今日頭條
官方微信
官方抖音
資訊頻道網絡準入控制主要通過安全認證與控制實現端點的安全接入,各類準入控制技術不斷涌現和發展以解決局域網邊界安全問題,然而隨著網絡復雜性和部署管理便捷性要求的提升,固定的準入控制手段已不能適應種類繁多的安全場景需求。綜述準入控制框架及技術發展,提出一種基于軟件定義思想的準入控制體系,闡述其模型、架構、主要技術及應用場景,通過資源編排、資產管理與態勢統一呈現等設計適應不同用戶環境的安全準入和資產管理需求。
作為內網安全防護的“第一道關卡”,網絡準入控制依托身份認證和安全檢查結果實施訪問控制措施,阻止身份不合法、狀態不合規的對象接入,解決局域網邊界安全問題。隨著網絡的發展和信息化程度的提升,各種打印機、攝像頭、IP電話、BYOD手持設備等“啞終端”不斷涌現,對傳統安裝代理進行入網認證的方式提出挑戰,于是興起了各種無代理準入技術,擺脫對網絡通信設備和客戶端代理的依賴,如李京飛提出的基于終端特征指紋的準入控制。同時,云平臺、虛擬化、物聯網等新技術逐步使用,網絡準入控制也向資產發現、內網資源管控的方向拓展,如劉濤等提出的實現無盲區準入控制目標的解決方案。
面對未來愈加復雜異構的局域網環境,各種應用場景和安全要求并存,單一的準入控制機制,或者某幾種準入控制機制的簡單堆砌已不能滿足所有的安全防護和管理運維要求,功能完備、自適應能力強、部署維護簡便、分析展現直觀,無疑將是網絡準入控制系統的一個重點發展方向。
1 網絡準入控制框架
網絡準入控制技術與機制眾多,但其核心思想和框架模型都是統一的,如圖1所示。
框架中包括三個實體:
(1)入網實體。局域網外部待接入的對象,包含人和終端。人主要指其身份信息,終端的范疇則涵蓋PC機、服務器、打印機、IP電話、音視頻設備和BYOD設備等。在準入認證過程中通過身份證書、物理特征、行為基線等來識別入網實體。
(2)鑒別實體。局域網內提供認證鑒別服務的實體(如AAA服務器等),與入網實體進行認證信息交互,結合安全策略實施入網判決,將判決結果通知控制實體,并記錄接入狀態和日志信息。
(3)控制實體。局域網內實施接入控制操作的實體(如802.1X交換機等),接收鑒別實體發送的判決結果,在網絡、端口、協議、流量等層面施加訪問控制。部分場景中控制實體可與鑒別實體合二為一(如網關式準入)。
不同準入控制機制的區別主要體現在網絡準入控制的三類方法中:
(1)認證方法。鑒別實體對接入實體進行認證鑒權采用的工作模式、部署方式和認證技術的組合,工作模式有旁路模式和串接模式;部署方式包括有代理方式和針對啞終端的無代理方式;認證技術有傳統的802.1X、PORTAL、DHCP等,以及基于資產探測和特征識別的無代理認證技術。
(2)聯動方法。鑒別實體通知控制實體進行入網控制的方法,傳統的準入技術其工作流程已包含聯動方法,如支持802.1X和PORTAL協議的交換機能解析認證消息并自動實施控制;無代理準入時則需要鑒別實體通過SNMP、SSH等遠程管理方式主動下發交換機配置策略以實現控制。
(3)控制方法。控制實體根據策略對接入實體實施訪問控制的方法,有基于終端軟件的控制(如ARP阻斷、終端本地防火墻)、基于網絡設備的控制(如交換機端口控制、ACL控制)和基于網絡應用協議的控制(策略路由、虛擬網關、TCP連接)等。
2 軟件定義概念
軟件定義,即用軟件定義系統功能,通過軟件編程實施靈活、多樣的功能編排,實現系統動態賦能,提供用戶化、智能化和定制化的服務能力。2009年斯坦福大學首次提出SDN(Software Defined Network,軟件定義網絡)概念,ONF(Open Networking Foundation,開放網絡基金會)在2012年發布SDN技術白皮書,并致力于加速其部署,希望通過軟件編程的形式定義和控制網絡。
Gartner在2012年提出SDS(Software Defined Security,軟件定義安全)概念,將網絡安全設備與其接入模式、部署方式、實現功能進行解耦,底層抽象為安全資源池里的資源,頂層通過軟件編程方式進行智能化、自動化的編排和管理,完成相應安全功能,實現一種靈活的安全體系,在復雜網絡防護上表現出更強的適應性。
3 軟件定義準入控制
3.1 模型
由于網絡結構的復雜性,局域網準入的認證、聯動和控制方法呈現多樣化發展,衍生了各種聯動和組合,本文借鑒軟件定義的思想,提出一種準入控制體系,通過軟件編程的方式自動編排各種準入控制資源構件,實現靈活智能的組織模式,為用戶提供定制化、自適應的準入控制服務,適應不同場景需求。
基于軟件定義的準入控制模型如圖2所示。
資源編排、控制檢測和管理呈現三個方面形成一個動態、閉環的工作模型,體現靈活組織、統一管理的特點。
(1)資源編排:根據統一管理和配置,由軟件編程的方式實現認證、聯動和控制方法的按需組合,達到準入資源靈活聯動和協同作用的目標。
(2)控制檢測:在實施準入控制的同時,檢測局域網邊界及內部的異常情況和薄弱環節,實施安全審計,并向統一管理平臺上報日志、告警數據。
(3)管理呈現:集中管理各類準入控制資源,實施統一注冊、池化管理、彈性分配和動態加載;集中展示當前局域網準入態勢,通過分析預測,針對當前態勢演化出針對性的解決方案并指導自適應編排過程,實現閉環體系。
3.2 架構
軟件定義準入控制體系的核心是資源按需編排、快速靈活部署和態勢統一呈現,實現自適應的準入控制能力和內網資產及準入態勢展現能力,其架構如圖3所示。
整個架構包含四個層面:
(1)管理層。位于最頂層,用于人機交互,它基于編排層提供的API下發準入功能需求策略描述,由編排層進行解析和處理。同時,從當前運行的準入資源構件中收集終端資產和網絡拓撲信息進行展現,匯總準入日志和告警信息進行統計分析,提供內網終端準入態勢的可視化呈現,為管理人員掌握內網安全狀態和系統自適應調整安全策略提供數據支撐和預測素材。
(2)編排層。整個體系的核心功能層,根據管理層下發的功能及場景需求描述,通過語義解析、特征識別、編排組織等流程生成針對性的策略模板(包括工作模式、部署方式、認證方式、控制粒度和聯動機制等要素),滿足用戶對準入控制的能力定制要求,適應網絡的應用場景特點。編排完成后向管理層反饋編排結果,并向控制層下發模板和策略。
(3)控制層。根據編排部署策略模板,實現對資源層功能構件的編排和管理。通過解析編排策略為資源調度提供依據;通過資源管理實現插件化的準入資源構件注冊、注銷和維護;通過統一調度實現各功能插件的協調運行和功能互補;通過狀態監控實現插件工作狀態監管和異常沖突等的處理。
(4)資源層。包含各類準入控制功能模塊,這些模塊在控制層注冊后成為準入資源池的公共資源,接受集中管理和統一調度,實現協同工作,發揮單一準入控制功能無法達到的防護效能;同時,各功能模塊也按照統一的數據規范向管理層上報端點接入信息、網絡拓撲信息和日志告警信息,供其進行綜合統計與分析展示。
3.3 主要技術
(1)準入資源自動編排技術
資源編排是軟件定義準入控制體系的核心技術,是實現功能適配、場景兼容和能力自適應的關鍵,工作機制如圖4所示。
資源自動編排過程如下:
第一步,根據準入語義庫的規則對用戶的需求及應用場景的描述進行語義解析和轉換,形成可供后續處理的標準化特征描述,如終端類型、網絡規模、組網方式、接入要求、安全級別等;
第二步,將特征描述與準入特征庫的特征數據進行匹配,識別出有效的特征;
第三步,直接從準入模板庫中匹配和提取滿足需求的成熟模板,或者從資源池中讀取功能構件的注冊描述信息,基于需求的特征進行智能編排組織,形成新的自定義模板;
第四步,向底層下發編排模板和部署策略;
第五步,編排結束后,通過編排時的上下文關聯學習,對準入語義庫、準入特征庫和準入模板庫進行更新,包括庫內容和匹配模式的更新等。
(2)資產發現與拓撲繪制技術
通過資產發現與識別可以形成局域網的IP資產清單,通過網絡拓撲分析與繪制可以形成局域網的物理拓撲和邏輯拓撲,為管理運維和應急處置等提供有力支撐。資產發現與拓撲繪制的工作機制如圖5所示。
針對資產的掃描識別與網絡拓撲的繪制分析包括主動發現和被動發現兩種方式。
主動發現依托終端上安裝的代理軟件獲取終端硬件的詳細指紋特征、準入認證信息和網絡會話信息;依托網絡掃描嗅探獲取無代理終端的資產指紋特征并檢測非法接入終端,依托與網絡設備的聯動獲取終端和網絡設備間的連接關系。
被動發現依托交換機鏡像口等方式獲取內網流量,通過流量分析獲取終端間的網絡會話關系。
更進一步的,通過資產指紋與特征庫的匹配識別資產的類型、廠家、型號等信息,通過網絡連接關系分析繪制網絡的物理拓撲,通過終端會話關系分析繪制網絡的邏輯拓撲,最終由統一監管平臺進行集中管理和態勢展現。
(3)準入控制技術對比分析
網絡準入控制從最初基于終端軟件的架構(Software-based
NAC,如終端防火墻),發展到基于網絡基礎設施的架構(Infrastructure-based
NAC,如802.1X、PORTAL),再到基于應用的架構(Appliance-based
NAC,如策略路由、虛擬網關準入),涌現了各種準入控制技術,業界也在研究這些技術的優勢互補和融合,如基于DHCP和TCP特征掃描的準入控制、定制化的無盲區綜合網絡準入方案、基于802.1X+portal的準入應用、基于策略路由和MVG技術融合的準入體系、基于多種準入技術實現準入控制和審計。準入技術的融合互補是必然的發展趨勢,下面對主流準入控制技術進行對比分析,如表1所示,以作為功能編排融合的參考。
4 應用場景
基于軟件定義的網絡準入控制可以根據用戶需求進行功能編排自適應,滿足不同場景的應用要求,下面以幾種典型場景為例說明:
場景一:高安全級別專用網絡。該場景安全性是首要需求,部署維護的復雜性可以接受,因此可編排802.1X+策略路由(或虛擬網關)+資產發現的準入體系,兼顧有代理終端的細粒度認證、端口級強制管控,以及音視頻等啞終端的硬件指紋生成、仿冒識別和流量訪問控制。
場景二:用戶要求較好的入網認證體驗和故障逃生能力。該場景更傾向于易用性,一般采用引導式入網手段,在交換機支持PORTAL協議的情況下可以編排PORTAL+認證代理的體系,否則可編排策略路由+資產發現的體系。
場景三:以WEB應用為主的網絡,要求部署簡便的準入控制系統。該場景中應用業務以WEB為主,同時考慮部署便捷性,可以編排SPAN+TCP RESET的應用協議準入控制實現,非法終端的HTTP訪問會因TCP握手過程被阻斷而無法完成。同時,根據用戶需求可以采用有代理的認證或者基于資產特征識別的無代理認證手段。
場景四:采用DHCP管理IP的啞設備網絡。該場景允許采用DHCP動態分配IP地址,且無法安裝代理軟件,通過編排DHCP+資產特征識別+IPAM的體系解決,在DHCP過程中根據DHCP響應數據和TCP端口分析形成硬件指紋,識別仿冒終端,同時通過IPAM實現IP地址可視化集中管理。在交換機支持DHCP Snooping+DAI的情況下,還可增加交換機聯動機制,開啟網絡中接入交換機的防護功能。
5 結語
本文對網絡準入控制框架及體系發展進行綜述,提出了一種基于軟件定義思想的準入控制體系,包括概念、模型和架構,從資源編排、資產識別、集中管控與態勢呈現等方面介紹了體系的核心技術和工作機制,并對比分析了常用準入控制技術,為軟件編排提供參考。相較于單一或固定的準入控制體系,軟件定義準入控制體系依托準入功能資源池化和智能化編排,可以靈活衍變以適應不同應用場景的需要,并通過內網資產集中管理和準入態勢統一呈現為管理人員提供微觀細粒度管控和宏觀全態勢掌控能力。
作者簡介 >>>
鄧永暉(1984—),男,碩士,工程師,主要研究方向為信息安全;
周 佳(1985—),女,碩士,工程師,主要研究方向為信息安全;
鹿文楊(1990—),男,碩士,工程師,主要研究方向為信息安全。
來源:信息安全與通信保密
北京市公安局海淀分局備案號:11010802023656號