Archive

Archive for the ‘telecomsecurity’ Category

【转贴】基于802.1x认证技术的应用分析 (zz) (2007-01-30 13:03:01)

一月 30, 2007 留下评论
一、引言

802.1x协议起源于802.11协议,后者是IEEE的无线局域网协议,制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。IEEE802LAN协议定义的局域网并不提供接入认证,只要用户能接入局域网控制设备(如LANS witch),就可以访问局域网中的设备或资源。这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。

随着移动办公及驻地网运营等应用的大规模发展,服务提供者需要对用户的接入进行控制和配置。尤其是WLAN的应用和LAN接入在电信网上大规模开展,有必要对端口加以控制以实现用户级的接入控制,802.lx就是IEEE为了解决基于端口的接入控制(Port-Based Network Access Contro1)而定义的一个标准。

二、802.1x认证体系

802.1x是一种基于端口的认证协议,是一种对用户进行认证的方法和策略。端口可以是一个物理端口,也可以是一个逻辑端口(如VLAN)。对于无线局域网来说,一个端口就是一个信道。802.1x认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,即只允许802.1x的认证协议报文通过。

802.1x的体系结构如图1所示。它的体系结构中包括三个部分,即请求者系统、认证系统和认证服务器系统三部分:

<img title=”基于802.1x认证技术的应用分析 (zz)” src=”http://lzueclipse.bokee.com/inc/1×1.jpg&#8221; alt=” ” align=”bottom” />

图1 802.1x认证的体系结构

1.请求者系统

请求者是位于局域网链路一端的实体,由连接到该链路另一端的认证系统对其进行认证。请求者通常是支持802.1x认证的用户终端设备,用户通过启动客户端软件发起802.lx认证,后文的认证请求者和客户端二者表达相同含义。

2.认证系统

认证系统对连接到链路对端的认证请求者进行认证。认证系统通常为支持802.lx协议的网络设备,它为请求者提供服务端口,该端口可以是物理端口也可以是逻辑端口,一般在用户接入设备(如LAN Switch和AP)上实现802.1x认证。后文的认证系统、认证点和接入设备三者表达相同含义。

3.认证服务器系统

认证服务器是为认证系统提供认证服务的实体,建议使用RADIUS服务器来实现认证服务器的认证和授权功能。

请求者和认证系统之间运行802.1x定义的EAPOL(Extensible Authentication Protocol over LAN)协议。当认证系统工作于中继方式时,认证系统与认证服务器之间也运行EAP协议,EAP帧中封装认证数据,将该协议承载在其它高层次协议中(如 RADIUS),以便穿越复杂的网络到达认证服务器;当认证系统工作于终结方式时,认证系统终结EAPoL消息,并转换为其它认证协议(如 RADIUS),传递用户认证信息给认证服务器系统。

认证系统每个物理端口内部包含有受控端口和非受控端口。非受控端口始终处于双向连通状态,主要用来传递EAPoL协议帧,可随时保证接收认证请求者发出的EAPoL认证报文;受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。

三、802.1x认证流程

基于802.1x的认证系统在客户端和认证系统之间使用EAPOL格式封装EAP协议传送认证信息,认证系统与认证服务器之间通过RADIUS协议传送认证信息。由于EAP协议的可扩展性,基于EAP协议的认证系统可以使用多种不同的认证算法,如EAP-MD5,EAP-TLS,EAP- SIM,EAP-TTLS以及EAP-AKA等认证方法。

以EAP-MD5为例,描述802.1x的认证流程。EAP-MD5是一种单向认证机制,可以完成网络对用户的认证,但认证过程不支持加密密钥的生成。基于EAP-MD5的802.1x认证系统功能实体协议栈如图2所示。基于EAP-MD5的802.1x认证流程如图3所示,认证流程包括以下步骤:

<img title=”基于802.1x认证技术的应用分析 (zz)” src=”http://lzueclipse.bokee.com/inc/1×2.jpg&#8221; alt=” ” align=”bottom” />

图2 基于EAP-MD5的802.1x认证系统功能实体协议栈

<img title=”基于802.1x认证技术的应用分析 (zz)” src=”http://lzueclipse.bokee.com/inc/1×3.jpg&#8221; alt=” ” align=”bottom” />

图3 基于EAP-MD5的802.1x认证流程

(1)客户端向接入设备发送一个EAPoL-Start报文,开始802.1x认证接入;

(2)接入设备向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来;

(3)客户端回应一个EAP-Response/Identity给接入设备的请求,其中包括用户名;

(4)接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,发送给认证服务器;

(5)认证服务器产生一个Challenge,通过接入设备将RADIUS Access-Challenge报文发送给客户端,其中包含有EAP-Request/MD5-Challenge;

(6)接入设备通过EAP-Request/MD5-Challenge发送给客户端,要求客户端进行认证;

(7)客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备;

(8)接入设备将Challenge,Challenged Password和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证:

(9)RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备。如果成功,携带协商参数,以及用户的相关业务属性给用户授权。如果认证失败,则流程到此结束;

(10)如果认证通过,用户通过标准的DHCP协议(可以是DHCP Relay),通过接入设备获取规划的IP地址;

(11)如果认证通过,接入设备发起计费开始请求给RADIUS用户认证服务器;

(12)RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕。

四、802.1x认证组网应用

按照不同的组网方式,802.1x认证可以采用集中式组网(汇聚层设备集中认证)、分布式组网(接入层设备分布认证)和本地认证组网。不同的组网方式下,802.1x认证系统实现的网络位置有所不同。

1.802.1x集中式组网(汇聚层设备集中认证)

802.1x集中式组网方式是将802.1x认证系统端放到网络位置较高的LAN Switch设备上,这些LAN Switch为汇聚层设备。其下挂的网络位置较低的LAN Switch只将认证报文透传给作为802.lx认证系统端的网络位置较高的LAN Switch设备,集中在该设备上进行802.1x认证处理。这种组网方式的优点在于802.1x采用集中管理方式,降低了管理和维护成本。汇聚层设备集中认证如图4所示。

<img title=”基于802.1x认证技术的应用分析 (zz)” src=”http://lzueclipse.bokee.com/inc/1×4.jpg&#8221; alt=” ” align=”bottom” />

图4 802.1x集中式组网(汇聚层设备集中认证)

2.802.1x分布式组网(接入层设备分布认证)
802.1x分布式组网是把802.lx认证系统端放在网络位置较低的多个LAN Switch设备上,这些LAN Switch作为接入层边缘设备。认证报文送给边缘设备,进行802.1x认证处理。这种组网方式的优点在于,它采用中/高端设备与低端设备认证相结合的方式,可满足复杂网络环境的认证。认证任务分配到众多的设备上,减轻了中心设备的负荷。接入层设备分布认证如图5所示。 <img title=”基于802.1x认证技术的应用分析 (zz)” src=”http://lzueclipse.bokee.com/inc/1×5.jpg&#8221; alt=” ” align=”bottom” />

图5 802.1x分布式组网(接入层设备分布认证)

802.lx分布式组网方式非常适用于受控组播等特性的应用,建议采用分布式组网对受控组播业务进行认证。如果采用集中式组网将受控组播认证设备端放在汇聚设备上,从组播服务器下行的流在到达汇聚设备之后,由于认证系统还下挂接入层设备,将无法区分最终用户,若打开该受控端口,则汇聚层端口以下的所有用户都能够访问到受控组播消息源。反之,如果采用分布式组网,则从组播服务器来的组播流到达接入层认证系统,可以实现组播成员的精确粒度控制。

3.802.1x本地认证组网
802.1x的AAA认证可以在本地进行,而不用到远端认证服务器上去认证。这种本地认证的组网方式在专线用户或小规模应用环境中非常适用。它的优点在于节约成本,不需要单独购置昂贵的服务器,但随着用户数目的增加,还需要由本地认证向RADIUS认证迁移。
五、结束语
802.1x认证系统提供了一种用户接入认证的手段,它仅关注端口的打开与关闭。对于合法用户(根据账号和密码)接入时,该端口打开,而对于非法用户接入或没有用户接入时,则使端口处于关闭状态。认证的结果在于端口状态的改变,而不涉及其它认证技术所考虑的IP地址协商和分配问题,是各种认证技术中最为简化的实现方案。
必须注意到802.1x认证技术的操作颗粒度为端口,合法用户接入端口之后,端口始终处于打开状态,此时其它用户(合法或非法)通过该端口接入时,不需认证即可访问网络资源。对于无线局域网接入而言,认证之后建立起来的信道(端口)被独占,不存在其它用户非法使用的问题。但如果802.lx认证技术应用于宽带IP城域网,就存在端口打开之后,其它用户(合法或非法)可自由接入且难以控制的问题。因此,在提出可运营、可管理要求的宽带IP城域网中如何使用该认证技术,还需要谨慎分析所适用的场合,并考虑与其它信息绑定组合认证的可能性。

原文地址:http://lzueclipse.bokee.com/5054911.html

"悄悄的进村,放枪的不要“--运营商终端安全建设的良好实践 (2006-12-07 12:23:53)

十二月 7, 2006 留下评论

在2006’电信行业网络信息安全管理高峰论坛上,对于运营商的终端安全建设,我提出了一个核心的概念,终端安全体系的建设,一定要充分考虑到终端安全系统对于终端用户所可能造成的影响,并且一定要尽量减小对于终端用户的影响,最好能够做到保障安全的同时对现有用户使用无影响,用一句形象的话讲就是”悄悄的进村,放枪的不要“。在终端用户还没有直接感官的情况下,终端安全系统已经建设完成,并且能够很好的保障整体网络的安全了。这也主要基于如下的几点考虑:

1、终端数量众多。运营商系统里面,都有众多的终端在使用,终端类型也及其复杂,终端部署的区域也多种多样,覆盖的层面也非常广,要一次性解决所有终端问题,面临的困难也非常大,从基础的问题和容易掌控的问题上入手,会比较容易。

2、终端类型多样。目前运营商网络里面,面临着众多的终端类型,不仅仅包含主流的Windows 2000/XP系统,还有Windows NT/2003/98。。。,还有众多不同类型的Linux,想统一采用一种方式解决所有终端类型的安全问题难度较大,现有的基于Agent的技术里面很难同时支持如此众多的终端类型,其直接支持的范围都有限。

3、终端用途多样。运营商网络里面,包含着多种不同用途的终端,业务终端,生产终端,办公终端,客服终端,合作伙伴终端,远程终端,移动终端……,每种终端类型都有其特定类型的需求,不同类型的终端的使用人员的水平和意识也不尽相同,必然导致终端安全的解决方案同时受限,也要求终端安全的解决方案必须综合考虑这些不同类型的终端对于安全考虑的需求。

4、安全管理推行难度大。从管理措施上限制终端访问或者避免终端安全问题,在运营商体系中,由于涉及到部门众多,人员数量较大,管理意识差异大等因素,单纯的管理手段很难收到效果。从简单的限制终端上网或者私自拉线上网的推行和监控效果并不明显上就很能体现这个问题。

5、终端安全管理基础薄弱。目前的运营商由于传统的安全管理体制,使得终端的安全问题一直没有得到有效的重视,一些基础的终端管理问题还需要解决,如终端的资产管理问题就是一个复杂的问题,很多省自身的终端资产统计、管理及维护都还没有形成良好的体系,大量终端管理的基础工作需要一个长期和艰苦的过程,更是一个实际执行层面需要各个部门大力配合的事情,一旦牵扯的方面过大极容易造成项目流产或者效果不佳。

上述种种运营商所面临的问题和现状制约,将导致运营商对于终端安全管理的建设必然是一个长期的、艰巨的和需要管理层大力推动的过程,如何有效的推动这个过程的前行?如何保障系统的建设真正有效?如何保障系统建设获得最大的投资收益比?是每一个运营商必须要考虑的问题。而其中一个非常有效的手段就是潜移默化的,依靠成效来推进后续的工作,分步骤有效的工程建设来完成这项工作。

从实际的部署实践来看,如下的几点工作是基础的、必须的和有效的工作内容:

1、资产清理与统计
任何终端安全管理的工作基础是一个准确而良好的终端资产管理,而现有终端的资产状况的清理和统计是一个基础中的基础工作。或许这个工作对于其它企业是一个容易的事情,但是对于运营商来讲,却是一个比较复杂与困难的问题,大量的终端数量、多期不同的工程、众多的业务系统、不同的终端类型、新老终端混杂……等等问题,对于这个工作的有效完成都是一个巨大的考验,但是,这个工作作为一项基础性工作,又必须去解决,并且是即使现在不解决,也总有一天需要去解决的。同时,这也是一项纯管理工作,没有一个软件体系或者技术能够完全替代人去完成。当然,这项工作如果顺利完成,后续的终端安全管理的工作将能够有一个良好的基础,也能够做到有的放矢了。

2、终端用户感官影响最小化
终端安全管理建设中将要面临的一个很大的问题就是终端用户的反响,包括终端用户使用的便利性影响、终端用户的接受度、终端用户的期望……,这些问题如果处理不好,极大的可能会导致项目失败。如如果终端上安装的客户端软件与终端现有软件冲突,导致系统不可用甚至死机,将必然影响终端系统的推行,如果终端安全管理软件自身的策略复杂度过高,也将直接导致终端用户不使用,偷偷卸载或者直接抵制,这些都将影响整个系统的建设成效,是项目容易失败的极大风险点。而一种有效的做法就是尽量避免安装复杂的客户端软件,甚至不要安装客户端软件,但是同时能够保障终端系统的安全接入与访问控制。

3、分步骤工程建设
终端安全管理技术众多,涉及到的管理内容和层面也特别多,如果期望通过一次性的解决所有安全问题和管理措施全部到位,将是一个极易导致失败的风险点,因此,选取容易推行、对客户端影响最小、实施部署简单、容易获取成效的问题进行进行解决是一个良好的做法。从目前的实践看,集中资产管理、集中补丁管理、集中统一接入身份认证是一个比较好的选择,也是最容易被接受和最具成效的做法。

4、必须强制管理
对于企业终端安全管理问题,必须提供强制性措施才能够保障终端安全管理问题得到有效的解决和达到成效。如补丁更新问题,完全依赖个人自行进行补丁更新的做法在运营商体系中被证明是失败的。大量终端的防病毒软件被卸载等问题也大量存在,因此,要想有一个好的成效,必须采用强制的措施。

5、标准化支持
无论选择任何一种接近方案,如何更好的利用和适应现有的设备资源是一个基础性的需求。如802.1x的协议支持,必须充分考虑多种路由器、交换机的不同厂家、不同型号的现状,选择一种标准化或者多厂家支持的产品来适应现有网络无疑是一个良好的解决方案。

6、集中化管理
如果终端安全管理工作想落到实处,一个另外很关键的问题就是必须采用集中化管理,策略集中定制、集中分发与集中监控,只有这样才能够保障所有的终端系统的安全管理策略符合运营商的要求,也能够针对运营商的各种不同终端区域的安全管理得到落实。

上述的几个终端安全管理的问题是我的一些浅见,其总结的基本思路也就是在运营商网络中实施终端安全管理的项目的时候,采用一种初期尽量简化管理内容,先基础安全工作,再逐步递进式增强管理措施,最后再完整的提供终端安全管理策略和措施,这样才能够使得运营商的终端安全管理工作有成效,又避免有大的阻力。这也就是说尽量做到“悄悄的进村,放枪的不要”的核心思路,待到一些基础安全管理工作已经被大家所接受,再逐步的加深管理深度和强度,获取最大的管理成效的同时,又能够避免有过大的阻力来影响安全管理工作的进展。

分类:telecomsecurity 标签:

关于运营商专有安全解决方案的思考 (2006-11-29 15:12:52)

十一月 29, 2006 留下评论

前两天参加第二届2006’电信行业网络信息安全管理高峰论坛,在讨论的时候有人提出了是否能够提供针对运营商独有的信息安全解决方案的问题,觉得会上演讲的相关信息和内容基本上对非运营商都适用,而不是运营商专有的信息安全解决方案。当时在会场上我没有发言,一方面想听听大家的声音,另外一方面还考虑的不成熟,现在还是想记录下来目前的想法,供有识之士参考吧。

我觉得运营商独有的安全解决方案存在如下三个方面(或者角度):

1、 传统运营商独有交换网络的安全。

2、 对外运营数据网的安全。

3、 对内支撑承载网的安全。

一、传统运营商独有交换网络的安全。

对于运营商来讲,其相对于其它行业所独有的特点就是运营了电话(固定或移动)网络,而这些网络是运营商的核心,也是其区别于其它企业的一个关键。关于电话网络的安全问题,从最初的“电话飞客”开始就是一个令运营商头痛的问题。但是,随着程控技术的发展,瘦终端模式使得传统电话网络上安全问题变得相对容易得到控制,对于技术水平的要求也是非常高的,其研究的人也越来越少,当然,这并不是说就没有安全问题,而是说其安全问题相对容易得到控制。另外一个层面来讲,由于目前的程控交换机的控制层面是由控制和网管终端来完成的,所以网管终端的安全反倒是一个比较大的短板。但是,随着新的3G技术等的引入,程控网的承载出现IP化的趋势,NGN网络的发展,也加剧了这个进程,交换网络的安全问题也从根本上越来越解决IP网络的安全问题了。

二、对外运营数据网的安全

其实,作为互联网的一部分,电信运营商的网络和其它的网络也并没有本质的区别,但是目前在宽带网上所关注的所谓安全问题,如P2P、IM、带宽占用等,这些问题实际上对于宽带网并没有实质性的安全损害或者威胁,只是对运营商的业务会产生影响,所以我更同意会上一位朋友的说法:“借安全之名,行业务之事”。数据网上用户的流量本身所造成的后果只是对流量带宽的占用,对于用户本身来讲是正常流量,但是却消耗了宽带网自身大量的带宽,也消耗了大量的出口带宽和并发连接,目前运营商想提供自身业务的情况下,如IPTV等,则由于这些P2P流量存在,导致运营商自身提供业务可能无法体现优势,这是目前运营商想尝试封堵或者疏导P2P流量的本质所在。另外,在数据网上存在的DDoS攻击问题,其实质问题也并不是对数据网自身造成影响,而是对处于数据网边缘的运营商自身服务或者边缘用户的业务造成影响,进一步导致运营商无法很好的保障数据网所提供业务的服务质量。排除上述问题,实质上的数据网的安全问题就集中到了数据网的承载设备自身的安全,而这些安全问题的解决,在目前的技术条件下,就只能够由设备自身提供的安全措施来保障了,至少到目前为止,我还没有看到有真正的可以串入到如此高带宽的数据网上面的安全设备或者措施是真正可用的产品,即使存在,也是旁路的记录分析,而不是实时防护。

三、对内支撑承载网的安全。

在运营商的对内支撑承载网部分,一般主要指DCN上所承载的各项运营商内部系统,BSS、CSS、OSS以及OA/MIS等。这些业务自身实际上与大型企业的业务系统并没有本质的区别,所面临的安全问题与其它大型企业所面临的安全问题都基本相同。如果说有运营商独有的解决方案则是由于运营商自身独有的组网特点和管理模式相关的。如运营商的终端问题相较其它企业要复杂的多,有业务终端、维护终端、客服终端、办公终端及合作伙伴终端,还分移动终端及远程终端等,同时这些终端又分布在不同的业务区域和归属,其使用部门、使用目的及访问权限等均不相同,其数量又是非常的庞大,管理维护及安全考虑都相对于其它企业都复杂一些,而考虑安全解决方案的时候都必须要考虑到这些特点,从这个角度上看,我们说这是针对运营商说独有的安全解决方案也不为过。

关于这方面的一点想法希望能够起到抛砖引玉的作用,也希望有识之士拍砖!