Host Integrity客户软件来实现主机策略执行功能。如上所述,Enterasys还支持Zone Labs Integrity客户软件。

除了客户软件外,主机策略执行还需要策略评估服务器。这个服务器不同于802.1x验证服务器,收到来自查询客户端软件的信息后,它能确定主机配置是否合理。

【小结】

我们希望除了可以对LAN和WLAN上的设备进行验证外,802.1x还能根据计算机的安全状态来授予或者拒绝网络访问,成为新技术的基础。

厂商,如思科、网捷、惠普、Extreme、Enterasys及其他厂商应在硬件方面生产符合802.1x的设备。在软件方面,微软、Funk和Meetinghouse都在争夺“请求者”领域的领导地位。

现如今,802.1x应用于大多数网络设备已有好几个年头,同时由于思科的NAC及其他端点安全执行方案的出现让网络设计师更有信心在LAN上实现802.1x验证。但由于在软硬件互操作性方面还缺少适用于各种操作系统的“请求者”; 另外,求助台也可能会接到被隔离用户打来的大量电话,因此,网络设计师应对不利因素有所准备。



--------------------------------------------------------------------------------

相关文章
Wi-Fi无线网络技术及安全性 2014/2/8 23:23:24
为内网安全提供四级认证 2009/12/16 13:17:13
Linux下华为校园网802.1x上网认证客户端操作说明 2009/1/8 10:15:09
Cisco 2621 端口限速配置实例 2008/1/10 17:47:51
新一代网络安全接入技术对比分析 2006/12/4 16:40:41
MAC地址的访问控制 2006/9/13 19:28:58
网络路由安全攻防对策分析及实践 2006/8/8 18:55:12
电子政务特点及其系统安全全攻略 2006/7/29 7:16:55
局域网数据链路层(第二协议层)网络安全 2006/6/13 8:35:01
利用Catalyst交换机防范蠕虫病毒 2006/3/28 13:00:21
交换机网络安全策略全方位解析 2006/1/8 16:25:52
交换机里的安全因子 2005/8/16 17:32:10
如何利用Catalyst交换机及时发现、追踪和缓解蠕虫病毒的入侵? 2005/8/4 13:31:23
在思科交换机上防范典型的欺骗和二层攻击 2005/8/4 12:50:32
利用Catalyst交换机防范蠕虫病毒的入侵 2005/7/8 8:32:43
交换机专业术语 2005/6/29 10:50:09
Win2KSP4八大热点问题 2004/5/25 8:01:12
华为s系列手册(连载1) 2003/9/8 16:07:14


感性空间
设计&运维
网络技术
休闲娱乐
NetFilter
linux&Unix
网络安全
程序空间
软件考试
RFC&ISO
规划&规范
虚拟&存储
Apple技巧
云计算&大数据



文章搜索



站内搜索