北信源桌面终端标准化管理系统基于802.1x协议的准入控制方案
北信源终端安全管理系统802.1x准入流程
北信源终端安全管理系统802.1x准入流程1.802.1x的认证过程可以描述如下(1) 客户端(PC)向接入设备(交换机)发送一个EAPoL-Start 报文,开始802.1x认证接入;(2) 接入设备(交换机)向客户端(PC)发送EAP-Request/Identity报文,要求客户端(PC)将用户名送上来;(3) 客户端(PC)回应一个EAP-Response/Identity给接入设备(交换机)的请求,其中包括用户名;(4) 接入设备(交换机)将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,通过路由器发送给认证服务器;(5) 认证服务器产生一个Challenge,通过接入设备(交换机)将RADIUS Access-Challenge报文发送给客户端(PC),其中包含有EAP-Request/MD5-Challenge;(6) 接入设备(交换机)通过EAP-Request/MD5-Challenge发送给客户端(PC),要求客户端(PC)进行认证(7) 客户端(PC)收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备(交换机)(8) 接入设备(交换机)将Challenge,Challenged Password 和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证(9)RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备(交换机)。
如果成功,携带协商参数,以及用户的相关业务属性给用户授权。
如果认证失败,则流程到此结束;(10) 如果认证通过,用户通过标准的DHCP协议(可以是DHCP Relay) ,通过接入设备(交换机)获取规划的IP地址;(11) 如果认证通过,用户正常上网。
北信源终端安全管理系统802.1x准入流程
北信源终端安全管理系统802.1x准入流程北信源终端安全管理系统802.1x准入流程1.802.1x的认证过程可以描述如下(1) 客户端(PC)向接入设备(交换机)发送一个EAPoL-Start 报文,开始802.1x认证接入;(2) 接入设备(交换机)向客户端(PC)发送EAP-Request/Identity 报文,要求客户端(PC)将用户名送上来;(3) 客户端(PC)回应一个EAP-Response/Identity给接入设备(交换机)的请求,其中包括用户名;(4) 接入设备(交换机)将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,通过路由器发送给认证服务器;(5) 认证服务器产生一个Challenge,通过接入设备(交换机)将RADIUS Access-Challenge报文发送给客户端(PC),其中包含有EAP-Request/MD5-Challenge;(6) 接入设备(交换机)通过EAP-Request/MD5-Challenge发送给客户端(PC),要求客户端(PC)进行认证(7) 客户端(PC)收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备(交换机)(8) 接入设备(交换机)将Challenge,Challenged Password和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证(9)RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备(交换机)。
如果成功,携带协商参数,以及用户的相关业务属性给用户授权。
如果认证失败,则流程到此结束;(10) 如果认证通过,用户通过标准的DHCP协议(可以是DHCP Relay) ,通过接入设备(交换机)获取规划的IP地址;(11) 如果认证通过,用户正常上网。
北信源网络接入控制管理系统白皮书v3.0
北信源网络接入控制管理系统产品白皮书北京北信源软件股份有限公司版权声明本手册的所有内容,其版权属于北京北信源软件股份有限公司(以下简称北信源公司)所有,未经北信源许可,任何人不得仿制、拷贝、转译或任意引用。
本手册没有任何形式的担保、立场倾向或其他暗示。
商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。
产品声明本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异,由此可能产生的差异为正常现象,相关问题请咨询北信源公司技术服务人员。
免责声明若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,北信源公司及其员工均不承担任何责任。
目录1.系统概述 (4)2.系统架构 (4)3.系统组成 (6)3.1.策略服务器 (6)3.2.认证客户端 (6)3.3.Radius认证服务器 (7)3.4.Radius认证系统 (7)3.5.硬件接入网关(可选配) (8)4.系统特性 (8)4.1.全面的安全检查 (8)4.2.技术的先进性 (8)4.3.功能的可扩展性 (8)4.4.系统可整合性 (9)4.5.无缝扩展与升级 (9)5.系统功能 (9)5.1.准入身份认证 (9)5.2.完整性检查功能 (10)5.3.安全修复功能 (10)5.4.管理与报表 (11)5.5.终端安全策略设置 (12)6.典型应用 (13)6.1.802.1x环境应用 (13)6.2.非802.1x环境应用 (14)6.3.VPN环境应用 (15)6.4.域环境应用 (15)1.系统概述北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。
与此同时,还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。
通过网络安全准入控制不仅能够将终端设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外,还能够覆盖到企业网络的每一个角落,甚至是当使用者的移动设备离开企业网络时,仍能有效的提供终端设备接入控制的执行。
802.1x认证客户端使用说明
802.1X 认证客户端软件安装使用说明一、设置要求对于 Windows 用户,在保证计算机系统没问题的情况下,请在使用 802.1X 认证客户端之前进行如下设置:如下图所示,点击桌面的“开始”菜单,选择“设置”里面的“控制面板”,在“控制面板”窗口里,双击“网络连接”图标。
在打开的窗口中,右键点击“本地连接”图标,在弹出菜单中选择“属性”,打开本地连接“属性”的对话框。
如下图所示,选择“Internet 协议(TCP/IP)”点击“属性”按钮,选择“自动获得IP地址”和“自动获得DNS服务器地址”,点“确定”按钮。
二、客户端安装执行桌面“”,启动安装程序,如下图所示:在安装过程中,若出现“Mircrosoft Visual C++2005”则属于正常需求安装,如下图所示:注意:若用户系统装有诺顿、瑞星、360等杀毒软件或者防火墙,在安装本软件过程中,会提示用户是否允许继续安装等提示信息,则用户必须点允许安装,否则安装失败,用户不能正常认证上网。
认证客户端软件安装完成时,则显示如下图所示:可以选择“是”立即重新启动计算机或者“否”稍后重新启动计算机,点击“完成”。
三、连接网络认证双击“INode智能客户端”,如下图所示:选中“1x预设连接”按钮,点击“连接”按钮,如下图所示:然后点击1x预设连接的“属性”,打开属性对话框,若多网卡,则选择上网所用的网卡,点击“确定”,如下图所示:用户名填写的格式如下图说明:注意:技术中心的域为:tech // 公共教学的域为:teach // 宿舍的域为:dorm // 食堂的域为:mess // 机房的域为:jifang // 辅导员的域为:coach1.部门在技术中心楼的人员,用户名:自己的教工号后6位@tech2.部门在公共教学楼的人员,用户名:自己的教工号后6位@teach3.部门在食堂楼的人员,用户名:自己的教工号后6位@mess4.辅导员的用户名:自己的教工号后6位@coach5.宿舍学生的用户名:学生号@dorm举例:若部门在技术中心楼里的人员,教工号是test,则技术中心规定的域为tech,如下图所示:点击“连接”按钮,则显示连接认证信息的内容,显示连接成功,如下图所示:四、密码修改选中“1x预设按钮”,点击“操作”,选择“在线修改密码”,如下图所示:按提示输入密码信息,然后点击“确定”,显示用户密码修改成功,则如下图所示:五、断开网络认证选中“1x预设连接”,点击“断开”按钮,如上图所示,认证信息显示连接已经断开。
北信源内网终端管理问题解决方案局域网解决方案
北信源内网终端管理问题解决方案-局域网解决方案计算机终端面临的安全问题一直以来,计算机安全防御一直局限在常规的网关、网络边界(防火墙、漏洞扫描、防病毒、IDS)等方面的防御,重要的安全设施大致集中于机房或网络入口处,来自网络外部的安全威胁确实可以大大减小。
相反,来自网络内部的计算机终端的安全威胁却是众多安全管理人员所普遍反映的问题。
近两年的安全防御调查也表明,政府、企业单位中超过80%的管理和安全问题来自终端,网络安全呈现出了新的发展趋势,安全战场已经逐步由核心与主干的防护,转向网络边缘的每一个终端。
终端问题解决方案网络接入的控制:在单位内部可能会出现外来笔记本接入的问题,可能会造成单位内部的涉密文件被窃取,引入病毒等严重后果。
北信源对于未经过认证的笔记本接入内网,采取未注册阻断功能。
如果有笔记本等移动计算机必须接入内网,需经过细致的802.1x认证,经过身份及安全双认证后才可以连接内网。
移动存储设备管理及安全审计管理:外来移动存储设备随意接入网络内终端同样可能会造成单位内部的涉密文件被窃取,引入病毒等严重后果,对于具有防火墙、网关等硬件防范的网络,移动存储介质在网络内部造成病毒感染是病毒在内网传播的主要方式。
北信源可以在驱动级总的禁用移动存储设备,在允许使用的情况下,还可以详细控制读、写等权限。
而且可以对USB设备加入认证标签,被加标签的移动存储设备只能够在指定策略对象中使用,其他机器无法识别。
病毒问题:计算机病毒是目前对网络及计算机安全最大的威胁,很多单位内部虽然已经统一配置网络版杀毒软件,但是仍存在终端升级不及时,版本不统一,管理不规则等问题。
北信源可以识别多种杀毒软件,显示其版本,对其升级,可以远程调用其启动,未安装杀毒软件认为安全等级低,阻止入网等多种方式和杀毒软件联动。
而补丁分发更是为了增强终端系统自身的健壮性,来抵御病毒及黑客攻击行为。
软件使用管理:办公环境的计算机不允许安装和使用与办公无关的软件。
网络管理培训之桌面准入控制
准入控制相关技术介绍
桌面安全管理中的准入方案推介
桌面安全管理中的准入方案推介
基于设备+客户端 除了准入还有管理功能 技术为802.1x+ARP或主机防火墙
反方观点
• 对于没有安装Agent的设备控制较弱 • 对于来宾设备的友好性欠缺
基于网络设备
原理概要
• 和网路设备(交换机、路由器和防火墙等)联动,由设备进行控制 • 采用的联动技术有802.1X,EOU,PORTAL,IPSEC • 一般包含有客户端进行安全检查和修复
正方观点
• 部署的安全性比较好 • 可以进行分网路范围的部署
• 部署的周期比较长 • 部署比较复杂 反方观点 • 部署对网路的要求比较高
基于应用设备
• 本身就是一个网路设备,是对现有网路设备的一个补充 • 采用的工作方式主要有虚拟网关,网桥等模式 原理概要 • 一般通过SNMP,CLI命令等方式提供带外的操作
• 对网路环境的要求低,网路改没有或者很小 • 通过采用带外的模式,可以提高设备的吞吐量 正方观点 • 可以做到Agentless的设备健康状况检查
网络管理培训之 桌面准入控制802.
基于端点
原理概要
• 基于端点的客户端进行准入控制 • 通过在端点安装agent,进行互相访问的控制 • 采用的技术一般有主机防火墙(基于TDI,NDIS等),ARP控制等
正方观点
• 最具有伸缩性的部署方案 • 价格最便宜的准入控制 • 可以时时刻刻监控终端的合法性和安全性
北信源内网解决方案
2. 专用存储设备使用操作指南
移动硬盘和U盘:经过注册、编号后可作为信息内网计算 机与外部交互信息的移动存储介质使用。
移动管理系统—硬件“安全U盘”
1. 以存储数据为中心,U盘提供完整的加密及访问控制 机制;
2. 采用专用控制模块防止U盘介质非授权格式化; 3. 基于芯片设计将U盘划分共享数据区和安全数据区; 4. 从原理上杜绝病毒自动传播,同时内嵌固化防毒引擎,
标准网管软件获得的是路由器和交换机的接口流量,一 般为网络主干或支干流量,在网络事件产生时,网管人员最 关心的是具体终端的流量和排序。
3.监控终端权限变化。(用户往往忽视权限检查,但是木马、 病毒或恶意权限修改是致命的。)
4.监控注册表变化
5.密码策略监控:对客户端弱口令进行检查和密码策略锁定
如何对安全软件进行分发安装或强制执行,以大幅度 减少网管的工作量。
二、终端安全管理架构
—— 产品组成构架 ——
—— 管理构架 ——
多级级联管理架构
安全策略管理中心
三、安全终端管理解决方案
北信源接入控制解决方案
终端接入管理
基本接入管理功能
终端注册管理,物理位置定位 终端交换机拓扑管理 IP和MAC绑定和自动恢复管理 禁止修改网关、禁用冗余网卡管理 禁用终端代理功能 未注册终端拒绝入网管理(ARP阻断技术)
专用存储设备使用操作指南 二个数据区(交互区、保密区,带启动区)
输入密码 我的电脑
专用存储设备使用操作指南 在非授权计算机上登录
专用存储设备在非授权计算机上只能凭密码使用“交换区”,无法 使用“保密区”。 在未注册计算机上将不会自动弹出登录窗口,需要进入“我的电脑” 的“启动区”,执行EdpEDisk.exe程序即可出现登录窗口。
北信源桌面终端标准化系统内网端口使用说明
双向
双向
22105
区域扫描器和客户端通信使用,包括策略下发,文件、补丁分发,客户端上报信息等,均要通过该端口实现
TCP
双向
22106
捕获数据的侦听端口。网络拓扑功能和Snmp扫描功能通过该端口实现
TCP
双向
22108
使用点对点控制中的数据包分析支持工具时使用,数据包分析使用需先与被控端建立通讯后,接受相关的数据包
TCP
双向
2388
区域管理器数据接收端口,一般接收注册率、操作系统信息等相关数据,当该区域管理器为级联管理器的下级管理器或中间管理器时,该端口负责接收数据,并且,向上级区域管理器转发数据
TCP
双向(一级管理器只流入)
2399
区域管理器数据接收端口,一般接收报警等相关数据,当该区域管理器为级联管理器的下级管理器或中间管理器时,该端口负责接收数据,并且,向上级区域管理器转发数据
桌面终端标准化管数据方向
80
标准的http协议端口,Web管理界面使用,几乎所有的网页浏览通过此端口
TCP
双向
88
区域管理器使用
TCP
双向
161
SNMP扫描使用
TCP
双向
188
当88端口被占用时,区域管理器启用188端口
TCP
双向
288
报告区域管理器存活端口
TCP
TCP
双向(一级管理器只流入)
8889
报警中心和区域管理器通信通过该端口实现
TCP
双向
8900
使用点对点控制中,屏幕支持工具使用
TCP
双向
8901
使用点对点控制中,屏幕支持中的文件传输功能使用。
北信源网络接入控制系统管理系统白皮书v3.0
北信源网络接入控制管理系统产品白皮书北信源软件股份声明本手册的所有容,其属于北信源软件股份(以下简称北信源公司)所有,未经北信源许可,任何人不得仿制、拷贝、转译或任意引用。
本手册没有任何形式的担保、立场倾向或其他暗示。
商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。
产品声明本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异,由此可能产生的差异为正常现象,相关问题请咨询北信源公司技术服务人员。
免责声明若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,北信源公司及其员工均不承担任何责任。
目录1.系统概述 (4)2.系统架构 (4)3.系统组成 (6)3.1.策略服务器 (6)3.2.认证客户端 (6)3.3.Radius认证服务器 (7)3.4.Radius认证系统 (7)3.5.硬件接入网关(可选配) (8)4.系统特性 (8)4.1.全面的安全检查 (8)4.2.技术的先进性 (8)4.3.功能的可扩展性 (8)4.4.系统可整合性 (9)4.5.无缝扩展与升级 (9)5.系统功能 (9)5.1.准入身份认证 (9)5.2.完整性检查功能 (10)5.3.安全修复功能 (10)5.4.管理与报表 (11)5.5.终端安全策略设置 (12)6.典型应用 (13)6.1.802.1x环境应用 (13)6.2.非802.1x环境应用 (14)6.3.VPN环境应用 (15)6.4.域环境应用 (15)1.系统概述北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。
与此同时,还可以对于远程接入企业部网络的计算机进行身份、唯一性及安全认证。
通过网络安全准入控制不仅能够将终端设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外,还能够覆盖到企业网络的每一个角落,甚至是当使用者的移动设备离开企业网络时,仍能有效的提供终端设备接入控制的执行。
基于IEEE 802.1x的网络准入控制系统设计与实现.doc
基于IEEE 802.1x的网络准入控制系统设计与实现作者:吕才军来源:《信息安全与技术》2013年第06期【摘要】为确保本地网络资源的安全,可在网络边界处部署防火墙、安全认证网关等设备,但局域网内用户可未经授权访问关键的IT资源,占用宝贵的网络资源甚至发起攻击。
为解决这个问题,本文设计了一种基于IEEE 802.1x的网络准入控制系统,深入分析了802.1x协议及网络准入控制系统体系结构,通过将802.1x与RADIUS认证服务器结合构建了一个高效、可靠的内部网络802.1x/EAP接入方案,并在网络环境下进行了实验。
【关键词】认证;准入;安全1 802.1x协议802.1x协议是一种数据链路层身份验证协议,发送认证协议数据包对连接到交换机端口上的用户/设备进行身份认证,认证通过后才允许正常的数据通过交换机端口,控制着对内部网络接入点的访问。
使用802.1X协议的优势有几点。
(1)实现简单:802.1x可以借助CISCO RADIUS服务器实现身份认证功能,在小规模网络环境下也可采用本地认证的方式,网络综合造价成本低。
(2)安全可靠:802.1x身份认证方式可结合MAC地址、端口、VLAN等绑定技术并封装用户名/密码,安全性较高。
(3)行业标准:802.1X协议是IEEE标准技术,微软Windows XP 、Linux等客户端操作系统和Cisco、华为、H3C等网络设备IOS都提供了对该协议的支持。
2 网络准入控制系统体系结构基于802.1x的网络准入控制系统能够对局域网内的计算机进行控制。
如图1所示,802.1x 用户身份认证系统有四个组件。
(1)客户端系统客户端使用客户端软件向接入端发起802.lx认证请求。
在客户端和接入端之间使用EAPOL格式封装EAP协议数据传送认证信息,包括EAP-MD5、PEAP和 EAP-TLS三种认证方式。
(2)接入端系统接入端对客户端进行认证。
接入端设备包括可控端口和不可控端口,只有在通过802.1X认证后业务数据才允许通过可控端口,而不可控端口则不受限制,允许所有的协议数据和业务数据通过。
北信源网络接入控制系统工作原理与功能对比.
北信源网络接入控制系统工作原理与功能北京北信源软件股份有限公司1目录1.整体说明 (3)2.核心技术 (3)2.1.重定向技术 (3)2.2.策略路由准入控制技术 (4)2.3.旁路干扰准入控制技术 (6)2.4.透明网桥准入控制技术 (7)2.5.虚拟网关准入控制技术 (7)2.6.局域网控制技术 (8)2.7.身份认证技术 (8)2.8.安检修复技术 (9)2.9.桌面系统联动 (9)3.产品功能对比 (10)21.整体说明准入网关对接入设备进行访问控制,对于未注册用户进行WEB重定向进行注册;注册后的用户进行认证或安检后可以访问网络;管理员可以配置采取何种准入控制方式,如策略路由,旁路监听,透明网桥,虚拟网关等;同时可以选择使用不同的认证类型,如本地认证,Radius认证,AD域认证等,而认证途径采取网关强制重定向;准入网关整体上对准入的控制可分为两类,一类是网关自己控制数据的流通,另一类则是通过配置交换机,让交换机来控制数据包的流通。
目前准入网关实现的策略路由和旁路监听,透明网桥等准入控制均属于前者,也就是网关自己通过放行或丢弃、阻断数据包,来达到准入控制,对于数据包的阻断是基于tcp 实现的;而虚拟网关则是通过控制交换机VLAN来达到准入控制;2.核心技术为了适应不同业务环境下的统一入网控制,北信源网络接入控制系统采用多种核心技术设计,支持多种准入控制模式,实现从多角度多维度的终端入网安全控制。
2.1. 重定向技术接入控制的目的是为了阻止不可信终端随意接入网络,对于不可信终端的判定需要一个过程,如何在判定过程中进行良好的提示,这就对产品的人机界面设计提出了较高的要求。
业界通常的做法是针对http性质的业务访问进行重定向,以往针对http的业务区分主要基于业务端口(主要为80端口),对于非80业务端口的http业务不能有效区分。
针对以上情况,北信源网络接入控制系统对http业务进行了深度识别,除80端口的http业务可以进行有效重定向之外,3针对非80端口的http业务也能进行有效的识别和重定向。
交换机802.1x配置文档
配置安静周期
交换机在与客户的一次失败验证交换之后保持安静状态的 时间 1) 进入全局模式 configure terminal 2) 进入接口模式 interface 接口 3) 配置安静周期Quiet period dot1x timeout quiet-period 秒数 秒数:默认为60秒,取值为1-65535
cisco3750> cisco3750>enable cisco3750# vlan database cisco3750(vlan)# vlan 2 name gongzuo VLAN 2 added: Name: gongzuo cisco2950(vlan)# vlan 3 name geli VLAN 3 added: Name: geli cisco3750(vlan)# vlan 4 name guestvlan VLAN 4 added: Name: guestvlan cisco3750(vlan) #exit cisco3750#conf t cisco3750(config)# interface fa0/1 cisco3750(config-if) #swichport mode trunck cisco3750(config-if) #end
配置实践
在多个端口Fa0/3-18上启用802.1x验证
cisco2950> cisco2950>enable cisco2950# conf t cisco2950(config)# interface range fa0/3-18 cisco2950(config-if) #swichport mode access cisco2950(config-if) #dot1x port-control auto cisco2950(config-if) # dot1x timeout quiet-period 30 cisco2950(config-if) # dot1x timeout reauth-period 30 cisco2950(config-if) # dot1x reauthenticaton cisco2950(config-if) # dot1x guest-vlan vlan4 cisco2950(config-if) # end
北信源法院系统终端安全管理系统解决方案2015
北信源法院系统终端安全管理系统解决方案北京北信源软件股份有限公司2015年3月目录1.前言 (4)1.1.概述 (4)1.2.应对策略 (5)2.终端安全防护理念 (6)2.1.安全理念 (6)2.2.安全体系 (7)3.终端安全管理解决方案 (8)3.1.终端安全管理建设目标 (8)3.2.终端安全管理方案设计原则 (8)3.3.终端安全管理方案设计思路 (9)3.4.终端安全管理解决方案实现 (11)3.4.1.网络接入管理设计实现 (11)3.4.1.1.网络接入管理概述 (11)3.4.1.2.网络接入管理方案及思路 (11)3.4.2.补丁及软件自动分发管理设计实现 (16)3.4.2.1.补丁及软件自动分发管理概述 (16)3.4.2.2.补丁及软件自动分发管理方案及思路 (16)3.4.3.移动存储介质管理设计实现 (20)3.4.3.1.移动存储介质管理概述 (20)3.4.3.2.移动存储介质管理方案及思路 (20)3.4.4.桌面终端管理设计实现 (23)3.4.4.1.桌面终端管理概述 (23)3.4.4.2.桌面终端管理方案及思路 (24)3.4.5.终端安全审计设计实现 (35)3.4.5.1.终端安全审计概述 (35)3.4.5.2.终端安全审计方案及思路 (36)4.方案总结 (41)1.前言1.1.概述随着法院信息化的飞速发展,业务和应用逐渐完全依赖于计算机网络和计算机终端。
为进一步提高法院信息系统内部的安全管理与技术控制水平,必须建立一套完整的终端安全管理体系,提高终端的安全管理水平。
由于法院信息系统内部缺乏必要管理手段,导致网络管理人员对终端管理的难度很大,难以发现有问题的电脑,从而计算机感染病毒,计算机被安装木马,部分员工使用非法软件,非法连接互联网等情况时有发生,无法对这些电脑进行定位,这些问题一旦发生,往往故障排查的时间非常长。
如果同时有多台计算机感染网络病毒或者进行非法操作,容易导致网络拥塞,甚至业务无法正常开展。
802.1x准入控制技术使用手册(北信源).
北信源桌面终端标准化管理系统准入控制技术使用手册2010年5月目录一、802.1x认证模块原理 (31-1. 802.1x的工作机制 (31-2. 802.1x的认证过程 (4二、VRVEDP-NAC系统硬件配置及实施方案 (52-1.VRVEDP-NAC相关系统硬件配置 (52-2.VRVEDP-NAC实施方案 (5三、802.1x认证应用注册事项 (22四、802.1x认证应急预案 (244-1.预案流程 (244-2.应急事件处理方法 (24一、802.1x认证模块原理1-1. 802.1x的工作机制IEEE 802.1x认证系统利用EAP(Extensible Authentication Protocol,可扩展认证协议协议,作为在客户端和认证服务器之间交换认证信息的手段。
802.1x认证系统的工作机制在客户端PAE与设备端PAE之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN 环境中。
在设备端PAE与RADIUS服务器之间,EAP协议报文可以使用EAPOR封装格式(EAP over RADIUS,承载于RADIUS协议中;也可以由设备端PAE进行终结,而在设备端PAE与RADIUS服务器之间传送PAP协议报文或CHAP协议报文。
当用户通过认证后,认证服务器会把用户的相关信息传递给设备端,设备端PAE 根据RADIUS服务器的指示(Accept或Reject决定受控端口的授权/非授权状态。
1-2. 802.1x的认证过程802.1x认证系统的认证过程1. 当用户有上网需求时打开802.1x客户端,输入已经申请、登记过的用户名和口令,发起连接请求(EAPOL-Start报文。
此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。
2. 交换机收到请求认证的数据帧后,将发出一个请求帧(EAP-Request/Identity报文要求用户的客户端程序发送输入的用户名。
北信源-终端准入控制系统
北信源VRV-BMG终端准入控制系统产品背景网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。
与此同时基于设备接入控制网关,还可以对于远程接入企业内部网络的计算机进行身份、唯一性及安全认证。
通过网络接入控制管理系统可以满足企业要求,将设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外;能够覆盖到企业网络的每一个角落,甚至是当使用者拿着他们的移动设备离开企业网络时,仍能有效的提供设备接入控制的执行。
网络接入控制管理系统针对所有的网络架构工作,并且不必进行昂贵的网络架构改造。
北信源VRV-BMG终端准入控制系统产品是一款基于内网用户网络行为管理和控制的硬件网关。
有如下具体特点:1)具有网络访问控制、网络行为管理、网页过滤检查、带宽流量管理、综合内容审计等功能。
主要用于解决企业内网、行业用户接入互联网或外联网可能引发的各种安全问题。
通过对内网用户的网络行为管理和控制,从而解决网络规范访问控制、网页浏览过滤、网络带宽资源滥用,以及对P2P软件、游戏软件、股票软件、即时通信等各种应用软件的管理和控制,并实现对上述各种网络行为的管理和审计功能;2)采用先进的深度业务识别DSI技术,能够快速识别包括多种流行P2P及其变种协议、网络流媒体协议、网路游戏、股票软件以及行业用户专用网络协议。
深度业务识别DSI技术是在DPI和DFI技术上发展起来的一种新型的7层应用识别技术。
由于深度业务识别检测DSI技术基于业务本身的特征而不是报文数据细节,对于检测加密或加扰应用协议具有更高的识别率,特别是对于新增和变种的网络应用和业务类型,DSI更具备良好的适应性;3)通过系统内置的网络应用业务特征,综合运用继承式应用描述语言HADL,从而允许网络管理者针对不同的内网用户、不同时段,综合企业的实际需求制定适合本企业的网络行为管理规范。
继承式应用描述语言HADL通过业务拓扑级——流特征级——报文特征的继承描述关系精确描述某项业务的特征。
北信源-内网安全管理系统产品组合及技术参数
系统能够实现补丁在无人干预下的全网自动分发安装,并可以统计终端补丁安装情况
补丁情况汇总统计
系统能够统计每台终端补丁安装情况。
补丁安装情况汇总统计
系统自动统计全网终端补丁分发及安装情况。
文件自动分发管理
文件分发及文件自动执行
系统支持自动分发安装程序、文档等文件,并在分发成功后自动运行。
文档打印审计
系统支持对文档打印的授权控制及监控与审计,包括打印文件的用户名、文件所在计算机名、计算机IP 地址、打印结果、打印页数、打印时间和打印文档类型等。
文档管理用户登录审计
系统支持对电子文档安全管理系统
登录、注销、更改登录密码等行为详细审计。
权限申请审计
系统支持内部人员向管理员申请文档操作权限的行为。管理员可以审计文档管理用户名、申请权限类型、提交申请的计算机IP 和提交申请的时间。
报警结果管理
终端所有的违规行为会产生报警信息,系统会将这些信息上报服务器端够查询。
安全威胁源处理
注册终端对网络安全造成威胁,如大量发包或感染了高危病毒,系统能够远程切断其与网络的链接,待安全修复后,再恢复其网络连接。
第三方接口联动
PKI/CA认证联动接口
防火墙联动接口
网管软件联动接口
安全管理平台联动接口
监控终端CPU、内存、硬盘等的使用情况,并可设定阈值监控终端的资源是否超标,并报警。
流量异常监控
通过设置终端流量阈值,监控终端流量是否异常,并报警、阻断。
进程异常监控
监控终端进程运行是否正常,如被恶意终结进程、意外服务退出、未响应窗口,则可以自动调起该进程。
客户端文件备份
系统提供将文件备份到指定终端或服务器上,以防止各种原因导致的文件丢失。
802.1x准入控制技术使用手册(北信源).
北信源桌面终端标准化管理系统准入控制技术使用手册2010年5月目录一、802.1x认证模块原理 (31-1. 802.1x的工作机制 (31-2. 802.1x的认证过程 (4二、VRVEDP-NAC系统硬件配置及实施方案 (52-1.VRVEDP-NAC相关系统硬件配置 (52-2.VRVEDP-NAC实施方案 (5三、802.1x认证应用注册事项 (22四、802.1x认证应急预案 (244-1.预案流程 (244-2.应急事件处理方法 (24一、802.1x认证模块原理1-1. 802.1x的工作机制IEEE 802.1x认证系统利用EAP(Extensible Authentication Protocol,可扩展认证协议协议,作为在客户端和认证服务器之间交换认证信息的手段。
802.1x认证系统的工作机制在客户端PAE与设备端PAE之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN 环境中。
在设备端PAE与RADIUS服务器之间,EAP协议报文可以使用EAPOR封装格式(EAP over RADIUS,承载于RADIUS协议中;也可以由设备端PAE进行终结,而在设备端PAE与RADIUS服务器之间传送PAP协议报文或CHAP协议报文。
当用户通过认证后,认证服务器会把用户的相关信息传递给设备端,设备端PAE 根据RADIUS服务器的指示(Accept或Reject决定受控端口的授权/非授权状态。
1-2. 802.1x的认证过程802.1x认证系统的认证过程1. 当用户有上网需求时打开802.1x客户端,输入已经申请、登记过的用户名和口令,发起连接请求(EAPOL-Start报文。
此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。
2. 交换机收到请求认证的数据帧后,将发出一个请求帧(EAP-Request/Identity报文要求用户的客户端程序发送输入的用户名。
北信源桌面终端标准化管理系统基于802.1x协议的准入控制方案
北信源桌面终端标准化管理系统基于802.1x协议的准入控制方案一、802.1x协议认证描述802.1x协议是基于Client/Server的访问控制和认证协议。
它可以限制未经授权的用户/设备通过接入端口访问LAN/MAN。
在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。
在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
网络访问技术的核心部分是PAE(端口访问实体)。
在访问控制流程中,端口访问实体包含3部分:认证者--对接入的用户/设备进行认证的端口;请求者--被认证的用户/设备;认证服务器--根据认证者的信息,对请求访问网络资源的用户/设备进行实际认证功能的设备。
二、802.1x认证特点基于以太网端口认证的802.1x协议有如下特点:IEEE802.1x协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本;借用了在RAS系统中常用的EAP(扩展认证协议),可以提供良好的扩展性和适应性,实现对传统PPP认证架构的兼容;802.1x的认证体系结构中采用了"可控端口"和"不可控端口"的逻辑功能,从而可以实现业务与认证的分离,由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制,报文直接承载在正常的二层报文上通过可控端口进行交换,通过认证之后的数据包是无需封装的纯数据包;可以使用现有的后台认证系统降低部署的成本,并有丰富的支持;可以映射不同的用户认证等级到不同的VLAN;可以使交换端口和无线LAN具有安全的认证接入功能。
三、802.1x应用环境及其配置a. 一台安装IAS或者ACS的RADIUS认证服务器;b. 一台安装VRVEDP服务器;c.一个应用可网管交换机的网络环境;1.RADIUS认证服务器配置如下:进入添加/删除程序中的添加/删除Windows组件,选择网络服务中的Internet 验证服务2.安装IAS后,进入IAS配置界面3.右键点击RADIUS客户端,选择新建RADIUS客户端。
Windows域与8021X协议统一认证解决方案
Windows域与802 1X协议统一认证解决方案随着局域网的迅速发展,办公用户的网络安全问题日益突出。
目前,各企业面临的安全威胁之一就是外围设备非法接入到内部网络后的破坏性攻击行为。
在许多企业的IT 管理过程中,往往注重对来自因特网的外部威胁防御,忽略了来自内部的非法访问威胁。
这种威胁在大中型企业的IT 环境中影响尤其明显。
因此,建立内部网络接入防御体系势在必行。
很多企事业单位已经建立了基于Windows域的信息管理系统,通过Windows域管理用户访问权限和应用执行权限。
然而,基于Windows的权限控制只能作用到应用层,而无法实现对用户的物理访问权限的控制,比如对网络接入权限的控制,非法用户可随意接入用户网络,这就给企业网的网络和应用安全带来很多隐患。
为了更加有效地控制和管理网络资源,提高网络接入的安全性,很多政府和企业网络的管理者希望通过802.1x认证实现对接入用户的身份识别和权限控制。
通过802.1x 协议和活动目录技术相结合的方案,来实现设备接入的合法验证和管理。
只有通过了内部域用户验证的计算机才能正常进行网络通讯,否则其接入端口数据将被阻隔。
下面我们就来看一下Windows域与802.1X协议统一认证解决方案的实现过程。
【实验拓扑】实验环境说明:本实验需要用到Windows 2003 Server,并且在Windows 2003 Server安装DNS、AD、DHCP、CA、IAS等组件,并且要求交换机支持802.1X协议与Guest VLAN功能。
本文详细地记录了配置Windows 2003 Server和交换机每一个步骤的实现过程,并力求层次清晰。
但还是希望没有接触过Windows 2003 Server的读者了解Windows 2003 ServerDNS、 AD、DHCP、CA和IAS的相关知识,请参考相关书籍和网站。
拓扑说明:Windows 2003 Server IP:192.168.0.254交换机IP:192.168.0.250路由器LAN接口IP:192.168.0.1橘红色端口所属的VLAN为Guest VLAN,名称为V10, VID为10蓝色端口所属的VLAN名称为V20, VID为20绿色端口为需要进行802.1X认证的端口测试计算机的IP为从Windows 2003 Server 自动获取根据上面的拓扑环境,测试PC通过了windows域的认证以后,自动在交换机端口上进行802.1X认证,认证通过以后,PC被交换机自动分配到了V20里面,从而可以接入到互联网中。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
北信源桌面终端标准化管理系统基于802.1x协议的准入控制方案一、802.1x协议认证描述802.1x协议是基于Client/Server的访问控制和认证协议。
它可以限制未经授权的用户/设备通过接入端口访问LAN/MAN。
在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。
在认证通过之前,802.1x 只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
网络访问技术的核心部分是PAE(端口访问实体)。
在访问控制流程中,端口访问实体包含3部分:认证者--对接入的用户/设备进行认证的端口;请求者--被认证的用户/设备;认证服务器--根据认证者的信息,对请求访问网络资源的用户/设备进行实际认证功能的设备。
二、802.1x认证特点基于以太网端口认证的802.1x协议有如下特点:IEEE802.1x协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本;借用了在RAS系统中常用的EAP(扩展认证协议),可以提供良好的扩展性和适应性,实现对传统PPP认证架构的兼容;802.1x的认证体系结构中采用了"可控端口"和"不可控端口"的逻辑功能,从而可以实现业务与认证的分离,由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制,报文直接承载在正常的二层报文上通过可控端口进行交换,通过认证之后的数据包是无需封装的纯数据包;可以使用现有的后台认证系统降低部署的成本,并有丰富的支持;可以映射不同的用户认证等级到不同的VLAN;可以使交换端口和无线LAN具有安全的认证接入功能。
三、802.1x应用环境及其配置a. 一台安装IAS或者ACS的RADIUS认证服务器;b. 一台安装VRVEDP服务器;c.一个应用可网管交换机的网络环境;1.RADIUS认证服务器配置如下:进入添加/删除程序中的添加/删除Windows组件,选择网络服务中的Internet验证服务2.安装IAS后,进入IAS配置界面3.右键点击RADIUS客户端,选择新建RADIUS客户端。
客户端地址为验证交换机的管理地址,点击下一步。
4.选择RADIUS Standard,共享机密为交换机中所配置的key。
点击完成。
注:1、验证交换机可以填写多个,比如:有100个支持802.1X协议的接入层交换机,就需要执行100次步骤3与步骤4的动作,把100个交换机的地址与共享密码填写进去。
2.此步骤是至关重要的第一步,一定要检查填写的共享密码与交换机的共享密码相同(这是思科交换机命令输入共享密码的命令:radius-server host 192.168.0.136 key vrv;192.168.0.136为radius所在服务器地址)。
5.右键点击远程访问策略,单击新建远程访问策略。
注:1.建立远程访问策略为了使进行跟交换机进行联动,这个策略的建立为以后的用户成功认证打下坚实的基础。
2.这个策略一个公共策略,在一个网络中可能有几百个用户名密码进行认证,这个要按照步骤进行配置,不要填写用户名匹配,不然会只有一个匹配的用户能够认证通过。
3.公司支持多种加密认证方式,在IAS中我们建议使用MD5加密算法来进行认证。
6.为策略取一个名字,点击下一步7.选择以太网,点击下一步8.选择用户,点击下一步9.使用MD5质询,点击下一步,并完成。
10.在右面板中右键点击所新建的策略,选择属性。
11.点击添加,选择Day-And-Time-Restrictions12.选择添加,选择允许,单击确定。
13.删除NAS-Port-Type匹配”Ethernet”,并选择授予访问权限14.右键点击连接请求策略,选择新建连接请求策略。
注:1.连接请求策略是与修复VLAN有关系的配置,如果在实施中没有设置修复VLAN,这一步骤可以不进行配置。
2.连接请求策略中添加user-name与用户名匹配,公司客户端软件暂时只支持与repair这个用户名联动。
如果不使用repair用户名匹配,客户端没有通过安检时也会跳入修复VLAN,但是在客户端不会提示已经进入修复VLAN。
3. IAS中设置修复VLAN设置方法有几种,建议使用文档中的操作方式。
15.选择自定义策略,并为该策略取个名字16.策略状况选择添加Day-And-Time-Restrictions,配置方法同上。
17.删除NAS-Port-Type匹配”Ethernet”,并选择授予访问权限18.点击添加,并选择user-name,点击添加19.这里repair 是指repair子用户名(即需要跳转的子用户名字),点击确定并应用20.单击编辑配置文件,选择高级-------添加选择添加[64]Tunnel-Type:VLAN[65]Tunnel-Medium-Type:802[81]Tunnel-Pvt-Group-ID:VLAN ID(修复VLAN的vlan号)。
21.单击确定22.添加远程登录用户。
在本地用户和组中新建一个用户。
注:在建立认证账户之前,首先检查“用可还原的加密来存储密码”是否启用。
23.右键点击新建的用户,进入属性,选择隶属于,删除默认的USERS组24.点击拨入,设置为允许访问25.IAS配置完成。
2.VRVEDP服务器关于802.1x策略的配置及解释:策略中心->接入认证策略->802.1X接入认证认证123456798密码认证方式:1、“单用户名密码认证”:所接入的客户端会以该策略中指定的用户名和密码认证,不需要用户手工输入用户名和密码2、“多用户密码认证”:所接入的客户端需要手工输入在Radius中建立的认证用户名和密码进行认证3、“域用户名认证”:所接入的客户端如果是域环境,使用此功能可以在用户登陆域时自动认证。
4、认证程序在托盘显示认证状态的图标,绿色为认证成功,黄色为未认证状态,红色则为认证失败。
并可以规定认证失败特定次数后就不再认证,自动进入GUEST VLAN5、密码验证类型:分为MD5验证和受保护的EAP(PEAP)两种模式。
6、安检失败处理方式:配合补丁与杀毒软件策略和进程服务注册表策略使用,当客户端违反以上策略并选择了根据802.1X策略处理时,则可对其执行以下3种处操作:不处理(即注销其802.1X认证);进入正常工作VLAN;进入修复VLAN。
7、如果客户端环境为DHCP 动态网络,则勾选DHCP 动态IP 环境认证;并当认证失败后,这里可以填入另外一个用户名密码再认证一次(配合单用户认证方式使用);当遇到网络意外断开的情况,勾选网络恢复连接后主动发起认证,客户端在恢复网络时就会主动发起认证;支持华为认证服务器的IP 绑定功能:配合华为公司产品中的IP 与端口绑定的功能。
8、认证数据包传输模式:分为组播和广播两种模式,默认为组播,在不支持组播的交换上使用广播模式。
9、超级认证帐户:即认证成功后就会进入正常工作VLAN ,不受安检策略限制。
黑名单认证帐户:即使用这个帐户认证的客户端始终都不能认证通过。
策略中心->接入认证策略->补丁与杀毒软件认证设置说明: 杀毒软件安全检测1.启用“杀毒软件安全检测”:对接入网络的计算机进行杀毒软件的安全检测,检查其健康度是否符合网络要求标准,检测内容包括计算机是否安装开启了杀毒软件。
123456789102.“未运行杀毒软件时提示”:当检测到计算机没有运行杀毒软件的时候给计算机一个提示信息。
3.“未运行杀毒软件执行(URL地址)”:当检测到计算机没有运行杀毒软件的时候给计算机定向到指定的URL地址,例如某个可以下载或者运行杀毒软件的地址。
4.“对上述URL执行”1).选择“打开/下载URL地址”:当检测到计算机没有运行杀毒软件的时候直接打开或者下载上边填写的URL地址。
2).选择“下载URL地址指定文件并安装”:当检测到计算机没有运行杀毒软件的时候下载URL地址指定文件并安装,一般为杀毒软件。
5.“未运行杀毒软件时”:当检测到计算机没有运行杀毒软件的时候执行以下操作1).“限制网络访问”:计算机在网内只能与安全服务器列表中的IP地址通讯,禁止与其他计算机通讯。
2).“注销802.1认证”:当未运行杀毒软件时,客户端将注销正常登录并进入修复vlan。
6.系统补丁安全检测1).启用“系统补丁安全检测”:对接入网络的计算机进行系统补丁的安全检测,检查其健康度是否符合网络要求标准,检测内容包括计算机是否安装了指定系统补丁。
2).“漏安装列表中指定的补丁时提示”:当检测到计算机没有安装列表中指定的补丁的时候给计算机一个提示信息。
3).“漏安装列表中指定的补丁是打开(URL地址)”:当检测到计算机没有安装列别中指定的补丁的时候给计算机定向到指定的URL地址,例如某个可以下载到指定补丁的地址。
7. “漏安装列表中补丁时”:当检测到计算机没有安装列表中的补丁时执行以下操作:1). “限制网络访问”:计算机在网内只能与安全服务器列表中的IP地址通讯,禁止与其他计算机通讯2).“注销802.1认证”:当未安装指定安全补丁时,客户端将注销正常登录并进入修复vlan。
8.“检测补丁列表”:通过补丁号添加补丁检测列表,当计算机接入网络的时候会检测计算机是否安装了此列表中列出的补丁9.“限制网络访问后,允许安全服务器连通列表”:填写EDPserver、补丁服务器等安全服务器,当计算机被限制网络访问后只能与这个列表中的IP地址通讯10. “DHCP与静态IP切换”:在安检失败进入访客隔离区后,如果当时的IP为静态IP, 则将其转换为DHCP方式,直到安检成功后返回正常工作区时再将DHCP方式还原为以前设置的静态IP (选择了"注销802.1认证"后,该选项才生效)。
策略中心->接入认证策略->进程服务注册表认证12 345671、添加认证模块(见1.1)2、“以上列表认证模块认证失败时提示”:当接入网络的计算机在进行认证时,认证失败则在计算机显示此信息3、“以上列表认证模块认证失败时打开(URL地址)”:当接入网络的计算机在进行认证时,认证失败则将计算机定向到此URL地址4、“对上述URL执行”(1)选择“打开/下载URL地址”:当检测到计算机认证失败的时候直接打开或者下载上边填写的URL地址合同协议模板(2)选择“下载URL地址指定文件并安装”:当检测到计算机认证失败的时候下载上边URL地址指定文件并安装5、“以上列表认证模块认证失败时”:当认证失败时执行以下操作(1)“限制网络访问”:计算机在网内只能与安全服务器列表中的IP地址通讯,禁止与其他计算机通讯(2)“注销802.1认证”:注销本次认证,使计算机重新进行认证6、“DHCP与静态IP切换”:在安检失败进入访客隔离区后,如果当时的IP为静态IP, 则将其转换为DHCP方式,直到安检成功后返回正常工作区时再将DHCP 方式还原为静态IP (选择了"注销802.1认证"后,该选项才生效)。