Application 趣麵胡
文丨|兴业银行数据中心李剑南徐桂
前,大部分金融机构的网络安全防 =!护仍以网络分区(例如办公网、外 联网、互联网等)的方式进行用户权限、防护措施和访问关系的部署。网络准入控 制作为网络接入的第一道防线,在分区网 络的安全防护中,显得尤为重要。本文介 绍了 802.I X认证接入技术的概况以及金 融园区网实施过程中需要考虑的因素。 认证技朮概况
认证技术通过对每个用户唯一的唯一性认证,以完成后续的授权和记账环节。用户终端与AAA Client之间的通信方式 通常称为“认证方式”。 目前主要的接入认证技术有以下三种:PPPoE、Web + Portal、IEEE802.1X。
1. PPPoE
全称为以太网上的点对点协议(Point-to-Point Protocol over Ether- n et),是一个允许在以太网广播域中的两 个以太网接口间创建点对点隧道的协议。它是一种过渡技术,目前应用处于萎缩逐 步淘汰的阶段。
2. Web+Portal
Portal认证的基本过程是:客户机 首先通过DHCP协议获取到IP地址(也 可以使用静态IP地址),但是客户使用获 取到的IP地址并不能获得完全的网络访 问权限,在认证通过前只能访问特定的IP地址,通常是Porta丨服务器的IP地址。这种方式目前主要运用于包括运营商热点、网吧在内的互联网访问类运用场景。
3. 802.1X
802.1X的全称是“基于端口的网络
接入控制”,属于IEEE 802.1网络协议
组的一部分。它是一种基于端口的Cli
ent/server 的访问控制准入协议,简称
dotlx,最初是为了解决无线局域网安全
问题提出来的,后来被以太网广泛应用,
供了一种认证机制。
802.1X协议为二层协议,网络协议
开销小,对设备的整体性能要求不高,可
以有效降低建网成本;用户通过认证后,
业务流和认证流实现分离,对后续的数据
包处理没有特殊要求。但它也有一些不足
之处,首先,由于它需要特定客户端软件,
部署需要额外的软件费用,且不同厂商软
件并不兼容;其次,网络现有楼层接入交
换机的问题,由于要求楼道交换机支持二
层认证报文透传或完成认证过程,因此在
全面部署该协议的过程中,存在对现网接
入交换机的升级替换问题。
综上所述,这三种认证技术中,由于
802.1X认证实现简单、认证效率高、安
全可靠等优点,目前基于802.1X的认证
煮面机技术应用越来越普遍。
802.1X认证技本简介
802.1X可基于端口来对用户身份进
行认证,通过在局域网接入设备的端口上
对所接入的用户和设备进行认证,以便控
制用户设备对网络资源的访问。
802.1X系统中包括三个实体:客户
端、设备端、Radius服务器。
(1 )客户端是请求接入局域网的用
户终端,由局域网中的设备端对其进行认
证。客户端上必须安装支持802.1X认证
的客户端软件。
(2)设备端是局域网中控制客户端
接入的网络设备,位于客户端和认证服务
器之间,为客户端提供接入局域网的端口,
并通过与认证服务器的交互来对所连接的
客户端进行认证。弹力玩具
cd12(3)认证服务器用于对客户端进行
认证、授权和计费,通常为Radius服务器。
认证服务器根据设备端发送来的客户端认
证信息来验证客户端的合法性,并将验证
结果通知给设备端,由设备端决定是否允
许客户端接入。
项目实施概况
2019年,兴业银行某园区投入使用。
园区内除集团母公司的多个业务部门外,
还有集团内若干子公司及其他单位进驻,
人员复杂。在该园区投入运营后,在原有
的终端安全防护基础上部署了 802.1X认
证控制并顺利完成。针对同业实施过程中
可能遇到的技术问题,下文做一些展幵。
1.排查基本思路
802.1X认证涉及到步骤较多的协议
交互,为避免某一中间步骤中断,影响正
常的认证过程,协议设计了多个定时器,
用于控制流程的异常问题,常见的有:用
户名请求超时定时器(tx-period)、客户
端认证超时定时器(supp-timeout)、认
75
Application
证服务器超时定时器(server-timeout )、握手定时器(handshake-period)、静默 定时器(quiet-period)、周期性重认证定时器(reauth-period)等。各厂家在具体实现命令行上可能存在差异,但在排 障过程中,查看上述这些定时器的状态,以及对应的日志,将有助于提高排查定位 效率。
2. M A C旁路认证问题
在802. I X认证过程中,设备端会首 先触发用户采用802.1X认证方式,但若 用户长时间内没有进行802.1X认证,则 可以将用户的M A C地址作为用户名和密 码上送认证服务器进行认证。M A C旁路 认证可使802.1X认证系统中无法安装和 使用802.1X客户端软件的终端,例如打 印机等,以自身M A C地址作为用户名和 密码进行认证。
常用设备如打印机、视频设备、摄像 头、I P电话等,往往无法支持客户端部署,从而无法安装802. I X准入客户端的终端,这类终端统称为哑终端。针对哑终端一般 采用如下策略:
(1 )在接入交换机接口下启用MAC 旁路认证功能,当哑终端接入网络的时候,自动触发M A C旁路认证。
(2 )通过确认交换机端口连接设备进 行802.1X或M A C旁路认证配置,严格 区分交换机下联设备类型,在配置MAC 旁路认证的网络接口下,允许接入安全准 入的终端或者哑终端;该接口默认优先进 行802.1X认证然后再进行M A C旁路认 证,也可根据实际情况修改认证优先顺序。
3. 逃生通道问题
802.1X认证一般采取认证服务器双 机热备方式。为避免因不可控因素引起安全准入认证系统宕机,引起网络全面瘫 痪,应制定认证系统故障预案,并在认证 点设置紧急逃生通道,从而全面提高故障处理效率,最大限度保障可用性。正常情
况下,所有终端接入网络时,均须认证方
可接入网络,使用网络资源。认证系统(双
机)全部故障后,终端无需认证也可应急
接入网络,正常访问网络资源。经测试无
法支持逃生通道的设备,建议更换后再进
行802.I X部署实施。
此外,某些品牌交换机默认每300
秒须进行一次重认证。这种情况,终端本
身虽无感知,但在后台会产生较多的重复
日志,不利于日常维护,可以通过测试修
改重认证时间参数,延长重新认证的时间。
4.品牌/协议兼容性
实施过程中,往往会发现设备
802.1X配置命令与设备硬件型号和硬件
内置操作版本存在较大关联性,这类问题
的情况较为复杂,需要具体分析。对于超
过10年以上设备,建议先替换升级后再
实施。结合本行各园区的情况,针对较普
遍的情况做简要展开。
(1 )接入哑终端有规律中断问题。现
象:交换机导入802.1X配置后,发现哑
终端设备存在运行5分钟后断线的情况,
断线10秒左右,又重新认证恢复。
解决过程:a)通过查看Radius曰志,汽车拉紧器
发现存在故障终端时隔五分钟认证一次的
记录。b)升级设备补丁,关闭设备对在线
电汽锅M A C认证用户的ARP探测功能后网络恢
复正常。
(2 )实现M A C旁路认证与d o tlx认
证共存问题。某品牌交换机全局模式下,
开启 “dotlx”与 “mac-authentication”后,
无法在接口下实现同时支持M A C旁路认
证与d o tlx认证。目前已经确认该品牌设
备只能在通过端口保护的模式配置,实现
两种认证方式共存。
(3 )哑终端长时间实现M A C旁路认
证。现象:部分哑终端接入某品牌交换机
硬质合金车刀时,存在长时间无法认证的情况。
解决过程:a)通过查看日志发现,
存在无法认证的哑终端的认证信息,而在
桌面网关服务器后台以及交换机日志上,
均无法查看到日志痕迹,故推断该哑终端
无法进行主动认证请求。b)将接口下的
P A E类型由Authenticator (主动模式)
修改为Supplicant(被动模式),问题解决。
不断提升网络安全防护水平
正如前文所述,802.1X协议有其局
限性。因为它只是一个二层协议,只能
负责完成对用户端口的认证控制,无法
解决完成端口认证后,用户进入三层IP
网络后的IP地址分配、三层以上网络安
全等问题。因此,仅靠以太网交换机+
802.I X,是无法全面解决接入层可管理以
及接入安全性等方面的问题。
传统的网络安全架构是基于网络边
界防护的,这种架构默认了内网比外网更
加安全,从而在某种程度上更依赖于接入
网络的安全控制,忽视了内网安全措施的
加强。随着网络攻防技术的发展,新型的
网络攻击技术往往针对已接入内部网络
中的计算设备,通过钓鱼邮件等多种方式
加速渗透到企业内部,绕过网络边界安全
措施进行横向爆破。因此,近年来零信任
模型的概念,开始重新走入网络安全界视
野,引导安全架构从网络中心化走向身份
中心化,借助新型身份管理技术实现全面、
动态、智能的访问控制。攻防技术的发展
曰新月异,但无论采取哪种体系和架构,
都需要企业内部的网管人员对所负责网络
的深入理解和日常积累,并借助自动化运
维、机器学习等新兴技术手段,实现与企
业整体信息科技风险偏好相适应的安全防
护水平。S
76
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议