摘 要:企业网络中大量哑终端设备的使用,给企业管理带来便利的同时,也带来较大安全隐患。通过分析主流准入控制方式的实现特点及不足,提出一种针对哑终端设备的MAC准入控制方式+网络流量监控相结合的准入控制方法,该方法能够利用2种认证方式的优点, 弥补各认证方式自身的不足,使得针对哑终端设备的网络准入控制能够依托于接入交换机的 MAC认证机制实现端口级别的管控。同时,根据哑终端设备网络业务流量相对固定的特点,采用网络流量监控的方式,为MAC准入控制方式提供持续性的、更细粒度的准入判决控制。
内容目录:
0 引 言
1 系统组成设计
2 系统工作原理和流程设计
2.1 系统工作原理
2.2 流程设计
3 系统实现
3.1 接入层交换设备配置
3.2 汇聚层交换设备配置
3.3 管控服务器设计实现
4 结 语
0引 言
随着计算机及互联网技术的高速发展,各种类型的哑终端设备被大量应用到企业管理与运营中,如网络打印机、摄像头等哑终端设备, 这类设备在为企业节约办公成本的同时也提高了管理效率。但是,在企业网络中大量使用哑 终端设备,使得整个企业网络的规模更加庞大, 管理上随之变得更加复杂。此外,因为哑终端设备自身安全防护能力较弱的特点,极易成为整个企业安全防护网络的突破口,导致企业财产受到损失。哑终端设备对企业来说是一把双刃剑,在为企业带来便利的同时,也为企业带来了巨大的安全隐患。因此,把网络安全的接入认证技术应用到哑终端设备的使用中,保障企业网络的正常运行,防止恶意的网络嗅探、 网络攻击,对网络安全防护具有重要意义。
网络安全的接入认证技术是通过对接入网 络的终端采取相应的认证手段,来限制符合安 全策略的终端网络访问可用性的网络安全技术。目前针对哑终端设备,比较常见的网络准入控 制方式有3种:
(1)接入交换机基本安全配置。这种方式是通过哑终端设备连接的接入交换机提供基本安全配置,来满足对哑终端设备的接入认证需 求。一般在接入交换机上会采取端口隔离、主机网络地址与硬件地址绑定和划分虚拟局域网等配置。这些配置在主流商用的接入交换机上都属于基本安全配置,需要大量的网络管理员根据实际哑终端接入情况,在接入交换机的管理口进行配置操作,后续维护及配置修改难度大,且无法为管理员提供哑终端设备接入企业 网络中的实时信息。因此,这种接入认证的方式适用于网络规模较小、网络拓扑简单,且对 网络安全需求不高的情形。
(2)接入交换机网络准入控制配置。目前, 接入交换机提供的传统网络准入控制(Network Access Control,NAC)方式包括 802.1x 认证、局域网介质访问控制(Media Access Control, MAC)认证和Web认证等方式。其中,MAC认证是通过对终端网卡二层物理地址即MAC地址进行认证,不需要终端设备附加软硬件即可进行认证。在企业网络中,MAC认证常被应用于网络打印机和网络摄像头等哑终端的网络接入认证。MAC认证技术采用典型的客户端/服务器结构,通过认证服务器实现对企业网络中所有哑终端设备的集中认证和管理。在接入交换机上,MAC认证具有丰富的配置属性,可以满足丰富的哑终端设备接入认证的使用场景。但同时,MAC认证方式也存在漏洞,即在接入交换机端口下联Hub的方式下,通过伪造已经认证成功的MAC地址即可接入企业网络。因此, MAC认证的主要缺点是安全性不高,安全性低于802.1x 认证。
(3)基于网络流量探测分析的准入控制方式。该方式与传统的依托于接入交换机的准入控制技术存在很大差异。其准入控制的方式是通过网络扫描及流量特征分析的方式,能够识别企业网络中存活的终端设备及类型,再通过行为流量分析进行终端的异常检测和网络阻断。与传统的准入控制方式相比,基于网络流量探测分析的准入控制方式不需要区分接入企业网络中的终端类型,不依赖于接入交换机上进 行准入认证的相关配置,并且可以避免身份伪 造、渗透攻击等传统准入控制方式无法解决的 问题。
但是,这种准入控制方式也存在一定不足, 主要是其本身实现机制及企业网络中的网络环境所导致的。如果在企业网络中部署了安全设备,如防火墙、网闸,或者开启了终端防火墙, 则网络流量探测将会受到影响,进而影响识别终端类型和终端开启服务的准确性。在进行网络流量探测时,网络中会承载大量的探测数据包,势必造成企业网络负载过重,甚至被流量 探针设备判定为攻击行为。同时,针对异常流量阻断的实现,如果采用策略路由的方式,则 需要将设备以串接的方式部署在企业网络中, 有可能成为企业网络中的安全隐患;如果采简单网络管理协议(Simple Network Management Protocol,SNMP)的方式控制交换机进行流量阻断,则整个业务逻辑的实现将变得更加复杂, 给业务逻辑的实现增加了时间延迟。
通过上述分析,设计采用MAC准入控制与网络流量监控相结合的准入控制方式,重点监管企业网络中的网络打印机、IP电话、摄像头等终端设备的准入控制系统,以满足企业网络在使用中对安全性的需求。
1系统组成设计
采用MAC准入控制方式+网络流量监控相 结合的准入控制方法,其结构分为3个部分, 即终端设备、网络准入设备(由准入认证实体 和流量监控实体组成)和管控服务器,总体结 构如图1所示。
图1 总体结构
(1)终端设备。终端设备是请求访问网络 的受控实体。本文设计的准入控制方法主要针对哑终端设备,如摄像头、网络打印机和互联 网电话等网络设备。当终端设备开机运行后, 其通过与之相接的网络准入设备进行协商,触 发网络准入设备,促使其根据终端设备的信息发起认证。认证通过后,终端设备正式接入企业内部网络,在企业内部网络中接收并发送业务数据。
(2)网络准入设备。网络准入设备是整个系统的控制主体,主要包括连接哑终端设备的接入交换机(被定义为准入认证实体),以及企业网络中的汇聚交换机(被定义为流量监控实体)。在准入认证实体中,统一进行NAC的 MAC认证方式的配置。准入认证实体是准入认证的发起者,也是认证结果的实施者。接入哑 终端设备的端口在获取认证所需的信息后,会 进行数据封装并将其发送给管控服务器;同时 准入认证实体也会在接收到从管控服务器返回 的认证结果后执行开关端口的动作。在流量监控实体中,通过配置镜像流量的方式,将哑终端设备流经汇聚交换机进行业务处理的流量全部复制给管控服务器进行分析。
(3)管控服务器。管控服务器是整个准入终端设备一个或业务流量相似的一组哑终端设备在正常认证过程中的大脑,负责决策某个哑终端设备是否可以接入企业网络中,同时也为管理员掌握企业网络中所有哑终端设备状态提供可视化操作界面及审计日志服务。管控服务器提供的服务主要包括认证管理、流量监测分析、终端 管理、审计记录、策略管理和系统配置等。
认证管理服务负责处理哑终端设备接入企业网络时由准入认证实体发起的MAC认证报文,并返回认证结果。同时,认证管理服务也会在流量监测分析服务发现某个哑终端设备出现异 常业务访问时,通过发送下线报文的方式,将出现异常的哑终端设备进行下线隔离处理。
流量监测分析服务工作的机制针对哑终端 设备业务流量相对固定的特点,收集并记录某一个或业务流量相似的一组哑终端设备在正常工作阶段业务流量的五元组信息,并将其作为流量基线。在后续的流量监测分析过程中,如果哑终端出现了不符合其基线的访问流量,就会被判定为异常的访问行为,由认证管理服务器通过MAC认证下线报文的方式将异常终端隔离在业务网络之外。
2系统工作原理和流程设计
2.1 系统工作原理
基于MAC准入控制与网络流量监控的哑终 端入网管控系统主要包括终端设备(一般为摄 像头、网络打印机、网络投影仪等)、网络设 备(一般为接入层交换机设备、汇聚层接入交 换机)及管控服务器。系统工作原理如图2所示。
图2 系统工作原理
(1)接入交换机获取终端设备信息,触发特征确定为终端设备流量基线及告警策略,并 MAC认证,根据终端设备信息进行MAC认证报文封装,并通过汇聚交换机将其发送至管控服务器。
(2)管控服务器上的认证管理服务负责验证终端设备MAC的认证报文,并向接入交换机返回认证结果,由接入交换机根据认证结果决定交换机端口的开放状态。如果MAC认证成功, 则终端设备可以接入企业内部局域网。
(3)管控服务器通过远程配置的方式,在汇聚交换机上动态配置镜像流量策略,将终端设备的业务访问流量引接给管控服务器进行动态分析。
(4)在管控服务器上运行流量监测分析服务,对镜像到管控服务器的终端设备业务流量进行分析,并生成终端设备业务访问特征。由系统管理员通过下发策略的方式,将业务访问持续监测网络流量是否满足流量基线特征。
(5)流量监测正常的终端,可以持续接入局域网;流量监测异常的终端,需要根据策略告警提示管理员进行处理,管理员可以通过追加基线策略或直接通过MAC认证的下线报文的方式阻断终端设备的网络接入。
2.2 流程设计
系统工作流程主要包括MAC认证和流量监测2个部分。MAC认证完成对终端设备的入网认证,流量监测则完成对终端设备的基线判决和状态识别。
2.2.1 终端设备MAC认证
终端设备MAC认证是一种基于接入交换机端口和MAC地址对设备的网络访问权限进行控 制的认证方法,其入网认证交互流程如图3所示。
图3 入网认证交互流程
(1)认证之前,终端设备与网络准入设备之间需要建立预连接。
(2)网络准入设备检测到终端设备接入企业网络并发送数据报文后,触发网络准入设备对终端设备进行MAC认证。
(3)网络准入设备使用MD5信息摘要算 法挑战字处理用户密码信息,处理后的信息及MD5挑战字被封装在远程用户拨号认证系统的认证请求报文中,由网络准入设备发送到管控服务器,由管控服务器对请求的终端设备进行 MAC认证。
(4)管控服务器使用收到的MD5挑战字处 理本地数据库中对应MAC认证的用户密码,如果与网络准入设备发来的相关信息一致,则向网络准入设备中发送Radius认证成功报文,表示终端设备MAC认证成功,允许该终端设备访 问网络。
(5)网络准入设备根据管控服务器返回的Radius 认证结果进行端口授权。
网络准入设备与管控服务器之间通过Radius 报文进行信息交互。在MAC认证过程中,对于认证数据的保护有两种方式:一是采用密码认证协议(Password Authentication Protocol,PAP), 网络准入设备将MAC地址、共享密码和随机值按顺序依次排列,再经过MD5算法进行哈希处理后,将其封装在属性名为User-Password的字 段中再发送给管控服务器;二是采用质询握手 认证协议(Challenge Handshake Authentication Protocol,CHAP),网络准入设备将CHAP ID、 MAC地址和随机值按顺序依次排列,经过MD5 算法进行哈希处理后,将其封装在属性名CHAP- Password 和 CHAP-Challenge 字段中发送给管控服务器。
2.2.2 流量监测及管控
流量监测分析及管控是对MAC准入认证方式的补充。针对哑终端设备流量特征固定的特点进行数据流分析及匹配。同时,可以借助MAC认证协议流程对异常流量设备进行网络准入设备端口级别的管控。流量监测及周期探测交互流程如图4所示。
图4 流量监测与周期探测交互流程
(1)终端设备发送数据报文触发MAC认证, 认证成功后,接入交换机启动探测定时器。
(2)管控服务器通过远程配置汇聚交换机进行终端设备网络流量的复制,将终端设备流量复制到管控服务器。
(3)管控服务器进行流量基线分析,由系统管理员为终端设备确定流量指纹,并下发策略。
(4)流量指纹异常,管控服务器通过MAC认证下线报文通知接入交换机进行MAC下线处理。
(5)接入交换机通知终端设备下线,停止对相应端口进行授权,并删除在线列表中的相应用户。
(6)接入交换机开启周期性检测定时器, 并检测终端设备报文流量情况。在若干个T时间内,接入交换机均能收到终端设备流量信息,终端设备在线。
(7)接入交换机在T时间内未收到终端设备流量,定时器超时,发送第1次ARP请求, 客户端无响应。
(8)T时间后,定时器第2次超时,未收到终端设备流量,接入交换机发送第2次ARP 请求,终端设备无响应。
(9)T时间后,仍未收到终端设备流量, 定时器第3次超时,探测失败,接入交换机对应的用户下线。
(10)接入交换机向管控服务器发送停止计费请求。
(11)管控服务器向接入交换机发送停止计费响应。
(12)接入交换机停止对相应端口的授权, 并删除在线列表中的相应用户。IP语音打印机
3系统实现
本系统设计用于解决企业内部网络哑终端设备管理困难及容易带来安全隐患等问题,系设计部署的网络拓扑如图5所示。可以看出, LAN Switch部署在接入层,实现企业内部各类哑终端设备的接入,在接入层交换机端口上开启 MAC认证的配置,实现对哑终端设备的接入控制;在网络拓扑的汇聚层,开启汇聚交换机的远程配置管理权限,管控服务器可以通过工具命令语言(Tool Command Language,TCL)远程配置汇聚交换机,将哑终端在内网的数据流量镜像到管控服务器进行数据分析;管控服务器采用链路聚合的接入方式旁路挂接在汇聚交换 机上,与接入层的网络准入设备之间进行MAC 认证协议交互,实现哑终端设备MAC认证的接入控制,同时通过持续分析流量监控设备转发的哑终端设备流量来监控哑终端设备的状态是否异常。
图5 系统实现拓扑图
3.1 接入层交换设备配置
本文采用的接入交换机为华为s5720型号交 换机,MAC认证配置如下:
(1)创建并配置Radius服务器模板、AAA 认证方案以及认证域。
[Switch] radius-server template rd1
[Switch-radius-rd1]radius-server authentication .X.X.X 1812
[Switch-radius-rd1]radius-server authorization X.X.X.X shared-key cipher XXXXXX
[Switch-radius-rd1]radius-server accounting X.X.X.X 1813
# 配置认证方案auth,授权方案author及计费方案acct,认证模式为Radius认证。
[Switch] aaa
[Switch-aaa] authentication-scheme auth
[Switch-aaa-authen-auth]authentication-mode radius
[Switch-aaa] accounting-scheme acct
[Switch-aaa-accounting-abc] accounting-mode radius
[Switch-aaa]authorization-scheme author
[Switch-aaa-author-author]authorization-mode radius
# 配置huawei域,在域下应用认证方案auth、 授权方案author、计费方案acct、Radius认证。
服务器模板rd1。
[Switch-aaa] domain huawei
[Switch-aaa-domain-huawei] authentication scheme auth
[Switch-aaa-domain-huawei]authorization scheme author
[Switch-aaa-domain-huawei] accounting scheme acct
[Switch-aaa-domain-huawei] radius-server rd1
(2)配置MAC认证。
<Switch>system-view
[Switch] mac-authen
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] mac-authen
[Switch-GigabitEthernet0/0/1] quit
3.2 汇聚层交换设备配置
本文采用的汇聚交换机为华为s5731型号交换机,在汇聚交换机上进行镜像流量配置如下:
(1)配置观察窗口。
# 在Switch上配置接口GE0/0/1为本地观察端口。
[Switch] observe-port 1 interface gigabitethernet 0/0/1
(2)配置镜像端口。
# 在Switch上配置接口GE0/0/2为镜像端口,将进入交换机的数据流量绑定到本地观察端口, 即将镜像端口接收到的报文复制一份到本地观察端口。
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port-mirroring to observe-port 1 inbound
#将接口GE0/0/2的入方向绑定到索引为1的观察端口上。
3.3 管控服务器设计实现
管控服务器的软件模块包括认证管理服务模块、流量监测分析模块、策略管理模块和Web管理模块等。其中,Web管理模块包含系统参数配置管理、认证终端管理、审计日志等子模块,管控服务器软件组成如图6所示。
图6 管控服务器软件组成
系统管理员通过Web界面实现对哑终端设 备的接入控制管理,在Web界面上的终端设备 列表中查看当前哑终端设备接入认证状态,如图7所示。可以看出,在终端设备列表中,可以查看认证终端设备在线状态、网络地址及硬件地址、下发的准入认证策略,以及接入/离线业务网络的时间等基本信息。
图7 设备管理界面
如图8所示,在终端设备行为基线管理界 面中,管控服务端会通过流量监测分析模块对终端设备的业务流量进行持续监测分析,并收集终端设备访问企业业务网络的五元组信息。管理员通过管理界面对终端设备设置基线策略, 选择该终端设备允许访问的五元组信息,并设 置设备告警条件。策略在已认证的终端设备生 效后,后续流量监测分析模块发现设备有异常 流量的访问时,会通过认证管理服务模块进行 MAC认证的下线处理。
图8 设备行为基线管理界面
4结 语
针对哑终端设备采用MAC准入控制方式+ 网络流量监控相结合的准入控制方法,可以对不能安装代理软件的哑终端进行无代理准入控制。同时结合终端指纹特征技术,对终端进行更加准确、全面的定义,避免MAC假冒带来的非法接入问题。后续的研究方向,可以考虑研究扩展流量基线,在五元组信息的基础上,进一步分析终端设备网络业务特征,建立更加精准的终端设备指纹特征库;同时,还可以在管控服务器上增加终端设备扫描模块,针对认证终端设备进行更加精准的设备信息扫描,甄别终端设备信息。
引用格式:鹿文杨,孙皓,倪琛,等.基于MAC准入控制与网络流量监控的哑终端入网管控系统设计[J]. 信息安全与通信保密,2024(5):69-79.
作者简介 >>>
鹿文杨,男,硕士,工程师,主要研究方向为网络安全;
孙 皓,男,硕士,工程师,主要研究方向为网络安全;
倪 琛,女,学士,高级工程师,主要研究方向为信息安全和网络安全;
赵秀琼,女,学士,工程师,主要研究方向为网络安全。
选自《信息安全与通信保密》2024年第5期(为便于排版,已省去原文参考文献)
本文暂时没有评论,来添加一个吧(●'◡'●)