随着工业企业两化融合的飞速发展,企业生产网络中的终端数量激增,终端类型也呈多样化,如PLC、DCS、数控机床、机器人手臂、工程师站、操作员站、打印机等等。非法终端的入网会给企业业务系统带来包括病毒、入侵等安全风险,造成不可估量的损失。大多数企业用户选择部署网络准入控制系统实现对终端入网的管控,但终端准入控制技术多种多样,本篇文章将介绍当下主流的准入控制技术原理,带领大家了解不同准入控制技术的适用性。
网络准入控制系统(NAC),宗旨是通过管控终端设备是否允许接入网络,从而防止病毒和蠕虫等黑客技术对企业安全造成危害。借助终端准入控制技术,可以限定仅经过授权、合法、安全、值得信任的终端设备(如服务器、办公PC、移动终端等)接入企业网络,而未经授权的终端不能入网。
当前,网络准入控制系统主要通过PBR、SPAN、DHCP、ARP、MVG、802.1x等终端准入控制技术,以实现终端设备是否允许接入网络的控制效果,以上每种技术的适用场景、控制范围、网络前提条件各有不同。
本次通过两篇文章对主流准入控制技术的技术原理及业务场景进行详细介绍,本文重点介绍PBR、MVG、802.1x三种准入控制技术。
图1 常见的准入控制方式
PBR(Policy based routing),即“策略路由”,通过在核心交换机上配置ACL,捕获所有访问管控区域(如业务服务器区、互联网区)的数据流量,并借助策略路由将捕获的流量,路由至网络准入控制系统,这样所有访问管控区域的流量都会流经网络准入控制系统,从而实现对未授权访问行为的阻断。
PBR准入控制技术通过调整网络通信路由规则,进行网络通信二次转发,做到逐包(通信数据包)检测。网络准入控制系统对满足安全要求的数据包采取“放行+审计”策略,对未满足安全要求数据包采取“阻塞+告警”策略,数据流阻塞效果100%。对于初次接入网络的终端,网络准入控制系统将该终端流量重定向至准入注册页面,等待终端用户注册及管理员审核后,该终端才可正常访问业务服务器。
3.1.2入网流程
图2 PBR准入控制技术用户入网流程
①用户入网以后,由于有策略路由的存在,任何的跨三层业务访问,上行流量均被策略路由引向网络准入控制系统;
②网络准入控制系统收到数据后,返回给用户一个重定向页面,用户收到重定向页面后,开始执行准入注册流程;
③用户入网验证完成后,上行流量会被网络准入控制系统放行,并路由至业务区域,至此用户可以访问业务系统;
④从业务区域返回的下行流量由于未被策略路由匹配到,因此无需经过网络准入控制系统,直接返回给用户。
PBR准入控制技术的优势在于可通过ACL灵活匹配需进行管控的数据流量,并且对于网络设备要求不高,仅要求核心交换机支持策略路由功能即可。但由于PBR准入控制技术依赖路由控制,因此对于终端入网的二层访问无能为力,对终端的管控力度差,并且由于PBR准入控制技术在逻辑上将网络准入控制系统串接至业务链路中,因此网络准入控制系统可能成为网络性能瓶颈。
3.1.3应用场景
【背景介绍】
(1)工控网络存在少量工控主机,采用静态IP地址分配方式,对底层接入设备的准入并不做强制要求;
(2)防止未授信的终端接入MES系统、ERP系统等重要业务系统(服务器与终端为不同网段)。
【解决方案】
利用PBR准入控制技术,在核心交换机将目的地址为关键业务系统网段的流量进行抓取,通过策略路由将访问关键业务系统的终端流量,路由至网络准入控制系统,实现设备防伪造、设备防替换等防护目的。
3.2.1技术概述
MVG(Multi-vendor virtual getaway),即多厂商虚拟网关技术,是国内安全厂商基于思科私有协议VG(virtual gateway)进行开发的,也是基于接入层的网络准入控制技术。相较于只有思科设备支持的VG准入控制技术,目前市面上主流网络设备均支持MVG准入控制技术,因此MVG准入控制技术的适用性更佳。
MVG准入控制技术主要通过SNMP、Telnet、SSH等协议管理接入交换机,通过控制接入交换机接口VLAN来阻断未授权终端的入网。当未授权终端接入网络时,网络准入控制系统会将接入交换机连接该终端的接口,划分至一个隔离VLAN中,并通过数据标签替换技术实现对该终端上网页面的自动重定向,强制终端访问注册页面。当用户注册并通过终端检查后,网络准入控制系统再将该网络接口更改为业务VLAN,此时,入网终端才可访问业务网络。
3.2.2入网流程
图3 MVG准入控制技术用户入网流程
①用户终端刚接入网络中时,网络准入控制系统会通过SNMP、SSH或Telnet等方式,将接入交换机连接对应接口切换为隔离VLAN,用户终端利用隔离VLAN访问网络中的资源,访问流量通过隔离VLAN的Trunk接口到达网络准入控制系统;
②网络准入控制系统在收到用户的数据包时,将该数据包的VLAN标签更改为业务VLAN标签,并引导其访问网络准入控制系统的重定向接口;
③当重定向接口收到来自用户的数据包后,网络准入控制系统会以隔离VLAN标签返回给用户认证页面,引导用户进行入网认证以及终端检查;
④当用户终端完成安全检查并通过认证后,网络准入控制系统将该用户终端连接的交换机接口切换为业务VLAN,至此用户可通过业务VLAN访问业务系统。
MVG准入控制技术的优势在于可实现二层端口级的管控,但要求所有交换机均为可管理交换机,并提供网络设备的读写权限。
3.2.3应用场景
【背景介绍】
(1)工控网络采用标准的核心、汇聚、接入三层组网结构,工控网络中存在多个网段,但不同网段的网关均部署在核心交换机上;
(2)所有交换机均为管理型交换机,对终端实现端口级终端准入控制。
【解决方案】
采取MVG准入控制技术,通过SNMP、Telnet、SSH等协议管理接入交换机,通过控制接入交换机接口VLAN来阻断未授权终端的入网,实现端口级终端管控。
802.1x,也称为Dot1x,是IEEE制定的关于用户接入网络的认证标准,属于IEEE 802.1网络协议组的一部分。802.1X验证过程中涉及三个角色:申请者、验证者、验证服务器。
申请者:局域网用户终端设备,但必须是支持EAPOL的设备(如PC机)。终端设备可通过启动802.1x客户端软件发起802.1x认证。
验证者:支持802.1x协议的网络设备(如交换机),对所连接的客户端进行认证。它为客户端提供接入局域网的端口。
验证服务器:为802.1x协议提供认证服务的设备,是一个运行着支持RADIUS、EAP、PEAP认证协议的主机,实现对用户认证、授权和计费,可由网络准入控制系统担任。
802.1x准入控制技术强调对交换机端口的控制。802.1x协议配合交换机,强制入网终端在非验证状态下,只能发送EAP报文,而无法发送数据报文。当未授权终端入网时,将采取主动或被动方式发起802.1x认证过程。
图4 802.1x准入控制技术用户入网流程
①当入网用户终端连接至交换机,打开802.1x客户端程序,输入已经申请、登记过的用户名和口令,发起连接请求。此时,802.1x客户端程序将发出请求认证的报文给交换机,开始启动认证过程;
②交换机收到请求认证的数据帧后,将发出一个请求帧,要求用户的802.1x客户端程序发送已输入的用户名;
③802.1x客户端程序响应交换机发出的请求,将用户名信息通过数据帧送给交换机。交换机将802.1x客户端送上来的数据帧经过封包处理后发送给认证服务器(网络准入控制系统)进行处理;
④认证服务器(网络准入控制系统)收到交换机转发的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的密钥对口令信息进行加密处理,并将密钥发送给交换机,由交换机转发给802.1x客户端程序;
⑤客户端程序收到由交换机转发的密钥后,用该密钥对口令进行加密处理(此种加密算法通常是不可逆的),并通过交换机转发给认证服务器(网络准入控制系统);
⑥认证服务器(网络准入控制系统)将收到的加密口令信息,与其自己经加密运算后的口令信息对比,如果相同,则认为该用户为合法用户,反馈认证通过消息,并向交换机发出打开端口指令。否则,反馈认证失败消息,并保持交换机端口关闭状态,只允许认证信息数据通过而不允许业务数据通过;
⑦至此,入网用户终端完成802.1x的终端准入认证,并能访问业务系统。
802.1x准入控制技术相较于其他准入控制技术,安全性更佳,对于哑终端可采用基于MAC地址控制方式实现准入控制,并且可实现跨三层的端口级别控制。但要求网络设备支持802.1x协议,且配置和维护较为复杂,对于HUB、NAT环境支持力度差,当端口下挂HUB或二层交换机时,需依赖额外的扩展协议来实现准入控制,交换机对于扩展协议的支持程度将直接影响使用体验。
(1)工控网络规模较大,具备分支机构,工控网络中存在大量入网终端,包括工控主机、SCADA服务器、PAD等计算设备,以及PLC、摄像头、物联网网关等哑终端设备;
(2)工控网络中的交换机均支持802.1x协议,需要对计算设备、哑终端设备以及分支机构的设备,均要实现端口级别的终端入网准入控制。
采用802.1x准入控制技术,对工控主机、SCADA服务器等计算类设备,通过安装802.1x认证客户端实现终端入网准入控制,针对PLC、摄像头等哑终端设备,可采用MAC地址绑定方式进行认证,实现基于802.1x协议的终端准入控制。
随着工业互联网、两化融合的应用和普及,使得信息化和工业化深度结合,来自工业企业内部的安全风险和威胁与日俱增,对终端的入网安全管控是非常必要和关键的。
本文介绍了PBR、MVG、802.1x三种准入控制技术,下篇文章将继续介绍SPAN、DHCP、ARP准入控制技术,为企业用户选择准入控制技术和产品提供帮助。
' fill='%23FFFFFF'%3E%3Crect x='249' y='126' width='1' height='1'%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E)
