本文档描述了在无线网络环境中集成EAD解决方案,为无线接入用户提供安全可靠的网络环境。包括在无线网络环境中EAD的组网方案,数据流程及对应的设备型号。
缩略语清单List of abbreviations: Abbreviations缩略语 Full spelling 英文全名 Chinese explanation 中文解释 WPA Wi-Fi Protected Access Wi-Fi网络安全访问 WPA2 Wi-Fi Protected Access2 Wi-Fi网络安全访问第二版 EAD Endpoint Admission Defense 端点准入防御
目前,针对病毒、蠕虫的防御体系还是以孤立的单点防御为主,如在个人计算机上安装防病毒软件、防火墙软件等。当发现新的病毒或新的网络攻击时,一般是由网络管理员发布病毒告警或补丁升级公告,要求网络中的所有计算机安装相关防御软件。从企业病毒泛滥、损失严重的结果来看,当前的防御方式并不能有效应对病毒和蠕虫的威胁,存在严重不足:
n 被动防御,缺乏主动抵抗能力
在多数情况下,当一个终端受到感染时,病毒已经散布于整个网络。亡羊补牢的方法固然有效,但企业用户更多需要的是:在安全威胁尚未发生时就对网络进行监控和修补,使其能够自己抵御来自外部的侵害。而对网络管理员来说,目前的解决方式无法有效监控每一个终端安全状态,也没有隔离、修复不合格终端的手段,造成主动防御能力低下。
n 单点防御,对病毒的重复、交叉感染缺乏控制
目前的解决方式,更多的是在单点防范,当网络中有某台或某几台机器始终没有解决病毒问题而又能够顺利上网时,网络就会始终处于被感染、被攻击状态。
n 分散管理,安全策略不统一,缺乏全局防御能力
只有从用户的接入终端进行安全控制,才能够从源头上防御威胁,但是,分散管理的终端难以保证其安全状态符合企业安全策略,无法有效地从网络接入点进行安全防范。在分散管理的安全体系中,新的补丁发布了却无人理会、新的病毒出现了却不及时升级病毒库的现象普遍存在。分散管理的安全体系无法彻底解决病毒和操作系统漏洞带来的网络安全威胁,只有集中管理、强制终端用户执行,才能够起到统一策略、全局防范的效果。
为了解决现有安全防御体系中存在的不足,H3C推出了端点准入防御(EAD)解决方案,旨在整合孤立的单点防御系统,加强对用户的集中管理,统一实施企业安全策略,提高网络终端的主动抵抗能力。EAD方案通过安全客户端、安全策略服务器、接入设备以及防病毒软件的联动,可以将不符合安全要求的终端限制在“隔离区” 内,防止“危险”终端对网络安全的损害,避免“易感”终端受病毒、蠕虫的攻击。其主要功能包括:
n 检查——检查用户终端的安全状态和防御能力
用户终端的安全状态是指操作系统补丁、防病毒软件版本、病毒库版本、是否感染病毒等反映终端防御能力的状态信息。系统补丁、病毒库版本不及时更新的终端,容易遭受外部攻击,属于“易感”终端;已感染病毒的终端,会对网络中的其他设施发起攻击,属于“危险”终端。EAD通过对终端安全状态的检查,使得只有符合企业安全标准的终端才能正常访问网络,同时,配合不同方式的身份验证技术(802.1X、VPN、Portal等),可以确保接入终端的合法与安全。
n 隔离——隔离“危险”和“易感”终端
在EAD方案中,系统补丁、病毒库版本不及时更新或已感染病毒的用户终端,如果不符合管理员设定的企业安全策略,将被限制访问权限,只能访问病毒服务器、补丁服务器等用于系统修复的网络资源,这些受限的网络资源被称之为“隔离区”,可以通过ACL或VLAN方式实现。
n 修复——强制修复系统补丁、升级防病毒软件
EAD可以强制用户终端进行系统补丁和病毒库版本的升级。当不符合安全策略的用户终端被限制到“隔离区”以后,EAD可以自动提醒用户进行缺失补丁或最新病毒库的升级,配合防病毒服务器或补丁服务器,帮助用户完成手工或自动升级操作,达到提升终端主动防御能力的目的。完成修复并达到安全策略的要求以后,用户终端将被取消隔离,可以正常访问网络。
n 管理与监控
集中、统一的安全策略管理和安全事件监控是EAD方案的重要功能。企业安全策略的统一实施,需要有一个完善的安全策略管理平台来支撑。EAD提供了集接入策略、安全策略、服务策略、安全事件监控于一体的用户管理平台,可以帮助网络管理员定制基于用户身份的、个性化的网络安全策略。同时EAD可以通过安全策略服务器与安全客户端的配合,强制实施终端安全配置(如是否实时检查邮件、注册表、是否限制代理、是否限制双网卡等),监控用户终端的安全事件(如查杀病毒、修改安全设置等)。
802.1X是IEEE定义的基于端口的访问控制框架。该技术也是用于无线局域网的一种增强网络安全解决方案。当无线工作站STA与WLAN设备关联后,是否可以使用WLAN设备的服务要取决于802.1X的认证结果。如果认证通过,则WLAN设备为STA打开这个逻辑端口,否则不允许用户连接网络。
802.1X协议仅仅关注端口的打开与关闭,对于合法用户(根据帐号和密码)接入时,该端口打开,而对于非法用户接入或没有用户接入时,则该端口处于关闭状态。认证的结果在于端口状态的改变,而不涉及通常认证技术必须考虑的IP地址协商和分配问题,是各种认证技术中最简化的实现方案。
在开启了802.1X的网络中,无线用户接入网络的过程如下:
1. WLAN客户端接入网络时,在association阶段,WLAN设备为客户端创建逻辑接口,并拒绝没有经过802.1X认证的用户的所有流量。
2. WLAN客户端发送EAPOL-START开始802.1X认证。客户端发送的认证报文由EAP封装,由WLAN设备透传到认证服务器上。
3. 当客户端认证通过后,WLAN设备允许此客户端接入网络,并且与客户端之间协商加密密钥,并为后续的数据报文进行加密。
EAP是IETF定义的一种用于承载多种认证协议的框架。EAP可以承载在不同的传输协议上,如802.1X,RADIUS,TCP等等。
EAP报头的格式如下:
图1 EAP报头格式
在EAP协议中,有四种报文:
1. Request
Request报文是由authenticator发给认证客户端的.每个Request使用Type字段标识了服务器端需要请求的内容。
2. Response
Response报文是由认证客户端发给authenticator的,用于对Request报文进行回应。在Response报文中, Identifier与Request报文相同,标识了这个Response为相应Request报文的回应。
3. Success
Success报文是由authenticator在认证结束后发给认证客户端的,标识本次进行认证的认证客户端成功通过认证。
4. Failure
Failure报文是由authenticator在认证结束后发给认证客户端的,标识本次进行认证的认证客户端未能成功通过认证。
EAP协议由下面三个部分组成:
1. Supplicant
用于响应Authenticator认证请求的网络终端。在无线EAD解决方案中为iNode一体化认证客户端。INode客户端支持在有线网络环境或无线网络环境中使用,支持的认证方式有:EAP-PEAP,EAP-TLS。下面简要介绍两种不同的EAP认证方式:
Ø EAP-TLS:
EAP-TLS是EAP- Transport Layer Security认证方式的缩写,其采用PKI认证结构对Supplicant与Server两侧都进行认证。在实际的部署应用中,需要为客户端及服务器端分发证书。EAP-TLS部署时,不需要对用户配置密码,可以将客户端证书导入到PC中或保存在USBKEY中,适合在企业网部署。
Ø EAP-PEAP:
EAP-PEAP时EAP-Protect EAP认证方式的缩写,在Supplicant与Server之间采用TLS隧道保护用户名/密码等相关的认证信息。在部署EAP-PEAP-MD5时,可以将用户名从LDAP服务器同步到iMC,同时对用户密码的管理可以使用iMC,也可以使用LDAP服务器进行管理。
2. Authenticator
用于在网络中发起EAP请求的网络设备。在无线EAD解决方案中为H3C无线网络控制器。
3. Authentication server
用于为Authenticator提供认证服务,实现不同的EAP认证协议。在无线EAD解决方案中为H3C iMC。
图2 基于EAP的用户认证交互流程
无线用户接入网络的流程如上图所示,具体的步骤如下:
1. 无线客户端发送EAPol-start标识客户端发起认证。
2. 无线控制器发送EAP请求,获得用户的ID信息,并通过RADIUS报文发送到RADIUS服务器上。
3. 认证服务器发送请求,其中包括了EAP的认证类型。
4. 无线客户端与认证服务器就相应的EAP认证类型继续相应的认证过程。
5. 如果协商通过,认证服务器发送EAP-SUCCESS报文,标识用户通过认证,否则发送EAP-FAILURE报文,标识用户认证失败。
在IEEE 802.11i 标准最终确定前, WPA标准是代替WEP的无线安全标准协议,为 IEEE 802.11无线局域网提供更强大的安全性能。WPA是IEEE802.11i的一个子集,其核心就是IEEE802.1X和TKIP。
认证:在802.11中几乎形同虚设的链路认证阶段,到了WPA中变得尤为重要起来,它要求用户必须提供某种形式的证据来证明它是合法用户,并拥有对某些网络资源的访问权,并且是强制性的。
WPA的认证分为两种:第一种采用802.1X+EAP的方式,用户提供认证所需的凭证,如用户名密码,通过特定的用户认证服务器(一般是RADIUS服务器)来实现。在大型网络中,通常采用这种方式。但是对于一些中小型的网络或者个别用户,架设一台专用的认证服务器未免代价过于昂贵,维护也很复杂,因此WPA也提供一种简化的模式,它不需要专门的认证服务器,这种模式叫做WPA预共享密钥(WPA-PSK),仅要求在每个WLAN节点(FAT AP、无线控制器、网卡等)预先输入一个密钥即可实现。只要密钥吻合,客户就可以获得WLAN的访问权。由于这个密钥仅仅用于认证过程,而不用于加密过程,因此不会导致诸如使用WEP密钥来进行802.11共享认证那样严重的安全问题。
加密:WPA采用TKIP为加密引入了新的机制,它使用一种密钥构架和管理方法,通过由认证服务器动态生成分发的密钥来取代单个静态密钥、把密钥初始化向量长度从24位增加到48位等方法增强安全性。TKIP利用了802.1X/EAP框架,认证服务器在接受了用户身份后,产生一个唯一的主密钥处理会话。然后,使用主密钥为用户会话动态产生一个唯一的数据加密密钥,来加密每一个无线通信数据报文。TKIP的密钥构架使WEP静态单一的密钥变成了500万亿可用密钥。虽然WPA采用的还是和WEP一样的RC4加密算法,但其动态密钥的特性很难被攻破。
消息完整性校验(MIC):为了防止攻击者从中间截获数据报文、篡改后重发。除了和802.11一样继续保留对每个数据分段(MPDU)进行CRC校验外,WPA为802.11的每个数据分组(MSDU)都增加了一个8个字节的消息完整性校验值。WPA中的MIC则是为了防止黑客的篡改而定制的,它采用Michael算法,具有很高的安全特性。当MIC发生错误的时候,数据很可能已经被篡改,系统很可能正在受到攻击。此时,WPA还会采取一系列的对策,比如立刻更换组密钥、暂停活动60秒等,来阻止黑客的攻击。
为了进一步加强无线网络的安全性和保证不同厂家之间无线安全技术的兼容,IEEE802.11i工作组开发了作为新的安全标准的IEEE802.11i ,并且致力于从长远角度考虑解决IEEE 802.11无线局域网的安全问题。IEEE 802.11i标准已在2004年6月24美国新泽西的IEEE标准会议上正式获得批准。
802.11i 与 WPA 相比增加了一些特性:
1.AES::更好的加密算法,但是无法与原有的802.11架构兼容,需要硬件升级。
2.CCMP : 以 AES 为基础。
3.IBSS::802.11i 可以应用于IBSS网络模式, 而WPA只能应用在ESS网络模式中。
4.Preauthentication:用于使用户在不同的 BSS(Basic Service Set)间漫游时,减少重新连接的时间延迟。
无线局域网的安全问题主要体现在访问控制和数据传输两个层面。在访问控制层面上,非授权或者非安全的客户一旦接入网络后,将会直接面对企业的核心服务器,威胁企业的核心业务,因此能对无线接入用户进行身份识别、安全检查和网络授权的访问控制系统必不可少。 在无线网络中,结合使用EAD解决方案,可以有效的满足园区网的无线安全准入的需求。
图3 无线EAD典型组网1-1
图4 无线EAD组网1-2
1. AP与AC之间的连接可以使用二层连接,也可以使用三层连接。
2. 用户的身份接入控制在WX5002或在无线控制器插卡上。
3. 无线接入用户使用基于WPA或WPA2的802.1X进行身份验证。
4. 使用的认证类型为WPA2时,可以单AC的快速漫游。
5. 使用的认证类型为WPA时,在漫游时需要进行重新认证。
6. 基于用户身份的控制信息在AC上下发。
图5 无线用户认证流程
在集成了无线EAD解决方案后,无线用户的认证过程如下:
1. 无线客户端发送EAPol-start标识客户端发起认证。
2. 无线控制器发送EAP请求,获得用户的ID信息,并通过RADIUS报文发送到RADIUS服务器上。
3. 认证服务器发送请求,其中包括了EAP的认证类型。
4. 无线客户端与认证服务器就相应的EAP认证类型继续相应的认证过程。
5. 如果协商通过,认证服务器发送EAP-SUCCESS报文,标识用户通过认证,否则发送EAP-FAILURE报文,标识用户认证失败。
6. 当认证成功后,由于无线客户端未通过安全认证,在AC上对此用户下发隔离ACL。
7. AC下发策略服务器的信息给iNode客户端。
8. iNode客户端与iMC之间进行安全认证信息的交互。
9. 当安全认证通过后,iMC为无线客户端下发安全策略。
1.由于在AC上部署了802.1x认证,所有非法用户将不能访问企业内部网络。并且认证通过前,用户终端之间无法实现互访。
2.合法用户接入网络后,其访问权限受在AC上下发的基于用户的ACL控制。特定的服务器只能由被授权的用户访问。
3.用户正常接入网络前,必须通过安全客户端的安全检查,确保没有感染病毒且病毒库版本和补丁得到及时升级。降低了病毒和远程攻击对企业网带来的安全风险。
4.通过使用iNode客户端,可对用户的终端使用行为进行严格管理,比如禁止设置代理服务器、禁用双网卡等。
5.如果全网部署WPA2,支持在AP间进行快速漫游,无需再次进行用户身份认证。
在网络中部署无线EAD的典型组网1,需要配置如下设备:
n 无线控制器:
H3C WX5002,H3C LS8M1WCM128A0
n AP:
H3C WA2110-AG
n 策略服务器:
H3C iMC/CAMS
n 认证客户端:
H3C iNode
图6 无线EAD解决方案典型组网2
1. 本组网适用在使用非H3C无线设备的企业级无线网络环境中部署EAD解决方案。
2. FIT AP与无线控制器之间的连接可以使用二层连接,也可以使用三层连接。
3. 用户接入时需要使用Windows客户端接入无线网络,然后使用iNode进行Portal接入。
4. 在组网中,用户IP地址不发生变化的情况下,可以在AP之间漫游。
5. 基于用户身份的控制信息在S75E/IAG上下发。
1. 无线用户接入企业网络。
2. 在无线报文发送到无线控制器后,解开LWAPP封装,发送到用户的内网中。
3. 当解封装后的报文发送到交换机上时,在汇聚交换机上将报文重定向到EAD网关上进行Portal认证。
4. 当Portal认证完成后,客户端进行安全认证,通过安全认证后,对用户下发基于用户身份的安全控制策略。
1.在汇聚层设备上进行旁挂Portal网关部署了Portal认证,在无线用户通过身份认证之前,只能访问在Portal网关规定的资源。
2.合法用户接入网络后,其访问权限受在Portal网关上下发的基于用户的ACL控制。特定的服务器只能由被授权的用户访问。
3.用户正常接入网络前,必须通过安全客户端的安全检查,确保没有感染病毒且病毒库版本和补丁得到及时升级。降低了病毒和远程攻击对企业网带来的安全风险。
4.通过使用iNode客户端,可对用户的终端使用行为进行严格管理,比如禁止设置代理服务器、禁用双网卡等。
5.如果漫游时用户IP未发生变化且数据流仍然通过Portal网关,则无需再次进行用户身份认证。
在网络中部署无线EAD的典型组网2,需要配置如下设备:
n 策略服务器:
H3C iMC/CAMS
n 认证客户端:
H3C iNode
n EAD安全控制网关:
S7502E/IAG
无线EAD解决方案典型组网1:
优势:
1. 当无线用户接入网络时进行控制,控制力度大。
2. 直接在无线控制器上下发ACL,对用户可以直接进行控制。
3. 与用户侧的IP地址无关,用户IP发生变化,不影响用户进行漫游。
不足:
1. 要求无线网络设备必须是H3C的设备。
2. 必须使用H3C的iNode客户端进行PC的无线、认证功能的管理。
无线EAD解决方案典型组网2:
优势:
1. 可以不使用H3C的无线设备。满足异构环境下,无线EAD解决方案的部署。
不足:
1. 需要在接入无线网络后,进行Portal认证。
2. 需要使用H3C的iNode客户端进行Portal认证,用户侧可能需要二次认证。
3. 漫游时,需要保证用户的IP地址不发生变化,且漫游之后接入网络时,报文仍然通过Portal认证网关。
[1] RFC3748:Extensible Authentication Protocol (EAP) ;
[2] LWAPP:Draft-ohara-capwap-lwapp-04;
