H3CEAD安全解决方案及实施步骤.docx
《H3CEAD安全解决方案及实施步骤.docx》由会员分享,可在线阅读,更多相关《H3CEAD安全解决方案及实施步骤.docx(65页珍藏版)》请在冰点文库上搜索。
H3CEAD安全解决方案及实施步骤
H3CEAD安全解决方案指导书
实施方案
二零一零年十二月四日
1EAD解决方案介绍
1.1EAD系统介绍
H3CEAD(EndpointAdmissionDefense,端点准入防御)解决方案是一套融合网络设备、用户终端和第三方安全产品的全网安全体系框架,其目的是整合孤立的单点安全部件,形成完整的网络安全体系,最终为用户提供端到端的安全防护。
iMCEAD组件是EAD解决方案的核心部件。
通过这种防病毒软件、安全客户端、接入设备、iMC智能管理中心的整合,EAD解决方案能够防止已感染病毒或存在系统漏洞的用户终端对网络中的其他用户产生危害,保护缺乏防御能力的用户因暴露在非安全的网络中而受到威胁,避免来自网络内部的入侵;再配合传统的防火墙或IDS设备,最大限度的防止非法入侵。
在EAD解决方案的框架下,用户的认证过程可以分为两个步骤:
用户身份认证和安全认证。
用户身份认证在iMCUAM组件上进行,通过用户名和密码来确定用户是否合法。
身份认证通过后,用户处在隔离区,与此同时发起安全认证,安全认证由iMCEAD组件完成。
如果安全认证通过,则用户的隔离状态被解除,可以正常访问网络资源;如果安全认证不通过,则继续隔离用户,直到用户完成相关修复操作后通过安全认证为止。
iMCEAD组件、iMC智能管理平台组件(含UAM接入)必须与设备、客户端、第三方服务器等配合才能形成完整的EAD解决方案。
下图是iMCEAD的结构图:
2EAD解决方案实施指导
EAD安全解决方案适于各种网络环境中的部署,针对现网中的各种复杂应用环境和组网模式,H3C的EAD安全解决方案都提供了完善而有针对性解决方案,就目前应用场景来说,最常见的组网模式大致有以下几种:
802.1x环境,Portal环境,L2tp环境.下面依次都各个组网模式进行介绍,其中的无线认证方式,是作为有线网络的补充和延伸,客户端的安装,服务器端的设置是一样的,做到了解即可。
重点说明有线网络环境下的EAD安全解决方案如何实施。
2.1802.1x认证方式
2.1.1协议综述
IEEE802.1x称为基于端口的访问控制协议(Portbasednetworkaccesscontrolprotocol)。
主要是为了解决局域网用户的接入认证问题。
IEEE802.1x协议的体系结构包括三个重要的部分:
客户端(SupplicantSystem)、认证系统(AuthenticatorSystem)、认证服务器(AuthenticationServerSystem)。
客户端用户通过启动客户端软件发起802.1x协议的认证,EAPOL报文经过认证系统的受控口和认证服务器进行认证交互后,如通过认证,则用户接入网络成功。
2.1.2802.1X认证体系的结构
IEEE802.1X的体系结构中包括三个主要部分
●SupplicantSystem——客户端系统;
●AuthenticatorSystem——认证系统;
●AuthenticationSeverSystem——认证服务器系统。
三者的关系如下图:
IEEE802.1X的体系结构图
2.1.3802.1x典型组网
802.1X推荐的组网推荐的组网:
组网说明:
1.802.1x认证起在接入层交换机上.
2.采用二次ACL下发的方式(隔离acl,安全acl)来实现对安全检查不合格的用户进行隔离,对安全检查合格的用户放行.
3.由于是二次acl下发的方式,要求接入层交换机为H3C交换机(具体的交换机型号请参考EAD的产品版本配套表).
4.控制点低,控制严格(采用802.1x认证方式,接入用户未通过认证前无法访问任何网络资源)
5.由于802.1x控制非常严格,非通过认证的用户无法访问任何网络资源,但有些场景下用户需要用户未认证前能访问一些服务器,如DHCP,DNS,AD(activedirectory域控),此时可采用802.1x的免认证规则,具体配置参照华三相关设备操作手册。
6.为确保性能,iMCEAD一般要求分布式部署
7.对于不支持二次acl下发的交换机(我司部分设备及所有第三方厂家交换机),可以通过使用iNode的客户端acl功能来实现隔离区的构造,即将原本下发到设备上的acl下发到iNode客户端上,中间设备只需做到能透传EAP封装radius属性即可
8.二次acl下发需要iNode定制“客户端acl特性”,该特性需要iNode安装额外的驱动,对终端操作系统的稳定性有较高的要求。
9.在接入层设备不是H3C交换机的情况下,由于设备不支持二次acl下发无法采用二次acl下发的方式来构造隔离区,此时可以通过下线+不安全提示阈值的方式来模拟构造隔离区,实现EAD功能。
具体实现为:
用户安全检查不合格时,EAD不立即将终端用户下线而是给出一定的修复时间(不安全提示阈值),终端用户可以如果在该时间内完成的安全策略修复则可以正常通过EAD认证访问网络,如果在该时间内未完成安全策略修复则被下线。
组网说明:
802.1x认证起在接入层交换机上(要求接入层交换机对802.1x协议有很好的支持),控制点低,控制严格
终端用户DHCP或静态IP地址均可
采用下线+不安全提示阈值方式认证过程简单,稳定。
由于终端用户在不安全时在“不安全提示阈值”时间内与安全用户访问网络的权限是一样的,安全性上不如二次acl下发方式好。
802.1X的认证过程
●802.1x的基本认证过程是:
1.最初通道的状态为unauthorized,认证系统处于Initial状态,此时客户端和认证系统通道上只能通过EAPOL报文;
2.用户端返回response报文后,认证系统接收到EAP报文后承载在Radius格式的报文中,再发送到认证服务器,认证服务器接受到认证系统传递过来的认证需求,认证完成后将认证结果下发给认证系统,完成对端口的管理。
3.认证通过后,通道的状态切换为authorized,用户的流量就将接受VLAN、CAR参数、优先级、用户的访问控制列表等参数的监管,此时该通道可以通过任何报文。
●认证通过之后的保持:
认证系统Authenticator可以定时要求Client重新认证,时间可设。
重新认证的过程对User是透明的。
2.1.4802.1x与其他认证协议的简单比较
认证协议
802.1x
Pppoe
web
是否需安装客户端软件
需要(Windowsxp系统不需)
需要
不需
业务报文传送效率
高
低
高
组播支持能力
好
不好
好
设备端要求
低
高
较高
处理流程
清晰
清晰
复杂
有线网上安全性
扩展后可用
可用
可用
2.2Portal认证方式
2.2.1Portal协议概述
Portal协议在英语中是“入口”的意思,portal认证通常称为“web认证”。
基本思想为未认证用户访问网络时会被强制重定向到某站点,进行身份认证只有通过身份认证才能访问网络资源。
2.2.2portal协议原理
Portal协议框架如上所示,portal的认证方式分为两种,一种为IE浏览器,也即web认证方式;另一种为inode客户端认证方式。
Portal协议是一种基于UDP报文,包括portalserver和portal设备两个协议主体的认证协议。
交互流程如下所示。
对于这两种认证方式,认证的流程用下
Web认证方式:
用户输入域名或者ip地址后发起http请求,portal设备经处理后,反馈给用户一个强制认证的页面,需要用户输入账号和密码进行验证。
用户浏览器将用户名和密码发送给portaweb后,经过中间bas设备将portal报文转换为radius报文,将用户名和密码封装后发送给后方的端点准入控制服务器进行验证,认证成功后,用户即能正常访问网络资源。
否则提示用户验证失败,访问受限。
采用inode客户端方式认证:
这种方式用户直接在inode客户端中输入用户名和密码(总局人员只有第一次安装时输入,以后每次开机自启动),经bas设备(中间的交换设备)重定向给inode后,剩下的报文在inode客户端和portal核心之间交互。
Portal核心通过和bas设备的交互,将用户名和密码传送给bas设备,bas设备和端点准入控制服务器之间进行radius报文的交互,认证成功后,用户即可访问网络资源,认证失败给出提示,禁止用户访问网络资源
2.2.3portal典型组网
portal的直连方式(二层模式)
Portal直连方式(三层模式)
三层Portal认证与二层Portal认证的比较
组网方式上,三层认证方式的认证客户端和接入设备之间可以跨接三层转发设备;非三层认证方式则要求认证客户端和接入设备之间没有三层转发。
三层Portal认证仅以IP地址唯一标识用户;而二层Portal认证以IP和MAC地址的组合来唯一标识用户,即到portal设备的报文为带vlan-tag的二层报文。
portal的旁挂方式
当用户网关和bas设备不是同一个设备或者在原有网络上需要采用portal认证时,需要采用旁挂方式组网。
如下图所示
Portal设备侧挂在网关上,由网关将需要portalEAD认证的流量策略路由到Portal设备上做EAD认证,这种组网方式对现场改动小,策略灵活(仅将需要认证的流量策略路由到portal设备上,不需要认证的流量可以正常通过网关转发)
一般采用下线的方式即可实现将终端用户放入隔离区来实现EAD
Portal设备的具体型号请参考EAD的版本说明书
网关设备需要支持策略路由
终端用户与iMC之间不能有NAT
终端用户到iMC的流量一定要经过portal设备,不能出现终端用户不经过portal设备直接访问iMC的情况,否则portal认证会异常。
2.2.4portal协议旁挂方式认证流程图
旁挂方式中,用户流量在gateway设备处匹配策略路由进行重定向给portalBAS设备,触发portal认证,portal将用户输入的账号和密码封装成radius报文发送端点准入服务器,经过服务器的验证后,用户获取到访问网络的权限。
报文回送给gateway设备,之后进行正常的报文转发。
用户数据流量回来后,通过路由进行正常的报文转发。
如下图所示。
2.2.5portal两种方式组网的优缺点
1.从适用范围来讲,直连方式常应用于新建的网络,如果原来网络已经建设好,为了不对现有网络产生大的影响,可以采用旁挂的方式;
2.从对网络的影响程度上,直连方式对现有网络影响最大,因此对于那些网络已经建设好的地方,不建议采用直连portal方式;而旁挂方式能很好的解决这个问题,只需要增加配置将原有流量有选择的重定向给portal设备即可,对网络影响较小。
而且可以平滑过渡。
2.3L2TPVPNEAD
终端用户身份认证采用l2tp方式,EAD通过二次acl下发到安全联动网关来实现EAD。
组网说明:
终端用户采用l2tp方式做身份认证
如果需要安全性防护可以采用l2tpoverIPSec的方案
二次acl下发均下发到安全联动VPN网关上,网关的具体型号请参考EAD版本说明书
附件:
iNode客户端经过L2TP远端拨号认证接入内网案例
2.4无线EAD
无线EAD目前只支持Portal方式的EAD,不支持基于802.1x认证方式的EAD。
组网说明:
AC除了完成AP的注册及控制外,同时起用portal认证
一般采用下线的方式即可实现将终端用户放入隔离区来实现EAD
支持EAD AC的具体型号请参考EAD的版本说明书
终端用户与iMC之间不能有NAT
终端用户到iMC的流量一定要经过portal设备,不能出现终端用户不经过portal设备直接访问iMC的情况,否则portal认证会异常。
由于AC转发性能的考虑,用户的网关不要设在AC上
附件:
某大学图书馆无线portal与网络中心认证案例
3iNode客户端安装及配置
3.1iNode客户端软件安装的软硬件环境需求
硬件需求
iNode智能客户端可安装和运行在普通PC机上,其基本硬件需求为:
主频为667MHz或更高的CPU;
128MB以上内存;
20MB以上的硬盘空间
软件需求
iNode智能客户端所支持的操作系统如下:
Windows2000SP4;
WindowsXP;
WindowsServer2003;
Windowsvista。
各种环境下iNode客户端的安装指导
3.1.1802.1x环境下的iNode客户端安装过程
出现iNode客户端安装欢迎界面,点击下一步
接受许可协议中的条款,点击下一步
选择安装路径,建议默认安装路径,确认后点击下一步
确认后,点击安装
Inode客户端需要VisualC++2005的开发环境,安装过程中,系统会检查该环境安装与否,如果没有安装,会默认安装
安装完成后,重新启动系统生效
Portal环境下iNode软件的安装
出现欢迎界面,点击下一步
接受许可证协议条款,点击下一步
选择文件安装位置,点击下一步
准备就绪后点击安装
安装进度条,
安装过程中,有可能出现此提示框,需要先关闭360等杀毒软
件,否则会影响客户端的正常安装
客户端采用了C++的环境,需要具备此环境才能正常运行.
安装过程中系统会自动检查是否已经安装,否则会出现
上面所示画面
安装完成后重新启动系统完成客户端的安装
3.1.2l2tp环境下的iNode软件的安装
L2tp环境下的iNode软件安装过程和802.1X类似,在此不赘述,如果需要写iNode的安装指导,参考8021x的安装指导
3.2iNode终端配置
3.2.1802.1x组网环境终端配置
点击新建连接,选择“是”
出现欢迎界面,点击下一步
选择802.1x协议,点击下一步
选择连接类型“普通连接”,点击下一步
输入分配的用户名和密码,如果环境中存在mac认证或者结合USB-KEY进行证书认证的话,可以选中“启用高级认证”,点击下一步
选择认证时采用的网卡,同时选择“运行时自动认证”,“上传IPV4地址”,至于“上传客户端版本”,虽然默认是选中的,但是在特殊环境下,需要将其关闭,比如在无线的证书认证中。
根据实际需求选择后点击,完成客户端的设置
完成界面,点击“创建”
点击新建的连接,认证成功如下
3.2.2Portal环境下客户端设置
新建连接向导,点击下一步
选择认证协议“portal协议”
根据需求选择不同连接类型,这里我选择普通连接
设置连接用户名和密码,点击下一步进入创建快捷方式界面
点击图标的属性,输入portal服务器的地址(这个地址一定不能修改,不然会影响到客户端和服务器端的正常通讯)
完成设置后,点击进行认证,认证成功如下图
认证成功后在imc端的在线用户列表
、
3.2.3L2TP环境下iNode软件的设置
进入新建向导,点击下一步
选择连接协议“l2tpovervpn协议”,点击下一步
选择连接类型“普通连接”
输入用户名和密码,点击下一步
根据实际情况设置,点击高级
选择认证模式“chap”,默认为pap认证模式
重点设置网关名字和对端网关设备名字,建议选中keepalive报文
完成设置后,点击认证成功如下(没有关联EAD安全策略)
注意点:
在做l2tp的接入认证中,用户名/密码认证正确后,是需要在域地址池中分配一个地址给用户的.,用户使用这个地址和IMC进行直接通讯.,也就是路由必须可达.不然用户的EAD安全检查是无法进行的,并且在一段时间连接超时后,提示”无法连接到策略服务器,连接超时”,这点是需要注意的.
4接入设备端配置
4.18021x环境下接入层设备配置举例
要求:
认证用户属于这个默认域,radius服务器地址为10.1.1.1/24,密码
H3c,指定验证后进行EAD安全检查
配置脚本如下
[5120_EI]dicu
#
version5.20,Release2202P06
#
sysname5120_EI------------------------------配置系统名称
#
domaindefaultenable
#
telnetserverenable
#
undolldpenable---------------------------关闭lldp协议
#
dot1x----------------------------------------全局启动dot1x
dot1xauthentication-methodeap-------------验证dot1x方式为eap透传
dot1xfree-ip172.25.1.3255.255.255.255----到域控的数据流允许不经过认证即放行
dot1xfree-ip172.25.1.2255.255.255.255----同上
#
aclnumber3000----------------------------配置安全acl3000(必须和imc上的acl配置一致)
rule1permitip
aclnumber3001-----------------------------配置隔离acl3001(必须和imc上的acl配置一致)
rule1permitipdestination172.25.1.20
rule2permitipdestination172.25.1.30
#
vlan1
#
vlan701to702
#
vlan902----------------------------------创建管理vlan
#
radiusschemesystem
server-typeextended
primaryauthentication127.0.0.11645
primaryaccounting127.0.0.11646
user-name-formatwithout-domain
radiusschemeh3c---------------------------创建radius模版h3c
server-typeextended-----------------------服务类型为扩展,支持EAD安全检查
primaryauthentication172.25.255.12-------首选认证服务器地址
primaryaccounting172.25.255.12-----------首选计费服务器地址
keyauthenticationh3c---------------------接入层交换机和radius服务器之间的验证密码
keyaccountingh3c-------------------------接入层交换机和radius服务器之间的计费密码
user-name-formatwithout-domain------------用户名格式为不带域名后缀
#
domain------------------------------新建域名
authenticationlan-accessradius-schemeh3c--关联新建radius模版h3c
authorizationlan-accessradius-schemeh3c---关联新建radius模版h3c
accountinglan-accessradius-schemeh3c------同上
access-limitdisable
stateactive
idle-cutdisable
self-service-urldisable
#
interfaceVlan-interface1
#
interfaceVlan-interface902------------------配置网管地址,和imc进行radius报文交互的ip地址
ipaddress172.25.254.68255.255.255.192
#
interfaceGigabitEthernet1/0/1
#
interfaceGigabitEthernet1/0/2---------------在想认证的接口上开启dot1x认证,其它接口依次类推
portaccessvlan702
dot1x
#
interfaceGigabitEthernet1/0/3
#
interfaceGigabitEthernet1/0/4
#
interfaceGigabitEthernet1/0/5
#
interfaceGigabitEthernet1/0/6
#
interfaceGigabitEthernet1/0/7
#
interfaceGigabitEthernet1/0/8
#
interfaceGigabitEthernet1/0/9
#
interfaceGigabitEthernet1/0/10
#
interfaceGigabitEthernet1/0/11
#
interfaceGigabitEthernet1/0/12
#
interfaceGigabitEthernet1/0/13
#
interfaceGigabitEthernet1/0/14
#
interfaceGigabitEthernet1/0/15
#
interfaceGigabitEthernet1/0/16
#
interfaceGigabitEthernet1/0/17
#
interfaceGigabitEthernet1/0/18
#
interfaceGigabitEthernet1/0/19
#
interfaceGigabitEthernet1/0/20
#
interfaceGigabitEthernet1/0/21
#
interfaceGigabitEthernet1/0/22
#
interfaceGigabitEthernet1/0/23
#
interfaceGigabitEthernet1/0/24
#
interfaceGigabitEthernet1/0/25
#
interfaceGigabitEthernet1/0/26
#
interfaceGigabitEthernet1/0/27
#
interfaceGigabitEthernet
升级会员 