今日頭條
官方微信
官方抖音
資訊頻道網(wǎng)絡(luò)準入控制主要通過安全認證與控制實現(xiàn)端點的安全接入,各類準入控制技術(shù)不斷涌現(xiàn)和發(fā)展以解決局域網(wǎng)邊界安全問題,然而隨著網(wǎng)絡(luò)復雜性和部署管理便捷性要求的提升,固定的準入控制手段已不能適應(yīng)種類繁多的安全場景需求。綜述準入控制框架及技術(shù)發(fā)展,提出一種基于軟件定義思想的準入控制體系,闡述其模型、架構(gòu)、主要技術(shù)及應(yīng)用場景,通過資源編排、資產(chǎn)管理與態(tài)勢統(tǒng)一呈現(xiàn)等設(shè)計適應(yīng)不同用戶環(huán)境的安全準入和資產(chǎn)管理需求。
作為內(nèi)網(wǎng)安全防護的“第一道關(guān)卡”,網(wǎng)絡(luò)準入控制依托身份認證和安全檢查結(jié)果實施訪問控制措施,阻止身份不合法、狀態(tài)不合規(guī)的對象接入,解決局域網(wǎng)邊界安全問題。隨著網(wǎng)絡(luò)的發(fā)展和信息化程度的提升,各種打印機、攝像頭、IP電話、BYOD手持設(shè)備等“啞終端”不斷涌現(xiàn),對傳統(tǒng)安裝代理進行入網(wǎng)認證的方式提出挑戰(zhàn),于是興起了各種無代理準入技術(shù),擺脫對網(wǎng)絡(luò)通信設(shè)備和客戶端代理的依賴,如李京飛提出的基于終端特征指紋的準入控制。同時,云平臺、虛擬化、物聯(lián)網(wǎng)等新技術(shù)逐步使用,網(wǎng)絡(luò)準入控制也向資產(chǎn)發(fā)現(xiàn)、內(nèi)網(wǎng)資源管控的方向拓展,如劉濤等提出的實現(xiàn)無盲區(qū)準入控制目標的解決方案。
面對未來愈加復雜異構(gòu)的局域網(wǎng)環(huán)境,各種應(yīng)用場景和安全要求并存,單一的準入控制機制,或者某幾種準入控制機制的簡單堆砌已不能滿足所有的安全防護和管理運維要求,功能完備、自適應(yīng)能力強、部署維護簡便、分析展現(xiàn)直觀,無疑將是網(wǎng)絡(luò)準入控制系統(tǒng)的一個重點發(fā)展方向。
1 網(wǎng)絡(luò)準入控制框架
網(wǎng)絡(luò)準入控制技術(shù)與機制眾多,但其核心思想和框架模型都是統(tǒng)一的,如圖1所示。
框架中包括三個實體:
(1)入網(wǎng)實體。局域網(wǎng)外部待接入的對象,包含人和終端。人主要指其身份信息,終端的范疇則涵蓋PC機、服務(wù)器、打印機、IP電話、音視頻設(shè)備和BYOD設(shè)備等。在準入認證過程中通過身份證書、物理特征、行為基線等來識別入網(wǎng)實體。
(2)鑒別實體。局域網(wǎng)內(nèi)提供認證鑒別服務(wù)的實體(如AAA服務(wù)器等),與入網(wǎng)實體進行認證信息交互,結(jié)合安全策略實施入網(wǎng)判決,將判決結(jié)果通知控制實體,并記錄接入狀態(tài)和日志信息。
(3)控制實體。局域網(wǎng)內(nèi)實施接入控制操作的實體(如802.1X交換機等),接收鑒別實體發(fā)送的判決結(jié)果,在網(wǎng)絡(luò)、端口、協(xié)議、流量等層面施加訪問控制。部分場景中控制實體可與鑒別實體合二為一(如網(wǎng)關(guān)式準入)。
不同準入控制機制的區(qū)別主要體現(xiàn)在網(wǎng)絡(luò)準入控制的三類方法中:
(1)認證方法。鑒別實體對接入實體進行認證鑒權(quán)采用的工作模式、部署方式和認證技術(shù)的組合,工作模式有旁路模式和串接模式;部署方式包括有代理方式和針對啞終端的無代理方式;認證技術(shù)有傳統(tǒng)的802.1X、PORTAL、DHCP等,以及基于資產(chǎn)探測和特征識別的無代理認證技術(shù)。
(2)聯(lián)動方法。鑒別實體通知控制實體進行入網(wǎng)控制的方法,傳統(tǒng)的準入技術(shù)其工作流程已包含聯(lián)動方法,如支持802.1X和PORTAL協(xié)議的交換機能解析認證消息并自動實施控制;無代理準入時則需要鑒別實體通過SNMP、SSH等遠程管理方式主動下發(fā)交換機配置策略以實現(xiàn)控制。
(3)控制方法。控制實體根據(jù)策略對接入實體實施訪問控制的方法,有基于終端軟件的控制(如ARP阻斷、終端本地防火墻)、基于網(wǎng)絡(luò)設(shè)備的控制(如交換機端口控制、ACL控制)和基于網(wǎng)絡(luò)應(yīng)用協(xié)議的控制(策略路由、虛擬網(wǎng)關(guān)、TCP連接)等。
2 軟件定義概念
軟件定義,即用軟件定義系統(tǒng)功能,通過軟件編程實施靈活、多樣的功能編排,實現(xiàn)系統(tǒng)動態(tài)賦能,提供用戶化、智能化和定制化的服務(wù)能力。2009年斯坦福大學首次提出SDN(Software Defined Network,軟件定義網(wǎng)絡(luò))概念,ONF(Open Networking Foundation,開放網(wǎng)絡(luò)基金會)在2012年發(fā)布SDN技術(shù)白皮書,并致力于加速其部署,希望通過軟件編程的形式定義和控制網(wǎng)絡(luò)。
Gartner在2012年提出SDS(Software Defined Security,軟件定義安全)概念,將網(wǎng)絡(luò)安全設(shè)備與其接入模式、部署方式、實現(xiàn)功能進行解耦,底層抽象為安全資源池里的資源,頂層通過軟件編程方式進行智能化、自動化的編排和管理,完成相應(yīng)安全功能,實現(xiàn)一種靈活的安全體系,在復雜網(wǎng)絡(luò)防護上表現(xiàn)出更強的適應(yīng)性。
3 軟件定義準入控制
3.1 模型
由于網(wǎng)絡(luò)結(jié)構(gòu)的復雜性,局域網(wǎng)準入的認證、聯(lián)動和控制方法呈現(xiàn)多樣化發(fā)展,衍生了各種聯(lián)動和組合,本文借鑒軟件定義的思想,提出一種準入控制體系,通過軟件編程的方式自動編排各種準入控制資源構(gòu)件,實現(xiàn)靈活智能的組織模式,為用戶提供定制化、自適應(yīng)的準入控制服務(wù),適應(yīng)不同場景需求。
基于軟件定義的準入控制模型如圖2所示。
資源編排、控制檢測和管理呈現(xiàn)三個方面形成一個動態(tài)、閉環(huán)的工作模型,體現(xiàn)靈活組織、統(tǒng)一管理的特點。
(1)資源編排:根據(jù)統(tǒng)一管理和配置,由軟件編程的方式實現(xiàn)認證、聯(lián)動和控制方法的按需組合,達到準入資源靈活聯(lián)動和協(xié)同作用的目標。
(2)控制檢測:在實施準入控制的同時,檢測局域網(wǎng)邊界及內(nèi)部的異常情況和薄弱環(huán)節(jié),實施安全審計,并向統(tǒng)一管理平臺上報日志、告警數(shù)據(jù)。
(3)管理呈現(xiàn):集中管理各類準入控制資源,實施統(tǒng)一注冊、池化管理、彈性分配和動態(tài)加載;集中展示當前局域網(wǎng)準入態(tài)勢,通過分析預測,針對當前態(tài)勢演化出針對性的解決方案并指導自適應(yīng)編排過程,實現(xiàn)閉環(huán)體系。
3.2 架構(gòu)
軟件定義準入控制體系的核心是資源按需編排、快速靈活部署和態(tài)勢統(tǒng)一呈現(xiàn),實現(xiàn)自適應(yīng)的準入控制能力和內(nèi)網(wǎng)資產(chǎn)及準入態(tài)勢展現(xiàn)能力,其架構(gòu)如圖3所示。
整個架構(gòu)包含四個層面:
(1)管理層。位于最頂層,用于人機交互,它基于編排層提供的API下發(fā)準入功能需求策略描述,由編排層進行解析和處理。同時,從當前運行的準入資源構(gòu)件中收集終端資產(chǎn)和網(wǎng)絡(luò)拓撲信息進行展現(xiàn),匯總準入日志和告警信息進行統(tǒng)計分析,提供內(nèi)網(wǎng)終端準入態(tài)勢的可視化呈現(xiàn),為管理人員掌握內(nèi)網(wǎng)安全狀態(tài)和系統(tǒng)自適應(yīng)調(diào)整安全策略提供數(shù)據(jù)支撐和預測素材。
(2)編排層。整個體系的核心功能層,根據(jù)管理層下發(fā)的功能及場景需求描述,通過語義解析、特征識別、編排組織等流程生成針對性的策略模板(包括工作模式、部署方式、認證方式、控制粒度和聯(lián)動機制等要素),滿足用戶對準入控制的能力定制要求,適應(yīng)網(wǎng)絡(luò)的應(yīng)用場景特點。編排完成后向管理層反饋編排結(jié)果,并向控制層下發(fā)模板和策略。
(3)控制層。根據(jù)編排部署策略模板,實現(xiàn)對資源層功能構(gòu)件的編排和管理。通過解析編排策略為資源調(diào)度提供依據(jù);通過資源管理實現(xiàn)插件化的準入資源構(gòu)件注冊、注銷和維護;通過統(tǒng)一調(diào)度實現(xiàn)各功能插件的協(xié)調(diào)運行和功能互補;通過狀態(tài)監(jiān)控實現(xiàn)插件工作狀態(tài)監(jiān)管和異常沖突等的處理。
(4)資源層。包含各類準入控制功能模塊,這些模塊在控制層注冊后成為準入資源池的公共資源,接受集中管理和統(tǒng)一調(diào)度,實現(xiàn)協(xié)同工作,發(fā)揮單一準入控制功能無法達到的防護效能;同時,各功能模塊也按照統(tǒng)一的數(shù)據(jù)規(guī)范向管理層上報端點接入信息、網(wǎng)絡(luò)拓撲信息和日志告警信息,供其進行綜合統(tǒng)計與分析展示。
3.3 主要技術(shù)
(1)準入資源自動編排技術(shù)
資源編排是軟件定義準入控制體系的核心技術(shù),是實現(xiàn)功能適配、場景兼容和能力自適應(yīng)的關(guān)鍵,工作機制如圖4所示。
資源自動編排過程如下:
第一步,根據(jù)準入語義庫的規(guī)則對用戶的需求及應(yīng)用場景的描述進行語義解析和轉(zhuǎn)換,形成可供后續(xù)處理的標準化特征描述,如終端類型、網(wǎng)絡(luò)規(guī)模、組網(wǎng)方式、接入要求、安全級別等;
第二步,將特征描述與準入特征庫的特征數(shù)據(jù)進行匹配,識別出有效的特征;
第三步,直接從準入模板庫中匹配和提取滿足需求的成熟模板,或者從資源池中讀取功能構(gòu)件的注冊描述信息,基于需求的特征進行智能編排組織,形成新的自定義模板;
第四步,向底層下發(fā)編排模板和部署策略;
第五步,編排結(jié)束后,通過編排時的上下文關(guān)聯(lián)學習,對準入語義庫、準入特征庫和準入模板庫進行更新,包括庫內(nèi)容和匹配模式的更新等。
(2)資產(chǎn)發(fā)現(xiàn)與拓撲繪制技術(shù)
通過資產(chǎn)發(fā)現(xiàn)與識別可以形成局域網(wǎng)的IP資產(chǎn)清單,通過網(wǎng)絡(luò)拓撲分析與繪制可以形成局域網(wǎng)的物理拓撲和邏輯拓撲,為管理運維和應(yīng)急處置等提供有力支撐。資產(chǎn)發(fā)現(xiàn)與拓撲繪制的工作機制如圖5所示。
針對資產(chǎn)的掃描識別與網(wǎng)絡(luò)拓撲的繪制分析包括主動發(fā)現(xiàn)和被動發(fā)現(xiàn)兩種方式。
主動發(fā)現(xiàn)依托終端上安裝的代理軟件獲取終端硬件的詳細指紋特征、準入認證信息和網(wǎng)絡(luò)會話信息;依托網(wǎng)絡(luò)掃描嗅探獲取無代理終端的資產(chǎn)指紋特征并檢測非法接入終端,依托與網(wǎng)絡(luò)設(shè)備的聯(lián)動獲取終端和網(wǎng)絡(luò)設(shè)備間的連接關(guān)系。
被動發(fā)現(xiàn)依托交換機鏡像口等方式獲取內(nèi)網(wǎng)流量,通過流量分析獲取終端間的網(wǎng)絡(luò)會話關(guān)系。
更進一步的,通過資產(chǎn)指紋與特征庫的匹配識別資產(chǎn)的類型、廠家、型號等信息,通過網(wǎng)絡(luò)連接關(guān)系分析繪制網(wǎng)絡(luò)的物理拓撲,通過終端會話關(guān)系分析繪制網(wǎng)絡(luò)的邏輯拓撲,最終由統(tǒng)一監(jiān)管平臺進行集中管理和態(tài)勢展現(xiàn)。
(3)準入控制技術(shù)對比分析
網(wǎng)絡(luò)準入控制從最初基于終端軟件的架構(gòu)(Software-based
NAC,如終端防火墻),發(fā)展到基于網(wǎng)絡(luò)基礎(chǔ)設(shè)施的架構(gòu)(Infrastructure-based
NAC,如802.1X、PORTAL),再到基于應(yīng)用的架構(gòu)(Appliance-based
NAC,如策略路由、虛擬網(wǎng)關(guān)準入),涌現(xiàn)了各種準入控制技術(shù),業(yè)界也在研究這些技術(shù)的優(yōu)勢互補和融合,如基于DHCP和TCP特征掃描的準入控制、定制化的無盲區(qū)綜合網(wǎng)絡(luò)準入方案、基于802.1X+portal的準入應(yīng)用、基于策略路由和MVG技術(shù)融合的準入體系、基于多種準入技術(shù)實現(xiàn)準入控制和審計。準入技術(shù)的融合互補是必然的發(fā)展趨勢,下面對主流準入控制技術(shù)進行對比分析,如表1所示,以作為功能編排融合的參考。
4 應(yīng)用場景
基于軟件定義的網(wǎng)絡(luò)準入控制可以根據(jù)用戶需求進行功能編排自適應(yīng),滿足不同場景的應(yīng)用要求,下面以幾種典型場景為例說明:
場景一:高安全級別專用網(wǎng)絡(luò)。該場景安全性是首要需求,部署維護的復雜性可以接受,因此可編排802.1X+策略路由(或虛擬網(wǎng)關(guān))+資產(chǎn)發(fā)現(xiàn)的準入體系,兼顧有代理終端的細粒度認證、端口級強制管控,以及音視頻等啞終端的硬件指紋生成、仿冒識別和流量訪問控制。
場景二:用戶要求較好的入網(wǎng)認證體驗和故障逃生能力。該場景更傾向于易用性,一般采用引導式入網(wǎng)手段,在交換機支持PORTAL協(xié)議的情況下可以編排PORTAL+認證代理的體系,否則可編排策略路由+資產(chǎn)發(fā)現(xiàn)的體系。
場景三:以WEB應(yīng)用為主的網(wǎng)絡(luò),要求部署簡便的準入控制系統(tǒng)。該場景中應(yīng)用業(yè)務(wù)以WEB為主,同時考慮部署便捷性,可以編排SPAN+TCP RESET的應(yīng)用協(xié)議準入控制實現(xiàn),非法終端的HTTP訪問會因TCP握手過程被阻斷而無法完成。同時,根據(jù)用戶需求可以采用有代理的認證或者基于資產(chǎn)特征識別的無代理認證手段。
場景四:采用DHCP管理IP的啞設(shè)備網(wǎng)絡(luò)。該場景允許采用DHCP動態(tài)分配IP地址,且無法安裝代理軟件,通過編排DHCP+資產(chǎn)特征識別+IPAM的體系解決,在DHCP過程中根據(jù)DHCP響應(yīng)數(shù)據(jù)和TCP端口分析形成硬件指紋,識別仿冒終端,同時通過IPAM實現(xiàn)IP地址可視化集中管理。在交換機支持DHCP Snooping+DAI的情況下,還可增加交換機聯(lián)動機制,開啟網(wǎng)絡(luò)中接入交換機的防護功能。
5 結(jié)語
本文對網(wǎng)絡(luò)準入控制框架及體系發(fā)展進行綜述,提出了一種基于軟件定義思想的準入控制體系,包括概念、模型和架構(gòu),從資源編排、資產(chǎn)識別、集中管控與態(tài)勢呈現(xiàn)等方面介紹了體系的核心技術(shù)和工作機制,并對比分析了常用準入控制技術(shù),為軟件編排提供參考。相較于單一或固定的準入控制體系,軟件定義準入控制體系依托準入功能資源池化和智能化編排,可以靈活衍變以適應(yīng)不同應(yīng)用場景的需要,并通過內(nèi)網(wǎng)資產(chǎn)集中管理和準入態(tài)勢統(tǒng)一呈現(xiàn)為管理人員提供微觀細粒度管控和宏觀全態(tài)勢掌控能力。
作者簡介 >>>
鄧永暉(1984—),男,碩士,工程師,主要研究方向為信息安全;
周 佳(1985—),女,碩士,工程師,主要研究方向為信息安全;
鹿文楊(1990—),男,碩士,工程師,主要研究方向為信息安全。
來源:信息安全與通信保密
北京市公安局海淀分局備案號:11010802023656號