Juniper UAC解决方案.docx
《Juniper UAC解决方案.docx》由会员分享,可在线阅读,更多相关《Juniper UAC解决方案.docx(21页珍藏版)》请在冰点文库上搜索。
JuniperUAC解决方案
JUNIPER统一访问控制解决方案
目录
1面临网络安全风险分析3
1.1发展现状和趋势3
1.2威胁分析3
1.3已有安全方案分析4
1.4风险分析4
2需要统一的访问控制解决方案5
3Juniper的解决之道5
3.1JuniperInfranet架构5
3.1.1使用控制6
3.1.2威胁控制6
3.1.3交付控制6
3.2InfranetUAC解决方案7
3.3UAC方案的组件8
3.3.1网络控制器(InfranetController)8
3.3.2客户端代理(InfranetAgent)10
3.3.3网络执行器(InfranetEnforcer)13
3.4UAC方案流程分析15
3.5UAC方案的使用环境举例16
3.5.1面向扩展企业的企业Infranet16
3.5.2面向分布式企业的企业Infranet16
3.5.3面向WAN网关的企业Infranet17
3.5.4数据中心的企业Infranet17
3.5.5园区网LAN的企业Infranet17
3.6UAC方案优势分析18
统一访问控制建议方案
1面临网络安全风险分析
发展现状和趋势
随着网络技术不断发展和革新,以IP网络为代表的开放网络得到越来越多的应用,网络的互连越来越深入和广泛,许多传统型的或者新兴行业的企业都纷纷利用互联网技术,提高生产力,众多的核心业务已经可以通过网络进行操作。
但随着XXX局域网规模的不断扩大,网络用户的数目和种类也不断的扩张,远程访问的用户,移动办公的用户,合作伙伴,最终用户以及承包商等的主机,都有需要接入网络进行数据的交换、共享。
这样的一个形式,也给XXX的网络管理提出了新的挑战,出现了众多的不可管理的或者管理很薄弱的终端主机。
另外,对于众多的分布式网络,很多都采用了所谓的“数据集中”的方式,将大量的应用服务器集中整合在数据中心,这种方法,在很大的程度上方便了管理,减少了网络管理员的工作量和管理成本,但是,众多服务器的集中部署,也很容易使其成为恶意用户攻击的对象。
威胁分析
当前的广域网接入,也面临着越来越多的威胁。
首先,网络当中的安全漏洞越来越多,黑客已经开始慢慢走向平民化,大众化,各种黑客工具在互联网上轻松可以得到,越来越多的电脑爱好者不断学习各种网络攻击技术,不断发掘各种网络安全漏洞,以目前使用最为广泛的Windows系统为例,微软发布漏洞的周期在大大的缩短,漏洞的数量也在不断的增长。
针对微软的漏洞,黑客制造蠕虫的速度也是越来越快,在微软发布其漏洞后两三天后,就会出现针对这个漏洞的蠕虫,如果用户的主机没有及时打上相应的补丁,就将成为这个蠕虫的感染者和传播者。
以最近发生的ZOTOB蠕虫泛滥为例,微软于8月9日宣布补丁(星期二);8月11日公布漏洞利用代码(星期四);8月13日蠕虫发起攻击(星期六)。
由于蠕虫通过139/tcp或445/tcp蔓延,因此,如果不损失Windows环境中的某些功能,端口不可能得到防火墙的保护。
这意味着即使只有一台受感染的笔记本进入内部,所有其他设备也将被感染,损失是巨大的。
传统的安全解决方案,绝大部分的防护措施都是部署在网络的边界处,这里有个假设,就是内网的用户是可信的,但是从越来越多的危险来自可信的网络,据统计70%以上的网络攻击行为是来自企业内部,其危害的程度也大大超过了来自互联网的攻击。
内部用户的恶意攻击,蓄意报复,甚至是不经意的误操作,都会造成企业核心敏感信息的破坏和泄漏。
1.1已有安全方案分析
网络安全的建设已经成为目前用户网络建设的一个重要的组成部分,众多的用户采用了不同的安全解决方案,来减少系统的安全风险。
如采用了防火墙的解决方案,对网络层的攻击进行阻挡,并且进行相应的访问控制;采用入侵防范设备,对针对核心资产的应用层攻击实施阻挡;采用防病毒解决方案,避免内部的服务器和终端遭受病毒和蠕虫的感染;采用补丁管理解决方案,提高主机和服务器的健壮性;采用身份认证(AAA)的解决方案,对不同的用户进行认证、授权和记帐。
这些相应的解决方案,在很大的程度上降低了安全风险,抵御了网络面临的部分威胁,也减少了因为爆发安全时间造成的损失和影响。
但是我们发现,这些解决方案看起来更像是一些单点的安全解决方案,并没有针对用户网络的实际情况做一个很好的整合,其中很多的安全技术,也没有得到很好的强制实施,如经常出现用户终端没有及时的更新防病毒软件特征,没有更新最新的补丁软件,造成终端主机感染病毒或者遭受攻击;个别用户也可以巧妙的通过更改IP地址,方便的绕过防火墙,访问XX的资源等等。
1.2风险分析
事实上,目前用户网络的边界已经变得越来越模糊,仅靠网络边缘的外围设备已无法保证用户网络的安全性。
边缘安全措施无法保护内部网络段,也无法替代主机安全措施。
目前的用户仍然面临着很大的安全风险。
•即便用户运行着防火墙等网络周边安全机制,病毒和电子邮件蠕虫、特洛伊木马、拒绝服务攻击和其他恶意行为仍频繁利用无法安全管理或者管理薄弱的最终用户设备渗入用户环境。
•即时消息传递(IM)或对等间应用(P2P)等新技术也带来了新型威胁,新型威胁可以完全绕过网络周边的安全设备,用户力求通过策略控制这些技术的使用,但此类策略在传统网络中几乎无法执行。
•面向公众的服务器或者移动用户,必定会频繁遭受各种类型的攻击。
而且,这些威胁和安全漏洞比想象的更难以觉察、更加危险——移动代码可以通过安全的(但可移动的)PC进入网络,也有可能直接由内部的主机发起。
2需要统一的访问控制解决方案
基于我们对目前的用户局域网络的分析,数据访问基本上可以分为五种:
•用户园区内的访问,处于用户网内部的员工、合作伙伴、承包商、访客等的终端主机,直接接入用户的LAN内部,进行数据的交换。
通常我们假设内部网络是安全的,可信的,但是,就目前的情况来看,我们很难去真正实现。
•对数据中心和服务器区的访问,用户的数据中心和服务器区可能包括WEB服务器,EMAIL服务器等,是安全性较高的区域,一般都会部署相应的安全防护策略。
存在漏洞的服务器,可能会被每个用户访问。
•分布式用户的访问,用户用户可能在不同的地方有自己的办公分支,对于这些分支节点,由于距离的原因,对分支节点的终端很难做到统一的管理,也缺乏控制。
•互联网的访问,用户网络的互联网接入,必然会使内部的一些脆弱的主机,遭受到来自外部的攻击和感染,如感染病毒,蠕虫,被植入后门,间谍软件,恶意软件等等。
•用户扩展远程用户的访问,处于用户局域网外部的员工、合作伙伴、承包商、访客等的终端主机,通过广域网VPN连接,进入企业局域网内部,进行数据的交换。
这里的威胁主要包括网络和应用层的威胁会直接的带入到网络内部,而内部的核心数据,可能会被窃取带走。
上面的五种不同的访问方式,我们都需要一个更为全面的网络访问控制和终端控制,需要基于用户标识,网络标识,以及用户终端安全状况的统一的访问控制解决方案。
对于第五种的访问,扩展远程用户的访问,我们采用SSLVPN来实现,对于前四种的访问,我们采用UAC的解决方案。
3Juniper的解决之道
3.1JuniperInfranet架构
用户的目标是通过使用开放标准,在限制用户、增强并扩展现有网络周边安全措施、以及确保长期兼容性之间实现均衡。
用户必须在实现这个目标的同时,确保以可靠的方式交付业务和应用。
JuniperInfranet架构的目标就是为用户提供一个安全的有保证的网络,,我们必须通过使用控制、威胁控制和交付控制等多种方式进行总体控制。
此类结构使用户能够不再机械地应对每个事件,而是创建确实构建在基础设施中的持续遵从制度和执行策略的网络。
3.1.1使用控制
使用控制综合考虑用户、端点和资源后决定允许或拒绝哪些使用。
使用控制远远超越了第2层的范围,必须涵盖整个虚拟网络和基础设施,包括防火墙、Web过滤、授权和目录库以及网络登录等。
这个Infranet解决方案结合了使用控制的所有单元,包括端点防御。
在此,解决方案将评估主机的制度遵从情况;对违规主机进行修复;并为用户、端点和会话角色以及网络资源/应用动态分配会话特定的接入权限。
3.1.2威胁控制
威胁控制必须不局限于基本端点保护的范围,扩展到整个网络以及对网络流量的分析,包括防火墙上的深度检测以及检测和抵御入侵的能力。
威胁控制还影响使用控制,因为它能够从允许的接入中检测出恶意内容并将其清除。
Juniper的企业基础设施将网络周边最佳的深度检测防火墙与获奖的入侵检测与防护(IDP)产品结合在一起,能够提供这种保护功能。
这种结合以及防病毒功能集成,可以对无论是移动员工或不可管理PC无意间从网络外部带来的攻击,还是来自于网络内部攻击。
提供全面的防护。
3.1.3交付控制
安全的交付常被认为是理所当然,但实际上,它是必须构建在基础设施中才能确保成功的关键组件。
交付控制确保应用的安全交付;包括性能、服务质量(QoS)、MPLS、虚拟专网(VPNs)、高可用性及最佳路径选等。
Juniper网络公司提供业界领先的防火墙/VPN平台以及企业路由产品(这些产品与被全球顶级服务供应商广泛使用的Juniper骨干路由器提供许多相同功能),可确保安全的交付控制。
3.2InfranetUAC解决方案
Infranet是一个架构,UAC(统一的访问控制)就是针对这个架构的解决方案,这个Infranet实施将Infranet的概念从运营商扩展到企业级别,结合了现有的网络以及网络安全技术(许多技术已被部署)与能够同Juniper和第三方技术有效互操作,从而生成了基于标准的、可扩展的、经济高效的网络。
JuniperInfranet架构的基础是使用、交付和威胁控制。
用于实现统一接入控制的Infranet解决方案是以使用控制为出发点的,它是确保即时获得成功的最关键的元素。
使用控制已是Juniper网络公司市场领先的SSLVPN产品的主要组件,该产品设计用于在会话前和会话中提供端点评估,确保严格的验证/授权,利用现有基础设施,动态创建会话特定的角色和应用极细粒度的资源策略等。
这项功能原本用在企业扩展用户的远处访问,现已扩展到整个用户网络,使用Infranet控制器将策略的可视性与现有执行点连接在一起。
Infranet控制器(IC)通过Infranet代理与Infranet执行点通信。
这些组件结合在一起,在现有用户基础设施上创建了业务控制层,将端点/用户智能与网络和应用智能集成在一起,以确保自适应的、细粒度的使用控制级别。
提供威胁控制和交付控制的其他组件也可以集成到这个解决方案中,无需对现有基础设施进行升级。
当用户第一次登录IC时,IC将动态下载Infranet代理(IA)。
IA是轻量级软件代理,确定端点是否遵从用户安全策略,类似于Juniper的SSLVPN主机安全检查。
与主机安全检查相同,IA可配置用于检查预定义的和自定制的标准,包括主机上的运行程序、开发的端口、申请人的真实性、第三方安全软件应用的存在/版本等。
如果发现用户因缺乏端点安全应用(如防病毒或恶意软件防护以及缺乏相关的数据文件或设置等)引发的违规行为,它将把用户发送到修复站点-无次数限制,也无需中断运行。
动态设置的IA还提供可选的认证和加密传输,以便在必要时强制执行网关策略。
Infranet代理收集的信息随后被传送回Infranet控制器。
控制器拥有自己的策略和控制引擎,并通过验证服务器以及身份和授权目录库提供无缝通信。
控制器随后基于用户验证结果和对设备安全特征的实时检查结果,授予用户会话特定的网络接入权限。
将Infranet代理和控制器结合在一起,能够有效防止违规主机连接用户网络,并对用户网络流量提供使用控制。
3.3UAC方案的组件
3.3.1网络控制器(InfranetController)
网络控制器(以下简称为IC)作为整个UAC解决方案的核心组件,担负着对内部用户进行统一的身份认证,统一的访问授权和策略下发的任务。
3.3.1.1策略的统一配置
IC统一定义了对用户终端安全检测和访问控制的一系列策略,可以针对不同的用户,配置不同的客户端安全检查策略,包括防病毒软件安装与更新检查策略,补丁更新策略,个人防火墙检查策略,恶意程序检测策略等。
同时可以定义对不符合安全策略终端的修复,如重定向访问终端到防病毒服务器、补丁管理服务器等,也可以直接杀死客户端的某个恶意进程,删除某个恶意文件等。
3.3.1.2用户登陆
网络集中控制器采用WEB的方式提供给终端用户进行认证。
终端用户可以通过在浏览器中输入https:
//这样的方式,访问IC,输入个人的账号信息,以便进行身份认证和授权。
管理员可以自由调整用户登陆系统的标识与详细界面的外观,以符合用户文化的需要,如,可以修改登陆界面的LOGO,更换为用户本身的LOGO,更换登陆界面的颜色,提示文字等等,也可以嵌入公司的自定制Web页面。
并且可以对不同的用户组实现不同的登陆界面和URL。
3.3.1.3动态的身份认证
IC系统支持全面的身份认证解决方案,其本身可以作为用户内部网络的身份认证服务器,同时IC系统还可以利用您网络当中已有的AAA服务器,支持多种认证服务器系统的整合,如RADIUS、LDAP、WindowsNTDomain、ActiveDirectory、UNIXNIS、dualfactor认证,包括ActivCardActivPack™、RSASecurID®和SecureComputingSafeWord™PremierAccess™,IC系统也支持数字证书的使用,可以单独的利用客户端的数字证书对用户身份进行验证,从而避免了输入用户名/密码的麻烦。
IC系统不仅仅考察客户端主机的用户标识,即不但把用户的用户名、密码和其他的身份属性作为认证的唯一标准,同时还通过获取客户端的其他的信息,也作为认证的因素之一,这些信息包括:
客户端的IP地址、安装的数字证书及其相关的属性、终端安全状况、操作系统类型、浏览器类型等。
IC系统还支持与认证服务器的密码管理功能的整合,即用户登陆后,IC系统可以提供相应的界面,来允许用户修改AD,LDAP,Radius等认证服务器的密码。
3.3.1.4动态的访问授权
IC系统支持全面的细粒度的访问控制授权机制,真正实现了关联用户的帐户标识,网络标识和终端状况的动态控制。
IC系统可以通过多种要素对用户身份进行认证,包括用户身份的相关属性(如用户名,组等)、源地址、网络接口(内/外)、证书、节点安全状况检查、浏览器、操作系统等,IC系统可以根据这些内容的不同,将登陆的用户划分为相应的角色,并且基于角色实现授权,每个角色具有针对不同应用资源的不同的访问权限。
另外,IC系统对上述授权依据信息的获取都是一个动态的过程,系统可以定时的检查客户端的相关信息。
如可以定时的检查客户端的防病毒软件是否开启,如果用户在使用过程中关闭了防病毒软件,系统可能会因此在用户的访问过程中改变该用户所属的角色,可以强制将该用户退出系统,或者重新为该用户分配相应的权限。
这样的话,就实现了一个动态的访问规则的控制,也保证了用户实时的策略遵从性。
3.3.1.5访问权限下发
用户在控制器上正确登陆认证后,会得到IC系统分配的相应角色的权限,这些访问权限作为策略,可以自动下发到网络中指定的多个执行器上或者客户终端的个人防火墙上,而无需人工进行干预。
Netscreen防火墙作为IC系统的主要的控制器,IC上配置的策略可以自动的下载到防火墙上,动态的对防火墙的策略进行更新,用户登陆到IC后,防火墙会自动的为该用户打开授权的通道,允许用户进行相应的访问,用户退出IC系统后,防火墙会自动关闭这个通道。
在Netscreen防火墙上的策略执行包括两种,基于源地址的访问控制策略和基于IPSEC的VPN访问策略。
3.3.1.6系统管理功能
IC系统支持基于角色的管理员授权机制,不同的管理员具有对不同模块的管理功能,不同的读写权限。
IC系统对不同的管理员用户进行策略的匹配和相关的权限的分配,确定管理员角色的因素包括用户名、用户属性、客户端IP地址、客户端证书、证书属性、节点安全状况、浏览器等等;管理员从权限上也可以划分,可以分别设定对于不同的模块是否具有管理功能,如不同的用户组,不同的认证服务器,不同的系统模块等,同时对该模块的管理也可以设为超级用户、只读用户等多种。
IC系统可以生成详细的日志信息,这些日志信息可以在本地保存,也可以传送给相应的SYSLOG服务器,由于SSL信道和认证子模块可以对客户端和服务器终端进行检查,并且记录下相关的信息,我们可以用这些日志进行审计。
管理员通过IC系统的日志管理器或者SYSLOG日志服务器,可以得到丰富的用户访问和系统状态信息,如用户的登入,退出,身份认证结果,连接超时,用户主机安全检查状况,系统自身配置改变,系统状态等。
同时可以利用日志管理器提供的过滤搜索功能,方便的查找出你想得到的信息。
3.3.1.7系统安全性
IC系统本身具有足够的安全性,通过TruSecure,CryptographyResearch和iSec等国际权威安全机构的安全认证,系统本身数据采用AES加密的保存方式,只有本身的应用才可以正确的读到这些数据。
IC系统采用了优化的Linux内核和额外优化的服务器软件的加固硬件系统,该系统被设计成可以抵御针对系统的攻击和针对通过该系统数据的攻击。
系统可以通过只运行完成关键任务的服务来防止攻击,这些关键的服务在开发时就进行了安全加固,确保系统的安全性.系统不运行通常的用户和程序服务,因此不会导致针对这些服务的攻击。
系统不允许管理员创建、维护系统级的用户帐号。
因为没有交互式的Shell和打开的系统帐号,潜在的入侵者无法尝试利用脆弱的口令、缺省帐号或遗弃的帐号对系统进行非授权的访问。
IC系统内部采用了内核级别的包过滤机制,利用预定义的一些规则,对进入系统的数据包进行判断和检查,保证了只有合法的数据包才可以进入IC系统。
3.3.2客户端代理(InfranetAgent)
客户端代理软件安装在用户的终端计算机上,用户通过终端代理软件,实现面向IC的身份认证,信息搜集和自身访问策略的加载。
3.3.2.1自动的客户端软件的安装
对于终端管理方案,管理员最为头疼的问题就是终端进行软件的安装,JuniperUAC解决方案采用了客户端代理软件自动安装的方式,无需管理员逐一的对客户端的主机进行软件的预安装,极大的减少了管理员的工作量。
终端用户通过WEB方式登陆到网络控制器后,就可以实现自动的下载,自动的安装。
IA软件的安装也可以采用其他的方式,如采用分发的形式进行预安装,也可以采用Juniper安装服务的方式进行统一的安装。
3.3.2.2跨平台的支持
JuniperIA客户端代理软件提供跨平台的支持,可以支持目前主流的操作系统,如WindowsXPSP1/SP2,Windows2K,MacOS,Linux等,用户终端无论采用上述的那种系统,都可以轻松的接入到UAC的解决方案当中,进行统一的访问控制。
另外,对于WindowsXP、Windows2K系统,IA提供了更为全面的功能,如可以支持在Windows域环境下对网络控制器的单点登陆,在管理员采用域认证服务器对IC进行认证的情况下,用户在登陆域的同时,也可以自动的登陆到IC系统当中,无需两次输入用户名和密码。
IA也充分的利用了Windows平台的IPSec功能,通过配置,IA可以自动的与网络当中的IE(Netscreen防火墙)之间建立IPSecVPN通道,在内网直接实现封装、加密的安全传输,保证了敏感的数据即使在内网也可以不被人窃取和侦听。
3.3.2.3客户端安全检查
以前通用的解决方案,注重了网络级的安全建设,核心的保护措施都部署在网络边界处,而忽视了终端的安全性,Juniper的UAC解决方案有效的将终端与网络和应用访问结合在一起,我们认为,终端的概念不仅仅包括这台主机的网络IP地址,登陆的用户的信息,也包含该终端主机的整体的状态,如安全状况,操作系统等等信息。
对于一个企业网络,我们都有一个整体的安全策略和规范,只有符合这个安全策略的用户和主机,他的接入才不会影响整体网络的安全性。
Juniper的IA客户端代理软件,可以对接入节点的安全策略进行检查,并且通知IC,根据检查的结果,实施相应的访问控制。
IA检查的内容可以包括客户端的防病毒软件,个人防火墙软件,恶意程序保护软件,间谍软件防护等,以及他们的更新情况。
目前来讲,就终端安全检查方面,国际最为著名的标志为TNC。
TCG-TNC标准
可信计算集团(TCG,TrustedComputingGroup)是一个编写NAC标准的行业集团,其目标是促进多厂商互操作性。
该集团也拥有自己的NAC方案。
可信网络连接(TNC)规定了厂商用于TNC架构的各类设备上的产品接口。
TCG将NAC定义为一种“能够在端点连接至用户网络的过程中应用和执行各类安全要求的开放的、非专用的规格。
”可信网络连接技术TNC(TrustedNetworkConnection)是建立在基于主机的可信计算技术之上的,其主要目的在于通过使用可信主机提供的终端技术,实现网络访问控制的协同工作。
又因为完整性校验被终端作为安全状态的证明技术,所以用TNC的权限控制策略可以估算目标网络的终端适应度。
TNC网络构架会结合已存在的网络访问控制策略(例如802.1x、IKE、Radius协议)来实现访问控制功能。
JuniperUAC解决方案可以全面支持TNC标准,可以与Symantec,McAFee,IBM,PatchLink等安全厂商做紧密的结合,从而来判断终端安全性。
同时,Juniper提供大量的预定义安全检查策略,如果预定义的策略中包括了网络中部署终端安全软件,管理员可以直接利用这些策略对登陆的主机进行评估。
预定义的策略包含了下面的产品,并且名单处于不断的更新中。
•防病毒厂商Authentium,BitDefender,AVG,Clamwin,CA,DrWeb,Symantec(Norton),McAfee,Panda,Sophos,F-Secure,KasperskyLabs,ZoneLabs,SBCYahooAV,TrendMicro,Antivir,F-Prot,Nod32
•个人防火墙厂商:
ISS,Microsoft,Symantec(NortonandSygate),McAfee,ZoneLabs,TinySoftware(CA)
•防间谍软件厂商:
Lavasoft(Ad-aware),ComputerAssociates(PestPatrol),McAfee,Prevx,Webroot(spysweeper),PCTools(spywaredoctor),Javacoolsoftware(spywareblaster),Microsoft,TrendMicro,Bulletproofsoft,Spywarebegone,SBCYahoo
对于目前还没有进行预定义检测策略,系统也支持强大的自定义功能,可以检测的内容包括:
•注册表参数检查
•开放/不允许的ports检查
•允许/不允许的进程检查
•允许/不允许的文件检查
•检查定制的dlls
•对第三方软件实施心跳检查
•应用认证检查(进程,
升级会员 