关于校园网络安全接入技术与应用
"
[论文摘要]介绍校园网的现状和校园网面临的主要安全威胁,分析传统的网络安全防护系统等存在的不足,介绍目前主流的网络接入控制技术,深入研究各种技术的实现原理及优劣,并分析校园网络部署网络接入控制技术方案后的实际效果。
[论文关键词]校园网 网络接入控制技术 网络安全
一、校园网现状及安全威胁
随着网络技术和应用的飞速发展,网络日益呈现出复杂、异构等特点,校园网络中即时通讯、网络游戏、视频点播、视频聊天、影视下载等网络技术广泛应用,复杂的网络结构和高负荷网络负载使网络行为难以协调管理。网络应朋的多样性,既有教学科研的关键性应用,又有休闲娱乐等的一般应用。校园网络中用户数量大,用户可控性差,按照以太标准进行设计的网络设备的不具有完善的网络安全监测和控制功能。校园网中基本的网络安全设备,例如防火墙、入侵检测系统以及防病毒网关等,这些设各基于单点部署或多点部署,无法分析深层的数据,尤其无法处理内部攻击行为,难以满足目前网络的安全需求,如防病毒网关、补丁升级等强制性的安全管理策略难于实施。校园网络的这些特点增加了网络安全管理的复杂性。
由于网络攻击、破坏行为的多样性、随机性、隐蔽性和传播性,随着种类繁多的病毒爆发时间间距的不断缩短、变化迅速的情况下,网络管理者越来越束手无策,无法跟上病毒步伐。如今网络攻击和信息窃取已不需要高深的技巧,这加剧了病毒的更新和网络攻击的泛滥。当前的网络攻击更多的方式是非法者借合法使用者之身,借道进入校园网内部系统,非法者通过窃取用户名与密码,以“合法者”身份入侵校园网……像熊猫烧香、灰鸽子病毒的爆发已经显示出当前的网络体系严重的不足,网络正面临着严峻的安全和服务质量(QoS)保证等重大挑战,保障网络的安全成为网络进一步发展的迫切需求。
校园网络常常遇到以下问题:瞬间掉线或大面积断网、带宽滥用、网速奇慢、网络病毒泛滥、攻击频繁、网络问题难定位、难解决……,校园网络现在最典型的问题就是不能有效管控网络拥堵和安全问题,无法确保关键应用的带宽。另一个严重的问题是,无法控制上网用户的身份和安全状态。根据IDC网络安全调查数据的统计,来自网络内部的攻击和入侵占网络安全事件的70%,而且这些攻击和入侵大多来自应用层。传统的网络安全措施,大量精力放在防御外部非法者的攻击上,这种方式是单点或者局部的安全。比如说,防火墙,能够有效保护出口安全或者受保护的服务器区域。对此,传统网络边界安全网关设备形同虚设,入侵行为防不胜防。
网络安全就像一棵大树,如果要保证大树结出健康的果实,就需要生长果实的枝叶的健康,而要保证枝叶的健康,就要保证躯干的健康,而要保证躯干的健康,则必须要大树的树根健康”,也就是说,对于一个网络,其安全性要从最边缘,即接入网络的终端开始控制,要找出问题的根源。如果说防火墙、入侵检测设备是喷洒农药保障果实健康的话,那么网络接入控制技术则是从树根开始,逐级保障树的健康。
二、目前主流的网络接入控制技术
目前新型的网络接入控制技术将控制目标转向了计算机终端,从终端着手,通过管理员指定的安全策略,对接入内部网络的主机进行安全性检测,自动拒绝不安全的计算机接入内部网络直到这些计算机符合网络内的安全策略为止。当前比较好的几种安全网络接入控制技术,包括思科的NAC(网络接入控制)、微软的NAP(网络准入保护)、可信计算组(TCG)的TNC(可信网络连接)等。下面将分别对这几种技术进行介绍。
(一)NAC技术
网络接入控制(Network Access Control,简称NAC)是由思科(Cisco)主导的产业级协同研究成果,NAC可以协助保证每一个终端在进入网络前均符合网络安全策略。NAC技术可以提供保证端点设备在接入网络前完全遵循本地网络内需要的安全策略,并可保证不符合安全策略的设备无法接入该网络及设置可补救的隔离区供端点修正网络策略,或者限制其可访问的资源。
NAC主要有以下部分组成:
1.客户端软件(AV防毒软件。Cisco SecurityAgent)与CiscoTrust Agent(思科可信代理):CTA可以从多个安全软件组成的客户端防御体系收集安全状态信息,例如防毒软件、操作系统更新版本、信任关系等,然后将这些信息传送到相连的网络中,在这里实施准入控制策略;
2.网络接入设备:包括路由器、交换机、防火墙以及无线AP等。这些设各接受终端计算机请求信息,然后将信息传送到策略服务器,由策略服务器决定是否采取什么样的授权。网络将按照客户制定的策略实施相应的准入控制决策:允许、拒绝、隔离或限制:
3.策略服务器:负责评估来自网络设备的端点安全信息,比如利用Cisco Secure ACS服务器(认证+授权+审计)配合防病毒服务器使用,提供更强的委托审核功能;
4.管理服务器:负责监控和生成管理报告。 "
(二)NAP技术
网络访问保护NAP技术(Network AccessProtection)是微软为下一代操作系统Windows Vista和Windows Server Longhorn设计的新的一套操作系统组件,它可以在访问私有网络时提供系统平台健康校验。NAP平台提供了一套完整性校验的方法来判断接入网络的客户端的健康状态,对不符合健康策略需求的客户端限制其网络访问权限。
NAP主要有以下部分组成:
1.适用于动态主机配置协议和VPN、IPSec的NAP客户端计算机;
2 Windows Longhorn Server(NAP Server):对于不符合当前系统运行状况要求的计算机进行强制受限网络访问,同时运行Internet身份验证服务(IAS),支持系统策略配置和NAP客户端的运行状况验证协调;
3.策略服务器:为IAS服务器提供当前系统运行情况,并包含可供NAP客户端访问以纠正其非正常运行状态所需的修补程序、配置和应用程序。策略服务器还包括防病毒隔离和软件更新服务器:
4.证书服务器:向基于IPSec的NAP客户端颁发运行状况证书。
(三)TNC技术
TNC是Trusted Network Connection的缩写,即可信网络连接技术,它是由可信计算组织TCG(Trusted Computing Group)制定的一组详细规范,作为TCG中基础设施工作组(Infrastructure Work Group)的一部分。TNC建立在基于主机可信计算机技术,其通过使用可信主机提供的终端技术,实现网络访问控制的协同工作。同时,TNC的网络构架可以结合已存
在的网络访问控制策略(如例如IEEE 802.1x、IETF Radius等协议)实现访问控制功能,它的目标是解决网络端点安全接入问题。TNC主要思想是,制定一系列开放的规范。这些规范将包含端点安全构件之间、端点主机或网元之间的软件界面和通信协议。TNC通过认证和完整性校验检查端点的“健康度”,对不满足系统安全策略的端点提供隔离并尽可能加以矫正,从而保证整个网络系统的安全性及可信性。
TNC是一个开放的通用架构,TNC体系可以简单地分为三纵三横结构。在纵向上被分成三部分实体(Entities):访问请求者AR(AccessRequestor)、策略执行点PEP(Policy Enforcement Point)、策略定义点PDP(Policy Decision Point),各部分实体可以分布在系统中的任意位置,他们可以是三个完整的设备。TNC体系在横向上也被逻辑上分为三层,分别为网络接入层、整体评估层和整体度量层,这三层只是由完成的功能作用而逻辑划分。 2.完整性评估层:这一层依据一定的安全策略评估访问请求者AR的完整性状况;
3.完整性测量层:这一层负责搜集和验证AR的完整性信息。
可信网络连接技术TNC通过提供一个由多种协议规范组成的框架来实现一套多元的网络标准,主要功能和目标如下:
1.平台认证:用于验证网络访问请求者身份,以及平台的完整性状态。
2.终端策略授权:为终端的状态建立一个可信级别,例如:确认应用程序的存在性、状态、升级情况,升级防病毒软件和IDS的规则库的版本,终端操作系统和应用程序的补丁级别等。从而使终端被给予一个可以登录网络的权限策略,进而获得在一定权限控制下的网络访问权。
3.访问策略:确认终端机器以及其用户的权限,并在其连接网络以前建立可信级别,平衡已存在的标准、产品及技术。
4.评估、隔离及补救:确认不符合可信策略需求的终端机能被隔离在可信网络之外,执行适合的补救措施。 "
(四)主流网络接入技术的优劣及总结
NAC、NAP和TNC技术的目标和实现技术具有很大相似性。首先,其目标都是保证终端的安全接入,即当终端接入本地网络时,通过特殊的协议对其进行完整性校验,通过接入设备(防火墙、交换机、路由器等),强制将不符合要求的终端设备隔离在一个指定区域,按策略进行安全修复。在验证终端完整性达到设定的安全状态后,再允许其接入被保护的网络。其次,三种技术的实现思路也比较相似。系统构架都分为客户端、策略服务以及接入控制三个主要层次。同时,由于三种技术的发布者自身的背景,三种技术又存在不同的偏重性。NAC由于是CISCO发布的,所以其构架中接入设备的位置占了很大的比例,或者说NAC自身就是围绕着思科的设备而设计的;NAP则偏重在终端agent以及接入服务(VPN、DHCP、802.1x、IPsec组件),这与微软自身的技术背景也有很大的关联;而TNC技术则重点放在与TPM绑定的主机身份认证与主机完整性验证,或者说TNC的目的是给TCG发布的TPM提供一种应用支持。
目前NAC与NAP已经结为同盟,即网络接入设备上采用思科的NAC技术,而主机客户端上则采用微软的NAP技术,从而达到了两者互补的局面,有利于其进一步发展。而TNC则是由TCG组织成员Intel、HP、DELL、Funk等企业提出的,目标是解决可信接入问题,其特点是只制定详细规范,技术细节公开,各个厂家都可以自行设计开发兼容TNC的产品,并可以兼容安全芯片TPM技术。现在微软已经主动的将其NAP与TCG/TNC进行了互操作的接口开放。
三、GSN全局安全网络的原理与应用效果
锐捷网络GSN(Global Security Network,全局安全网络),是一种基于802.1x的TNC可信网络连接技术的解决方案。GSN由安全客户端、安全交换机、安全管理平台、用户认证系统、安全修复系统、VPN客户端、RG-WALL防火墙等多重网络元素组成,实现同一网络环境下的全局联动,使网络中的每个设备都在发挥着安全防护的作用,构成“多兵种协同作战”的全新安全体系。具体构架如上图所示,由三个层面、五个部分组成。
GSN通过将用户入网强制安全、统一安全策略管理、动态网络带宽分配、嵌入式安全机制集成到一个网络安全解决方案中,达到对网络安全威胁的自动防御,网络受损系统的自动修复,同时可针对网络环境的变化和新的网络行为自动学习,从而达到对未知网络安全事件的防范。其基本原理和结构图如下:锐捷网络GSN全局安全网络系统采用了可信网络连接技术TNC的标准规范。GSN整体构架分为客户端(Su)、Swith/Router以及后台服务器分别对应着TNC的访问请求者AR(Access Requestor)、策略执行点PEP(Policy Enforcement Point)、策略定义点PDP(Policy Decision Point),三层结构。
GSN的工作原理:当终端用户接入网络时,锐捷安全客户端(RG—SA)会自动检测终端用户的完整性,若终端用户没有达到安全策略设定的安全状态,安全管理平台(RG-SMP)通过安全联动设备(SW、Router)拒绝终端用户接入网络,并自动将该终端用户隔离并置于安全修复系统(RG—RES)。此时终端用户上的安全客户端(RG-SA)会根据安全管理平台提供的信息自动连接到RG-RES安全修复系统上进行自动修复。修复完成后,锐捷安全客户端会重新对终端用户再进行完整性评估,当终端用户完整性达到安全策略设定的安全状态后,安全管理平台(RG—SMP)才允许终端用户接入网络。
当接入网络的用户终端发生安全攻击事件时,安全管理平台(RG—SMP)将针对这一安全事件进行判断,以确认选择调用何种安全策略来处理。安全管理平台(RG-SMP)将自动把安全策略下发到安全事件发生的网络区域,安全策略的执行者可以是锐捷网络联动设备或者安全客户端(RG—SA),根据安全事件的等级由安全管理平台(RG-SMP)判断是否需要将安全策略同步到网络的区域中,以实现全网安全。同时,安全管理平台会把针对这次安全事件的处理情况通知给用户终端,使用户能够及时了解到网络安全环境的变化。通过这个流程,网络可以对已发生的安全行为进行完全自动化的防御措施,从而保证用户网络在受到威胁时可以迅速做出连动反应。
GSN全局安全网络解决方案,将安全结构覆盖网络传输设备(网络交换机、路由器等)和网络终端设备(用户PC、服务器等),成为一个全局化的网络安全综合体系。在此基础上,GSN不仅能够满足现阶段网络安全环境的需求,同时也为今后可能发生的安全威胁做出了准备。
总之,目前导致安全事件的主要原因是主机软、硬件结构存在设计漏洞并且对用户没有进行严格的认证和授权控制,传统安全防范的重点放在对服务器和网络的保护上,而忽略终端接入者本身的安全,但大多数的攻击事件都是由终端接入者本身不安全而引起发的,所以只有从终端接入的源头就建立起安全体系,内外共防来构造真正安全可信的网络环境。