浅谈终端安全接入

前言：

随着网络的发展，现代企业大多都会部署企业的有线网络与无线网络，在传统的企业网内，随着越来越多的终端设备接入到公司网络，管理人员控制和审计外部用户接入的企业办公网的难度和工作量也越来越大。而如果允许外部用户随意使用企业网络，则可能在管理人员和系统维护人员毫不知情的情况下，某些恶意用户侵入企业办公网络，从而造成数据泄露、病毒木马传播、恶意勒索以及数据攻击等严重问题。由此，针对企业网络亟需一套能够有效控制终端接入、审计以及分级管控的网络部署架构。

关键字：终端安全接入、802.1x、网络管控

一

接入协议 802.1x

1

802.1x 协议介绍

802.1x 协议起源于 802.11 协议，后者是 IEEE 的无线局域网协议， 制订 802.1x 协议的初衷是为了解决无线局域网用户的接入认证问题。IEEE802LAN 协议定义的局域网并不提供接入认证，只要用户能接入局域网控制设备 (如 LAN Switch)就可以访问局域网中的设备或资源。

802.1x 协议是基于客户端/服务端的访问控制和认证协议,包括三个实体：客户端、接入设备和认证服务器。其可以限制未经授权的用户或者设备通过接入端口访问 LAN/WLAN。认证系统每个物理端口内部包含有受控端口和非受控端口。非受控端口始终处于双向连通状态，主要用来传递 EAPOL 协议帧，可随时保证接收认证请求者发出的 EAPOL 认证报文;受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。在认证通过之前，支持 802.1x 协议的交换设备只允许 EAPOL（基于局域网的扩展认证协议）数据报文通过终端连接的交换机端口；认证通过后，用户或者终端的其他数据报文才能顺利地通过以太网端口进行后续的路由转发等动作。

2

终端、交换设备以及认证服务器需要满足的要求

▎用户终端

局域网用户终端设备，但必须是支持 EAPOL 的设备，可通过启动客户端设备上安装的 802.1x 客户端软件发起 802.1x 认证。目前大部分的台式机、笔记本以及手机都支持 EAPOL。

▎交换设备端

支持 802.1x 协议的网络交换设备（如交换机），对所连接的客户端进行认证。它为客户端提供接入局域网的端口（物理端口或者逻辑端口）。

▎认证服务器

为交换设备端 802.1x 协议提供认证服务的设备，是真正进行认证的设备，实现对用户进行认证、授权和计费，通常为 RADIUS 服务器。通过需要在交换设备上配置认证服务器的 IP 端口信息。

3

认证方式

EAP 协议可以运行在各种底层，包括数据链路层和上层协议（如 UDP、TCP 等），可以不需要 IP 地址。因此使用 EAP 协议的 802.1X 认证具有良好的灵活性。

在用户终端与交换设备端之间，EAP 协议报文使用 EAPoL（EAP over LANs）封装格式，直接承载于 LAN 环境中。

在交换设备端与认证服务器之间，用户可以根据客户端支持情况和网络安全要求来决定采用的认证方式。

▎EAP 终结方式

EAP 报文在设备端终结并重新封装到 RADIUS 报文中，利用标准 RADIUS 协议完成认证、授权和计费。在此方式下，不同的交换识别所能支持的认证扩展协议可能会有很大的区别，例如，华为的交换机一般仅支持 MD5-Challenge 方式。在需要安全性更高的场景下，EAP 终结方式就无法满足要求。

▎EAP 中继方式

EAP 报文被直接封装到 RADIUS 报文中（EAP over RADIUS，简称为 EAPoR），以便穿越复杂的网络到达认证服务器。

EAP 中继方式的优点是设备端处理更简单，支持更多的认证方法，缺点则是认证服务器必须支持 EAP，且处理能力要足够强。对于常用的 EAP-TLS、EAP-TTLS、EAP-PEAP 三种认证方式，EAP-TLS 需要在客户端和服务器上加载证书，安全性最高，EAP-TTLS、EAP-PEAP 需要在服务器上加载证书，但不需要在客户端加载证书，部署相对灵活，安全性较 EAP-TLS 低。

4

认证过程

802.1X 认证有以下触发方式：

● 客户端发送 EAPoL-Start 报文触发认证

● 客户端发送 DHCP/ARP/DHCPv6/ND 或任意报文触发认证

● 设备以组播形式发送 EAP-Request/Identity 报文触发认证

由于 Windows 系统自带的 802.1x 认证程序不主动发送 EAPoL-Start 报文，因此一般认证的触发主要是通过客户端发送 DHCP/ARP/DHCPv6/ND 等报文触发。

802.1x 中继方式的认证过程如下图所示：

上图中认证过程是由客户端主动发起的，即采用 EAPoL-Start 报文触发认证。

二

认证扩展协议

上文提到 802.1x 使用 EAP 进行验证信息交互，EAP 它本身不是一个认证机制，而是一个通用架构，用来传输实际的认证协议。EAP 的优点是当一个新的认证协议发展出来的时候，基础的 EAP 机制不需要随着改变。

EAP 是一组以插件模块的形式为任何 EAP 类型提供结构支持的内部组件，它的设计理念是满足任何链路层的身份验证需求，支持多种链路层认证方式。EAP 协议是 IEEE802.1x 认证机制的核心，它将实现细节交由附属的 EAP Method 协议完成，如何选取 EAP method 由认证系统特征决定。这样实现了 EAP 的扩展性及灵活性，如图所示，EAP 可以提供不同的方法分别支持 PPP，以太网、无线局域网的链路验证。

EAP 可分为四层：EAP 底层，EAP 层，EAP 对等和认证层和 EAP 方法层。

EAP 底层负责转发和接收被认证端（peer）和认证端之间的 EAP 帧报文；EAP 层接收和转发通过底层的 EAP 包；EAP 对等和认证层在 EAP 对等层和 EAP 认证层之间对到来的 EAP 包进行多路分离；EAP 方法层实现认证算法接收和转发 EAP 信息。基于 EAP 衍生了许多认证协议，如 EAP-MD5、EAP-TLS 以及 EAP-TTLS 等。

如果现有的扩展方法无法满足实际的应用需求时，企业可以根据自己的需求开发自己的扩展方法，并以插件的方式融入到 EAP 中。如：在进行认证时，认证报文中，除了基本的身份认证外，还可以携带终端的其他信息：病毒库版本、漏洞修复情况、终端设备标识以及终端所处网络等信息，以供后续身份认证使用。

三

网络访问授权

802.1x 不仅可以用于认证确认尝试接入网络的终端设备是否合法，还可以使用授权功能指定通过认证的终端所能拥有的网络访问权限，即用户能访问哪些资源。授权最常使用的基本授权参数有：VLAN、ACL 和 UCL 组。

1

VLAN

为了将受限的网络资源与未认证用户隔离，通常将受限的网络资源和未认证的用户划分到不同的 VLAN。用户认证成功后，认证服务器将指定 VLAN 授权给用户。此时，设备会将用户所属的 VLAN 修改为授权的 VLAN，授权的 VLAN 并不改变接口的配置。但是，授权的 VLAN 优先级高于用户配置的 VLAN，即用户认证成功后生效的 VLAN 是授权的 VLAN，用户配置的 VLAN 在用户下线后生效。

2

ACL

用户认证成功后，认证服务器将指定 ACL 授权给用户，则设备会根据该 ACL 对用户报文进行控制。

● 如果用户报文匹配到该 ACL 中动作为“允许”的规则，则允许其通过；

● 如果用户报文匹配到该 ACL 中动作为“阻止”的规则，则将其丢弃。

ACL 规则支持使用 IPv4/IPv6 报文的源地址、目的地址、I 协议类型、ICMP 类型、TCP 源/目的端口、UDP 源/目的端口号、生效时间段等来定义规则。如果需要更复杂的授权规则，则需要将用户访问流量通过路由表等方式引流到接入的管控设备上。

3

UCL

用户控制列表 UCL 组（User Control List）是网络成员的集合。UCL 组里面的成员，可以是 PC、手机等网络终端设备。借助 UCL 组，管理员可以将具有相同网络访问策略的一类用户划分为同一个组，然后为其部署一组网络访问策略，满足该类别所有用户的网络访问需求。相对于为每个用户部署网络访问策略，基于 UCL 组的网络控制方案能够极大的减少管理员的工作量。

除此之外，管理员还可以通过认证服务端的计费/审计功能，查看用户/终端设备的访问记录，以确定特定用户有无越权访问情况。

四

结语

综上所述，企业可以根据不同的场景以及不同的安全需求，使用 802.1x 结合交换设备以及 AAA 认证服务端实现用户终端的安全验证接入、网络管控、日志审计等功能，从多维度保障企业的网络安全以及数据安全。