前言
目前網(wǎng)絡(luò)準(zhǔn)入管理系統(tǒng)在很多企業(yè)中都被廣泛的使用猿推,這就讓我們不得不先來分析一下企業(yè)網(wǎng)絡(luò)的現(xiàn)狀了破托,只有清楚了目前企業(yè)網(wǎng)絡(luò)的現(xiàn)狀哼勇,才能更好的去了解我們對(duì)網(wǎng)絡(luò)準(zhǔn)入管理系統(tǒng)的需求狀況契沫。今天我們主要跟大家聊下關(guān)于企業(yè)網(wǎng)絡(luò)準(zhǔn)入認(rèn)證的一些技術(shù)方案捧毛,并分享一個(gè)基于我們當(dāng)前業(yè)務(wù)場(chǎng)景的網(wǎng)絡(luò)準(zhǔn)入認(rèn)證系統(tǒng)的規(guī)劃實(shí)例欺旧。
需求分析
- 現(xiàn)狀
當(dāng)前互聯(lián)網(wǎng)行業(yè)的信息系統(tǒng)建設(shè)正在往成熟的方向發(fā)展姑丑,而企業(yè)的網(wǎng)絡(luò)和信息系統(tǒng)也因此而變得越來越復(fù)雜。企業(yè)間的合作也變得很普遍辞友,這就需要考慮對(duì)網(wǎng)絡(luò)接入進(jìn)行管理栅哀。企業(yè)網(wǎng)絡(luò)目前存在的問題有:
(1)IP不固定,導(dǎo)致訪問的網(wǎng)絡(luò)權(quán)限和登記的不一致称龙;
(2)網(wǎng)絡(luò)帳號(hào)留拾、使用IP、終端設(shè)備鲫尊、這三者不能一一對(duì)應(yīng)痴柔;
(3)無線網(wǎng)絡(luò)認(rèn)證存在巨大安全隱患;
- 需求
- 針對(duì)這些問題 我們對(duì)加強(qiáng)網(wǎng)絡(luò)用戶疫向、終端以及網(wǎng)絡(luò)接入的管理咳蔚,基本功能需求總結(jié)如下:
(1)只有授權(quán)的員工才能使用對(duì)應(yīng)的網(wǎng)絡(luò)
(2)帳號(hào)和使用網(wǎng)絡(luò)的終端要嚴(yán)格對(duì)應(yīng)
(3)嚴(yán)禁私自搭建網(wǎng)絡(luò)設(shè)備和修改物理地址
- 對(duì)于這些需求,可以發(fā)現(xiàn)一套完整的網(wǎng)絡(luò)準(zhǔn)入管理系統(tǒng)對(duì)于企業(yè)的重要性搔驼,我們便開始思考網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的規(guī)劃谈火。但問題來了:
(1)怎么識(shí)別用戶身份,判斷用戶的角色舌涨?
(2)誰在使用該設(shè)備糯耍?設(shè)備是什么類型?
(3)如何對(duì)用戶和設(shè)備做統(tǒng)一的管理和調(diào)度囊嘉?
(4)用戶ip在移動(dòng)辦公中不改變温技?
(5)VPN用戶如何統(tǒng)一認(rèn)證?針對(duì)這些問題扭粱,我們需要先了解下常用的網(wǎng)絡(luò)準(zhǔn)入技術(shù)荒揣。
網(wǎng)絡(luò)準(zhǔn)入技術(shù)
我們常說的網(wǎng)絡(luò)準(zhǔn)入可以通過網(wǎng)絡(luò)或者主機(jī)來控制,比如802.1x準(zhǔn)入設(shè)備焊刹,或者通過DHCP來進(jìn)行IP分配控制系任,或者通過用戶端安裝客戶端軟件來實(shí)現(xiàn)。但基于用戶體驗(yàn)和便利性虐块,安裝軟件方式是不合適的俩滥,類似DHCP的方案比較簡(jiǎn)介但功能不夠強(qiáng),也并不適用我們的場(chǎng)景贺奠。
通過對(duì)業(yè)界常見的網(wǎng)絡(luò)準(zhǔn)入成熟方案分析霜旧,可以看到一般是基于以下技術(shù)實(shí)現(xiàn):
- Radius服務(wù)
- 802.1X認(rèn)證
- Portal/WEB認(rèn)證
- EOU認(rèn)證
其中EOU是cisco的專有協(xié)議,Portal認(rèn)證是基于WEB訪問來實(shí)現(xiàn),802.1X是根據(jù)用戶ID或設(shè)備挂据,對(duì)網(wǎng)絡(luò)客戶端(或端口)進(jìn)行認(rèn)證以清,一般采用Radius服務(wù)來完成具體用戶的認(rèn)證。
Radius是個(gè)開源的認(rèn)證協(xié)議崎逃,大多數(shù)網(wǎng)絡(luò)設(shè)備廠商都會(huì)添加對(duì)其的支持掷倔,常用的開源實(shí)現(xiàn)軟件有freeradius、ToughRADIUS等个绍,不過我們用的是思科的ISE來完成勒葱。
- 架構(gòu)選型
通過對(duì)當(dāng)前各種網(wǎng)絡(luò)準(zhǔn)入技術(shù)的分析比較,要實(shí)現(xiàn)我們的需求同時(shí)減少對(duì)用戶端的影響巴柿,確定了以 801.1x 為基礎(chǔ)凛虽,結(jié)合用戶身份認(rèn)證、主機(jī)MAC校驗(yàn)和動(dòng)態(tài)VLAN广恢,將準(zhǔn)入控制點(diǎn)設(shè)置在邊緣交換機(jī)和AP接口的技術(shù)方案凯旋。也就是加入了大名鼎鼎的思科身份認(rèn)證引擎(ISE)設(shè)備,然后就可以了钉迷。大致的思路如下:
網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)與 AD 域聯(lián)動(dòng)進(jìn)行 802.1x 認(rèn)證的流程
(1)客戶端通過802.1x協(xié)議至非,發(fā)送身份認(rèn)證信息給交換機(jī);
(2)交換機(jī)將認(rèn)證信息轉(zhuǎn)發(fā)給Radius服務(wù)器篷牌;
(3)Radius驗(yàn)證身份信息并與目錄服務(wù)器交互確認(rèn)身份睡蟋;
(4)目錄服務(wù)器將用戶身份認(rèn)證結(jié)果返回給Radius;
(5)Radius根據(jù)結(jié)果判斷 給交換機(jī)下發(fā)策略枷颊;認(rèn)證結(jié)果告知客戶端戳杀。
- 架構(gòu)設(shè)計(jì)
架構(gòu)說明:
(1)我們通過對(duì)所有邊緣接入層開啟802.1x認(rèn)證設(shè)置,將認(rèn)證請(qǐng)求統(tǒng)一轉(zhuǎn)發(fā)到Radius夭苗;
(2)Radius采用cisco的ISE設(shè)備信卡,ISE的功能比較強(qiáng)大可以定義基于策略的認(rèn)證、授權(quán)模式题造,并通過認(rèn)證結(jié)果對(duì)策略下發(fā)到交換機(jī)傍菇,實(shí)現(xiàn)與交換機(jī)端口vlan、ACL的聯(lián)動(dòng)配置界赔,并進(jìn)行帳號(hào)與設(shè)備綁定實(shí)現(xiàn)實(shí)名入網(wǎng)丢习;這里是解決交換機(jī)動(dòng)態(tài)vlan的關(guān)鍵所在。
(3)用戶帳號(hào)我們是放到活動(dòng)目錄域控?cái)?shù)據(jù)庫淮悼,也就是windows域服務(wù)器咐低,同時(shí)存儲(chǔ)包括用戶帳號(hào)、密碼袜腥、屬組见擦、MAC等信息,這里平時(shí)是通過我們的IT后臺(tái)進(jìn)行統(tǒng)一的帳號(hào)管理。
(4)VPN我們采用擴(kuò)展功能較強(qiáng)的softether vpn方案(前面的文章已經(jīng)介紹過具體的方案)鲤屡,并通過Radius進(jìn)行認(rèn)證损痰。
具體實(shí)現(xiàn)方式
實(shí)現(xiàn)的話首先要有個(gè)ISE設(shè)備,然后最好是思科設(shè)備酒来,并加一臺(tái)包含所有帳號(hào)的windows域服務(wù)器卢未。
- ISE身份認(rèn)證
- 將ISE加入到域控,并且在ISE上選擇AD用戶認(rèn)證源役首,用于ISE獲取AD域中的用戶尝丐。
- 添加網(wǎng)絡(luò)設(shè)備显拜,源在ISE中將接入層交換機(jī)和無線控制器實(shí)施認(rèn)證的網(wǎng)絡(luò)設(shè)備加到設(shè)備列表衡奥,通過共享密鑰認(rèn)證。把全部需要認(rèn)證的設(shè)備加進(jìn)來
- 認(rèn)證條件定義远荠,ISE這里的策略定義邏輯很人性化直接是XX屬性等于矮固、不等于、匹配包含包含等譬淳。這里定義有線802.1x認(rèn)證 Radius:NAS-Port-Type等于Etherent為有線档址。
而Wireless – IEEE 802.11為無線:
- 認(rèn)證條件定義,默認(rèn)策略“Default Network Access”即可認(rèn)證通過后對(duì)流量放行邻梆。
- 認(rèn)證結(jié)果定義守伸,這里跟進(jìn)需求添加AD:memberof等于對(duì)應(yīng)域控屬組的memberof屬性值 AND Radius:Calling-Station-ID等于AD:macAddress(Calling-Station-ID值為Radius獲取的客戶端的mac地址)
- 授權(quán)結(jié)果定義,符合授權(quán)條件的請(qǐng)求將下發(fā)指定的ACL和VLAN信息浦妄。
上面定義好了認(rèn)證的條件和結(jié)果尼摹,現(xiàn)在就可以跟進(jìn)條件和結(jié)果的結(jié)合再定義相應(yīng)的認(rèn)證和授權(quán)的策略。
- 認(rèn)證策略定義剂娄,匹配認(rèn)證請(qǐng)求的流量中包含設(shè)定的認(rèn)證條件通過AD域做帳號(hào)驗(yàn)證蠢涝,這里有定義有線、無線802.1x以及VPN阅懦。帳號(hào)認(rèn)證通過則允許繼續(xù)跳到授權(quán)策略和二,驗(yàn)證失敗則域控返回失敗通過ISE—邊緣交換機(jī)返回給客戶端。
- 授權(quán)策略定義耳胎,通過Radius獲取的認(rèn)證屬性進(jìn)行策略匹配惯吕,滿足知道條件即下發(fā)相應(yīng)的結(jié)果,這里實(shí)現(xiàn)根據(jù)用戶組下發(fā)到指定VLAN及ACL的結(jié)果集怕午。由ISE聯(lián)動(dòng)邊緣交換機(jī)或無線控制器實(shí)現(xiàn)策略的配置下發(fā)废登。
最后對(duì)沒有匹配到策略的請(qǐng)求選擇拒絕。
- 帳號(hào)管理(帳號(hào)管理主要是通過AD域用戶管理來實(shí)現(xiàn)诗轻。)
(1) 域控里面需要?jiǎng)?chuàng)建對(duì)應(yīng)的分組钳宪,分組需要跟ise用戶授權(quán)的屬性memberof一致
(2) 用戶的屬性macaddress跟用戶對(duì)應(yīng)的設(shè)備的mac需要一致
(3) 通過ldap的方式導(dǎo)入到ad域,然后進(jìn)行管理。導(dǎo)入格式如下:
(4)帳號(hào)都是存儲(chǔ)在ad域數(shù)據(jù)庫中吏颖,日常的增刪改查的操作搔体,我們已經(jīng)提前相關(guān)命令通過IT后臺(tái)管理。
- 邊緣交換機(jī)配置
4.客戶端設(shè)置
(1)啟用身份認(rèn)證服務(wù)
sc config dot3svc start= auto & net start “dot3svc”//開啟Wired AutoConfig并且設(shè)置成自動(dòng) 半醉。
(2)在網(wǎng)卡屬性疚俱,勾選“啟用IEEE 802.1x身份認(rèn)證”。
(3)客戶端認(rèn)證過程缩多,插入網(wǎng)線呆奕,右下角網(wǎng)絡(luò)連接處彈出提示,點(diǎn)擊提示在彈窗輸入帳號(hào)密碼衬吆,認(rèn)證通過正常上網(wǎng)
(4)OSX和IOS梁钾、安卓系統(tǒng)對(duì)802.1x也是支持的
總結(jié)
保護(hù)網(wǎng)絡(luò)資源的安全,拒絕非法入侵逊抡。網(wǎng)絡(luò)準(zhǔn)入控制可以保證只有經(jīng)過認(rèn)證的合法設(shè)備和合法用戶才能接入公司網(wǎng)絡(luò)姆泻,并確保人員帳號(hào)與設(shè)備的一致性,確定”它”就是“他/她”冒嫡,對(duì)提高企業(yè)信息系統(tǒng)的安全性有重要的作用拇勃。
