計算機網絡終端準入控制技術

1 引言

    當前，政府、學校及企業等構建了大量內部計算機網絡，以支持自身的信息化建設。由于主要業務都運行在內部網絡，一旦其受到破壞，將產生嚴重的后果。針對各種網絡安全威脅，人們開發應用了防火墻、IDS、IPS、VPN、殺毒軟件等軟硬件技術。雖然耗資巨大，但各種安全威脅仍然未得到有效解決。終端作為網絡的關鍵組成和服務對象，其安全性受到極大關注。終端準入控制技術是網絡安全一個重要的研究方向，它通過身份認證和完整性檢查，依據預先設定的安全策略，通過軟硬件結合的方式控制終端的訪問權限，能有效限制不可信、非安全終端對網絡的訪問，從而達到保護網絡及終端安全的目的。終端準入控制技術的研究與應用對于提高網絡安全性，保障機構正常運轉具有重要作用；對于機構解決信息化建設中存在的安全問題具有重要意義。目前，終端準入控制技術已經得到較大的發展和應用，在安全領域起到越來越重要的作用。本文依據某校園網部署的終端準入控制系統，對其理論原理、運行機制等進行研究，分析存在的不足，提出解決方法。

2發展現狀

    為了解決網絡安全問題，安全專家相繼提出了新的理念。上世紀90年代以來，國內外提出了主動防御、可信計算等概念，認為安全應該回歸終端，以終端安全為核心來解決信息系統的安全問題。同時，很多安全廠家相繼提出了新的安全構想，如思科的自防御網絡(Self-Defending Network，SDN)和華為3COM的安全滲透網絡(Safe Pervasive Network，SPN)等，這些藍圖是上述理念的具體體現，而在SDN、SPN等新型安全構想中不約而同地將準入控制技術作為重要的組成部件或解決方案。

    2．1當前研究概況

    終端準入控制是目前～種新型的安全防御技術，它通過對終端實施安全防護，可以有效地解決因不安全終端接入網絡而引起的安全威脅，將病毒、蠕蟲等各類攻擊拒絕于網絡之外，從而真正保障網絡的安全。

    目前，對終端準入控制還沒有一個權威、統一的定義，甚至其本身也有各種叫法，如網絡接入控制(Network Access Control，NAC)，網絡準入控制(Network Admission Control)，終端安全接入，安全接入控制等等。普遍認為，網絡接入控制是一套可用于定義在節點訪問網絡之前如何保障網絡及節點安全的協議集合。由于該技術的核心概念是從網絡終端的安全控制入手，通過消除終端的不安全因素或將其減少到最小，從而保護網絡和終端的安全，故本文中采取“終端準入控制”的稱謂。

    2．2主要技術產品

    目前，國內外有代表性的終端準入控制技術有以下幾種：

    思科的網絡準入控制(Network Admission Control，NAC)，微軟的網絡接入保護(Network AccessProtection，NAP)，Juniper的統一接入控制(UniformAccess Control，UAC)，可信計算組織TCG的可信網絡連接(Trusted Network Connect，TNC)，H3C的端點準入防御(Endpoint Admission Defense，EAD)等。

    其它如趨勢科技、賽門鐵克、Sophos、北信源、銳捷、啟明星辰等等大大小小國內外廠商也不約而同地基于自身特色提出了準入控制的解決方案。這也從一個方面反映出終端準入控制技術的重要性以及廣闊的發展前景。

3終端準入控制的基本原理

    終端準入控制體現了病毒防治、補丁修復、系統維護等終端安全防護措施與接入控制、身份認證、權限控制等網絡準入控制手段的結合，體現了主動防御、整體安全的理念。

    3．1終端準入控制相關理念

    3．1．1終端安全

    統計結果表明，針對內網的攻擊大部分是由于用戶對終端使用不規范、系統安全級別不高造成的。但是很多網絡的安全管理依舊將主要精力放在邊界防護，大部分內網目前都還是采用邊界防護模式，把安全重點放在內外網邊界上。然而隨著網絡接入手段越來越多樣，網絡的邊界在動態快速變化，邊界防護模式存在不足，我們需要新的安全解決方法，確保我們的內網安全。在文獻11中，作者系統地闡述了終端安全是影響信息系統安全的根源這個學術觀點，同時提出以工程控制模型構建網絡安全的方法，有很好的借鑒意義。

    3．1．2網絡準入控制

    到目前為止，有大量不同的網絡準入控制方式，各自的功能和控制點不同，大致可從保護對象和開發模式劃分。

    按保護對象，可分為網絡可信接入控制和終端可信接入控制。前者將網絡視為可信主體，接入終端為不可信主體，強調終端接入網絡后網絡系統的安全性。主要思路是從終端著手，通過管理員制定的安全策略，對接入網絡的終端進行安全性檢測，自動拒絕不安全的終端接入受保護網絡，直到這些終端符合網絡內的安全策略為止；后者將終端視為可信主體，網絡為不可信主體，強調對終端的保護，防止終端接入到不安全的網絡中，其典型技術是違規外聯技術。

    按開發模式，可將網絡接入控制分為內嵌型(in．band)、帶外型(out-of-band)、基于交換機型(switch．based)、基于主機型(host-based)。

    隨后討論的EAD系統(包括NAC、UAC)屬于網絡可信型、帶外型準入控制。這種方式的特點是基于代理和無代理的控制，代理模式下保證全面強制執行安全策略，而無代理模式下保證終端接收安全漏洞掃描或者策略評什掃描，根據掃描結果決定準入措施。同時，帶外型接入控制由接入設備利用802．1x、SNMP、DHCP和ARP等協議強制執行策略，對網絡性能影響很小，不需要額外的設備，但其控制效果依賴于上述協議的發現和執行機制。

    3．2終端準入控制運行機制終端準入控制是一種主動式網絡安全管理技術，體現了主動防御的理念，能有效增強網絡的安全性。終端在接入網絡之前，必須先接受身份認證和完整性度量，只有可信并且符合安全策略的終端才獲準訪問網絡，拒絕不符合安全策略的設備接入，或將其放入隔離區加以修復，或僅允許其訪問限定資源。終端準入控制系統的運行圍繞著終端安全狀態檢測展開，其周期可用下圖描述(見圖1)。

    圖1 “檢測．決策．執行”周期

    檢測包含準入前檢測(Pre．Admission Assessment)和準入后檢測(Post—Admission Assessment)，準入前檢測在終端獲得網絡訪問權限之前進行，準入后檢測與其相反。準入后檢測可以周期性地檢測終端安全狀態，保證其不會在網絡訪問過程中引入安全威脅。終端一旦連接到網絡就要接受檢測，系統之后依據檢測結果和管理者制定的策略做出準入決策，最后執行該決策，整個過程周期性地循環。另外，當終端的安全狀態發生改變時，將激發這個過程。

    3．3終端準入控制系統框架

    終端準入控制的核心概念是從網絡終端的安全控制入手，結合身份認證，安全策略執行和網絡設備聯動，以及第三方軟件系統(信息服務系統、殺毒軟件和系統補丁服務器等)的應用，完成對終端的強制認證和安全策略實施，從而達到保障整個網絡安全的目的。當前應用方案的框架基本相似，都由3個邏輯部件構成，分別為(參考TNC的術語)：接入請求部件(AccessRequestor，AR)、策略實施部件(Policy EnforcementPoint)以及策略決定部件(Policy Decision Point)。在實際應用中，往往還包含提供特定應用支持的第三方服務部件，例如第三方的防病毒軟件或防病毒服務器(見圖2)。

    圖2終端準入控制系統的邏輯結構

    3．3．1接入請求部件

    該部件是請求訪問受保護網絡的實體，主要負責協商和建立網絡連接、為終端或用戶提供認證代理以及收集來自終端的完整性度量值，并將該值傳遞給網絡。AR在實際系統中往往體現為一個包含多個安全組件的客戶端軟件集，可以從終端收集身份認證信息(如用戶名、口令、證書、智能卡信息等)和安全狀態信息(防毒軟件及病毒庫版本、操作系統更新版本、補丁安裝情況、軟件列表等)，然后將這些信息傳送到相連的網絡，在此實現準入控制。

    3．3．2策略實施部件

    PEP是網絡中的策略實施點�？刂平K端的訪問權限。這些設備接受終端接入請求信息，然后將信息傳送到策略決定部件接受檢查，由其決定采取什么樣的措施。按照策略決定部件的準入控制決策，允許、拒絕、隔離或限制終端的網絡訪問請求。實際系統中可以是路由器、交換機、防火墻以及無線AP等，這些設備一般都支持802．1x、RADIUS、DHCP和IPSec等協議。負責將客戶端傳來的認證信息、終端安全狀態信息傳遞給策略服務器，供其做出訪問控制決策，之后從策略服務器獲得訪問控制決策，并執行之。

    3．3．3策略決定部件

    PDP是整個系統管理和控制的核心，作為一個軟件的集合實現用戶管理、用戶認證、安全策略管理、安全狀態評估、安全決策控制以及安全事件審計記錄等功能。主要是AAA(Authentication、Authorization、Accounting，驗證、授權、記賬)服務器，支持RADIUS協議。根據客戶端認證信息、安全狀態信息，決定是否允許計算機進入網絡，并根據預先設定的策略，向PEP設備發出訪問控制決策。這一過程需要依賴客戶制定的訪問策略。實際系統還必須提供管理服務組件，實現管理操作界面、監控工具、審計報告生成等管理服務。

    3．3．4第三方服務部件

    第三方的Av-防病毒軟件、防病毒服務器和補丁服務器等，前者可與接入請求部件等捆綁處于同一軟件集中也可單獨部署，后兩者處于隔離區中，用于終端進行自我修復或補丁升級。

4當前系統及其不足與改進

    某校當前部署的EAD系統是一項網絡端點接入控制方案，它通過對網絡接入終端的檢查、隔離、修復、管理和監控，加強了終端安全，使網絡變被動防御為主動防御。

    4．1 EAD系統簡介

    EAD系統基本功能通過安全客戶端、安全聯動設備(交換機、路由器、SecPath IAG智能業務網關)、安全策略服務器以及防病毒服務器、補丁服務器的聯動實現，其系統運行過程如下圖表示(見圖3)。

    圖3 EAD系統運行過程

    4．2當前系統的不足

    當前系統在有力保障校園網安全有效運行的同時，存在一些不足之處。

    4．2．1認證過程存在安全隱患

    系統中認證過程存在一定隱患，例如在系統中采用用戶名加口令登錄，而且信息傳輸安全性不高。雖然也能應用EAP．TLS，實現客戶端與服務器強相互身份認證，但仍然能被繞過而受到中間人攻擊、會話劫持攻擊。因此要想進一步增強端點準入防御機制的安全功能，勢必要加強客戶端與服務器端之間信息傳輸的安全性。

    4．2．2安全客戶端及相關軟件檢查存在缺陷

    目前，系統對安全客戶端軟件進行檢測的過程比較簡單，非法的兼容客戶端軟件通過接收版本檢查請求幀，然后將合法安全客戶端發出的應答幀信息封裝到版本檢查應答幀中發送給聯動設備，能規避系統檢查，躲避版本檢測�，F有系統無法抵御這種典型的重放攻擊。同時，系統對指定軟件的檢查還只能簡單的針對軟件名稱進行，安全性不夠高。

    4．2．3多網卡及其使用狀態識別不夠準確

    當前便攜式計算機多存在多網卡，但是系統對多網卡識別不夠細化，不能檢測真實網卡的實際狀態。一旦在安全策略中設置禁止使用多網卡將影響合法使用多網卡的用戶。

    4．2．4無法支持虛擬化應用。

    虛擬化技術對終端準入控制提出了嚴峻的考驗。準入控制能防止違反策略的終端接入網絡，而對虛擬化終端就很難做到這一點。然而使用虛擬化軟件構建虛擬網絡以支持教學、科研的情況比較普遍，但是當前系統無法區分虛擬網卡與真實網卡，如果禁止使用了虛擬機(虛擬網卡)的終端使用網絡，將影響正常用戶的工作。

    4．2．5建網成本較高

    構建EAD系統需要配備H3C支持802．1x協議的交換機，因而已有的交換設備無法充分利用，建網成本較高。同時，由于802．1x協議的靈活性，很多廠家根據自身需要添加私有規范，開發自己的軟硬件設備，導致改動標準協議現象比較普遍。各個廠家的交換機，都有對協議擴展屬性的閱讀和判斷能力，如果交換機無法識別，很可能就丟棄報文或者修改屬性，因此不同的產品無法交互。這也是當前各種網絡準入控制解決方案的共同問題。

    4．3針對不足的改進

    針對上述不足，目前已有研究人員提出了相應的改進方案以及測試，但是仍然存在大量工作需要完成。

    4．3．1改善認證過程消除安全隱患

    目前已經使用的解決方案是四步握手認證方案，其基本思想是要求認證者(PEP)基于RADIUS為申請者(AR)生成會話密鑰，與請求者完成雙向認證。

    4．3．2改善設備交互機制彌補安全狀態檢查缺陷

    提出了一種基于Challenge認證的客戶端軟件檢測方法，能夠避免通過兼容客戶端軟件接入網絡。其思想為：認證過程中，利用客戶端和認證者共享的對稱密鑰S將隨機數X加密后發送給客戶端，客戶端將X與版本信息T合并產生應答消息，對該消息計算Hash值回傳，認證者通過同樣方式計算并對比Hash值，以檢測客戶端版本是否合法。但是，在客戶端如何保存對稱密鑰S和版本信息T，以及雙方怎樣同步更新密鑰是值得討論的問題。另外，版本信息T是公開的，如何防范選擇明文攻擊也是一個問題。針對其他安全軟件的檢查可以考慮結合注冊表信息、軟件數字證書等進行。

    4．3．3改進安全客戶端，識別硬件使用狀態

    針對多網卡終端，可以通過改進安全客戶端識別不同網卡的狀態以及使用情況，以更好地支持合法用戶使用網絡。

    4．3．4針對虛擬化應用，進行產品優化

    當前的解決方案缺乏與虛擬機的兼容性，沒有配置虛擬交換機的能力，無法將終端準入控制配置到虛擬環境中。當虛擬機在虛擬網絡中廣泛應用的時候，難以控制其與虛擬交換機的連接。因為物理安全系統無法看到虛擬LAN中流量的運行情況，而隨著虛擬機在物理平臺上運行，必然帶來安全上的隱患。因而解決虛擬化中的安全問題也是當前學界和產業界的熱點。國外已有Reflex Security和Altor Networks等公司提出了虛擬化安全解決方案。

    4．3．5制定行業標準，統一數據格式

    制定行業標準，使不同設備實現兼容與互操作，將減少部署終端準入控制系統的投入，無疑將促進該技術的發展進步。而當前系統可考慮通過加強客戶端軟件及安全策略服務器，使用支持標準協議的設備等措施實現對非本廠家產品的兼容。

5結論

    終端準入控制技術以終端安全為根本，以準入控制為手段，綜合運用各種網絡安全技術及設備，提升了網絡對于安全威脅的主動防御、整體防御、綜合防御能力。然而擁有一整套的終端準入控制方案并不意味著實現了網絡安全，更重要的是網絡安全管理人員科學合理的安全策略和實施，以及用戶的積極主動配合�？梢韵胂�，在內部網絡中如果存在針對IE的極光病毒Auroras，而管理員并未在安全策略中配置對微軟相應補丁程序的檢測規則，那么再好的準入控制也不能阻止受感染終端對內網的危害。因此，正如Kadrich在《終端安全》一書中不斷強調的：網絡安全是一個過程控制問題。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://m.hanmeixuan.com/

本文標題：計算機網絡終端準入控制技術

本文網址：http://m.hanmeixuan.com/html/support/1112157416.html