多類型終端的準(zhǔn)入控制分析

【摘 要】多類型終端的準(zhǔn)入控制分析，根據(jù)接入網(wǎng)絡(luò)不同類型終端的特點(diǎn)預(yù)定相應(yīng)的安全策略，對(duì)終端進(jìn)行相應(yīng)的安全檢測(cè)。從而提升企業(yè)網(wǎng)絡(luò)終端的接入安全，拒絕或限制非法終端的接入，通過分析部署多類型終端安全與準(zhǔn)入控制相適應(yīng)的安全策略，可以有效提高網(wǎng)絡(luò)對(duì)安全威脅的主動(dòng)防御能力。解決單一類型終端在身份認(rèn)證、安全狀態(tài)檢查中存在的缺陷及局限性，容易出現(xiàn)漏洞從而產(chǎn)生非法接入、越權(quán)訪問等安全問題。

【關(guān)鍵詞】多類型終端 準(zhǔn)入控制 網(wǎng)絡(luò)安全

在終端接入網(wǎng)絡(luò)時(shí)，都必須經(jīng)過身份認(rèn)證、安全檢查、權(quán)限控制、監(jiān)控審計(jì)四個(gè)層面的安全準(zhǔn)入控制，但是由于終端類型的多樣性，實(shí)施的身份驗(yàn)證方法、安全檢查策略、權(quán)限控制也有所差異。終端一般可分為PC機(jī)、服務(wù)器、啞終端、移動(dòng)智能終端四種類型，下面將具體對(duì)這四種類型的終端準(zhǔn)入控制方式進(jìn)行分析。

一、PC機(jī)的準(zhǔn)入控制分析

目前很多企業(yè)使用了Windows操作系統(tǒng)的臺(tái)式機(jī)、筆記本作為辦公電腦。這些辦公電腦通過有線局域網(wǎng)、無線局域網(wǎng)或者Internet接入企業(yè)網(wǎng)絡(luò)。這些情況下，對(duì)于有線局域網(wǎng)的PC機(jī)接入一般采用802.1X認(rèn)證方式，PC機(jī)通過無線網(wǎng)絡(luò)接入一般采用Web Portal方式，Internet遠(yuǎn)程接入企業(yè)局域網(wǎng)的PC機(jī)則大多數(shù)采用SSL VPN方式接入網(wǎng)絡(luò)。在這些接入方式下，我們一般采用用戶名、密碼方式認(rèn)證，對(duì)于安全性要求高的用戶，可以采用智能卡、OTP口令、數(shù)字證書等方式進(jìn)行身份認(rèn)證。同時(shí)可以在認(rèn)證時(shí)綁定MAC地址、IP地址、接入端口等信息。

由于Windows操作系統(tǒng)目前應(yīng)用最多并且存在的安全漏洞也非常多，因此對(duì)Windows操作系統(tǒng)的安全檢查項(xiàng)目較多，一般包括如下內(nèi)容：

防病毒軟件檢測(cè)，包括防病毒軟件產(chǎn)品類型、版本及病毒庫(kù)等；

操作系統(tǒng)及應(yīng)用軟件補(bǔ)丁修復(fù)，主要指操作系統(tǒng)及應(yīng)用軟件的高危漏洞；

不可信任的注冊(cè)表、系統(tǒng)服務(wù)、系統(tǒng)進(jìn)程檢測(cè)；

黑白軟件的安裝檢查，根據(jù)黑白軟件名單檢測(cè)；

系統(tǒng)用戶弱口令檢查；

網(wǎng)絡(luò)安全檢查，一般有防火墻、端口的安全性檢測(cè)等。

如果PC終端不符合所要求的安全策略，用戶將被拒絕接入企業(yè)網(wǎng)絡(luò)，或者經(jīng)過準(zhǔn)入系統(tǒng)的修復(fù)后符合安全策略才被允許訪問企業(yè)網(wǎng)路。對(duì)于用戶相對(duì)較少的Linux、Mac OS等操作系統(tǒng)，系統(tǒng)漏洞也相對(duì)較少，對(duì)這些操作系統(tǒng)的安全檢查相對(duì)簡(jiǎn)單，主要包括：

防病毒軟件檢測(cè)；

不可信任的注冊(cè)表、系統(tǒng)服務(wù)、系統(tǒng)進(jìn)程檢測(cè)。

PC機(jī)經(jīng)過身份認(rèn)證、安全檢查接入網(wǎng)絡(luò)后，可根據(jù)不同的用戶下發(fā)相應(yīng)VLAN、ACL等安全策略對(duì)其進(jìn)行訪問權(quán)限控制。

二、服務(wù)器的準(zhǔn)入控制分析

由于服務(wù)器不適合使用一般的802.1X、Web Portal等認(rèn)證方式，對(duì)于服務(wù)器的網(wǎng)絡(luò)接入，我們可以通過MAC地址+端口在二層上進(jìn)行綁定。還可以通過服務(wù)器MAC地址+IP地址在三層上進(jìn)行綁定，從而避免非法用戶利用服務(wù)器的端口接入企業(yè)網(wǎng)絡(luò)。根據(jù)這些控制策略，當(dāng)發(fā)現(xiàn)的端口的綁定信息不匹配時(shí)，可以向管理員進(jìn)行告警?，F(xiàn)實(shí)應(yīng)用中由于服務(wù)器一般在企業(yè)的數(shù)據(jù)中心統(tǒng)一管理，很多時(shí)候我們忽略了對(duì)服務(wù)器的準(zhǔn)入控制。

三、啞終端的準(zhǔn)入控制分析

本文的啞終端主要指一些無通用操作系統(tǒng)的網(wǎng)路接入設(shè)備，如打印機(jī)、傳真機(jī)、網(wǎng)絡(luò)攝像頭、以及具有網(wǎng)絡(luò)接口的UPS、機(jī)房精密空調(diào)等設(shè)備，這些設(shè)備一般不能通過802.1X或者Web Portal認(rèn)證方式對(duì)其進(jìn)行準(zhǔn)入控制。我們可以通過MAC地址+端口在二層上進(jìn)行綁定，從而避免形成接入端口的免認(rèn)證狀態(tài)，然而由于啞終端在大型的企業(yè)網(wǎng)路里分布廣泛且松散，因此這種控制方式難以管理。

在啞終端接入企業(yè)網(wǎng)絡(luò)時(shí)，可以將啞終端設(shè)備作為RADIUS客戶端，并借助于一些準(zhǔn)入控制系統(tǒng)及RADIUS認(rèn)證服務(wù)器將啞終端的MAC地址作為用戶名和密碼發(fā)送給準(zhǔn)入控制系統(tǒng)，與準(zhǔn)入控制系統(tǒng)、RADIUS認(rèn)證服務(wù)器配合完成MAC地址認(rèn)證操作。通過MAC地址認(rèn)證的啞終端可以配置啞終端受限的VLAN或ACL限制其訪問范圍。由于啞終端無通用操作系統(tǒng)，因此這里我們不考慮系統(tǒng)的安全漏洞。

四、移動(dòng)智能終端的準(zhǔn)入控制分析

Android、IOS、Windows Phone、Symbian，隨著智能終端用戶的高速增長(zhǎng)，移動(dòng)智能終端的安全問題日益顯現(xiàn)，并呈層長(zhǎng)態(tài)勢(shì)。企業(yè)網(wǎng)絡(luò)在新形勢(shì)下面臨著新的挑戰(zhàn)。由于智能手機(jī)、平板電腦一般都是通過無線網(wǎng)絡(luò)接入到企業(yè)網(wǎng)內(nèi)，而Web Portal認(rèn)證不需要安裝客戶端，適應(yīng)于不同類型的智能終端，所以移動(dòng)智能終端一般通過Web Portal認(rèn)證來接入企業(yè)網(wǎng)絡(luò)。當(dāng)用戶在移動(dòng)智能終端瀏覽器中輸入訪問的URL時(shí)，接入控制設(shè)備會(huì)將重定向至企業(yè)內(nèi)部的Portal serve認(rèn)證界面，在該頁(yè)面中，用戶輸入帳號(hào)和口令該智能終端才可接入企業(yè)網(wǎng)絡(luò)。為更加安全的保證合法智能終端接入企業(yè)無線網(wǎng)絡(luò)，還可以在接入企業(yè)網(wǎng)絡(luò)時(shí)，綁定智能終端的IP地址、SSID號(hào)、交換機(jī)端口等，確保智能終端網(wǎng)絡(luò)身份的真實(shí)性。目前行業(yè)對(duì)移動(dòng)智能終端的準(zhǔn)入控制技術(shù)還未形成相應(yīng)的標(biāo)準(zhǔn)，因此對(duì)移動(dòng)智能終端應(yīng)該通過對(duì)接入設(shè)備下發(fā)VLAN或ACL來嚴(yán)格控制其訪問范圍，最大限度的減小移動(dòng)智能終端對(duì)企業(yè)網(wǎng)絡(luò)的影響。

智能終端操作系統(tǒng)，如Android、IOS等，目前所呈現(xiàn)的系統(tǒng)安全漏洞并不多，也沒有一套完整的安全檢測(cè)體系，因此在現(xiàn)階段，對(duì)移動(dòng)智能終端設(shè)備一般不作安全檢查要求。但是隨著移動(dòng)智能終端的數(shù)量在企業(yè)網(wǎng)絡(luò)不斷增加以及手機(jī)惡意軟件和病毒軟件問題的不斷出現(xiàn)，智能終端的安全問題必將逐漸形成一套完整的安全檢測(cè)和評(píng)估平臺(tái)。

五、結(jié)束語

隨著信息技術(shù)的發(fā)展，必定有更多類型的終端設(shè)備產(chǎn)生，準(zhǔn)入控制技術(shù)也將不端發(fā)展與完善，以適應(yīng)網(wǎng)絡(luò)與終端接入的新局面。通過終端、用戶與網(wǎng)絡(luò)之間接入控制分析，構(gòu)建起網(wǎng)絡(luò)安全防御體系，不斷完善企業(yè)網(wǎng)絡(luò)接入架構(gòu)，使企業(yè)網(wǎng)絡(luò)的終端準(zhǔn)入控制在安全性上不斷完善。

參考文獻(xiàn)：

[1]賈曉巍，如何構(gòu)建全面的終端準(zhǔn)入控制

[2]趙娜，新一代網(wǎng)絡(luò)建設(shè)理論與實(shí)踐，電子工業(yè)出版社，2011