网络访问控制与防火墙

Crave
395 阅读11分钟

开启掘金成长之旅!这是我参与「掘金日新计划 · 12 月更文挑战」的第23天,点击查看活动详情

网络访问控制

  • NAC是对网络进行管理访问的一个概括性术语。NAC对登录到网络的用户进行认证,同时决定该用户可以访问哪些数据,执行哪些操作。

  • NAC可检查用户的计算机或者移动设备(终端)的安全程度。

  • NAC系统组成:

    • 访问请求者(AR)
    • 策略服务器:基于AR的态度和企业预先定义好的策略,策略服务器决定授予请求者什么访问权限。
    • 网络访问服务器(NAS):在远程的用户系统想连接公司内网时,NAS起到一个访问控制点的作用。NAS同时也被称为介质网关、远程访问服务器(RSA),或者是策略服务器,NAS有可能包含自己的认证服务,也有可能依赖由策略服务器提供的分离认证服务。

NAC强制措施

  • IEEE 802.1X:链路层协议。在一个端口被分配IP之前必须强制进行认证。IEEE802.1X在认证过程中使用可扩展认证协议(EAP)。
  • 虚拟局域网(VLAN):NAC系统根据设备是否需要安全修复,是否只是访问互联网,对企业资源何种级别的网络访问,决定将网络中的哪一个虚拟局域网分配给AR。VLAN可以被动态创建,一个企业服务器或者访问请求者可能属于不止一个虚拟局域网。
  • 防火墙
  • 动态主机配置协议(DHCP):DHCP服务器拦截DHCP请求,分配IP地址。因此,基于子网及IP分配,出现网络层的NAC强制措施。

可扩展认证协议

EAP为客户端系统与认证服务器之间交换认证信息提供了一种通用传输服务。常用的支持EAP的方法

  • EAP-TLS(RFC5216):定义了TLS协议如何被封装在EAP信息中。 EAP-TLS使用TLS的握手协议,通过数字证书进行客户端与服务端的互相认证。
  • EAP-TTLS(隧道传输层安全RFC5281):与EAP-TLS类似,唯一不同的是在TTLS中,服务器首先使用证书向客户端认证自己的身份。在EAP-TTLS中,使用安全密钥建立安全连接(隧道),该连接将继续用于客户端身份认证,也可以再次认证服务器。认证过程使用EAP方法或传统方法,如PAP(密码认证协议)、CHAT(挑战-握手认证协议)。
  • EAP-GPSK(RFC5433):是一种使用预共享密钥(PSK)进行互相认证以及会话密钥推导的EAP方法。需要在每个成员以及服务器之间使用预共享密钥,当双方认证成功时,该方法对双方通信提供一个受保护的通信通道,在诸如IEEE802.11等不安全网络上,EAP-GPSK被用来进行认证。
  • EAP-IKEv2(RFC5106):基于互联网密钥交换协议版本2,支持互相认证,可使用多种方法建立会话密钥。

EAP 认证交换过程

首先低层交换协议建立EAP交换需求,然后认证者向被认证端发出进行身份认证的请求,接着被认证端发出含身份信息的应答。这些过程伴随着一连串的验证实体的请求以及被认证端的应答,从而实现认证信息的交换。交换的信息以及请求应答对的数量取决于认证的方法。会话过程一直继续,直到满足以下两个条件之一:

  • 认证者无法认证该被认证端,传送EAP失败信息;
  • 认证者成功认证该被认证端,传送EAP成功信息。

IEEE 802.1X基于端口的网络访问控制

IEEE802.1X使用了受控端口和未受控端口

  • 受控端口:只有在当前请求者被授权允许进行交换时,才可以在请求者与网络上的其它系统间交换协议数据单元。
  • 未受控端口:忽略请求者的认证状态,允许在请求者以及认证服务器之间交换协议数据单元。

EAPOL协议(局域网上的可扩展认证协议)

IEEE802.1X中主要定义了EAPOL协议(局域网上的可扩展认证协议)。

  • EAPOL协议作用在网络层,使用了IEEE802标准的局域网,如数据链路层上的以太网、Wi-Fi等。
  • 为进行认证,EAPOL允许请求者与认证者之间互相通信,以及两者之间进行EAP包的交换。

EAPOL认证过程:

  1. 请求者通过向IEEE802.1X认证者使用的特殊的多群组地址发送EAPOL-Start包,判断该网络中是否存在认证者,如存在,则通知该认证者请求已经准备好(很多情况下,当设备接入到集线器,认证者就能感知到设备存在,这时认证者可能会用自己发出的信息取代EAPOL-Start信息)
  2. 认证者发送EAP请求身份标识信息。该信息封装在EAPOL-EAP中.
  3. 一旦决定允许请求者接入网络,认证者就使用EAP-key包向请求者发送密钥。
  4. EAP-Logoff包类型表示请求者希望同该网络断开连接。认证者将控制端口变成非授权状态

防火墙

防火墙基本原理

  • 防火墙是位于两个(或多个)网络间实施网间访问控制的一组组件的集合

  • 它满足以下条件

    • 内部和外部之间的所有网络数据流必须经过防火墙
    • 只有符合安全政策的数据流才能通过防火墙
    • 防火墙自身对渗透(penetration)是免疫的

防火墙基本策略

  • 大多数防火墙规则中的处理方式包括:

    • Accept:允许数据包或信息通过
    • Reject:拒绝数据包或信息通过,并且通知信息源该信息被禁止
    • Drop:直接将数据包或信息丢弃,并且不通知信息源

  • 所有的防火墙在规则匹配的基础上都会采用以下两种基本策略中的一种:

    • 没有明确禁止的行为都是允许的
    • 没有明确允许的行为都是禁止的

防火墙分类

  • 从使用的技术上划分,防火墙可以分为:

    • 包过滤防火墙

      • 静态包过滤防火墙
      • 动态包过滤防火墙(状态检测防火墙)

    • 代理服务器型防火墙

防火墙技术

包过滤防火墙

基本思想:

  • 包过滤(Packet Filtering)技术是防火墙在网络层中根据数据包中包头信息有选择地实施允许通过或阻断。依据防火墙内事先设定的过滤规则,检查数据流中每个数据包头部,根据数据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包通过,其核心是安全策略即过滤规则的设计。一般来说,不保留前后连接信息,利用包过滤技术很容易实现允许或禁止访问。
  • 对于每个进来的包,适用一组规则,然后决定转发或者丢弃该包
  • 往往配置成双向的

攻破包过滤防火墙的方法

  • IP攻击欺骗

    通过向包过滤式防火墙发出一系列信息包,这些包中的IP地址已经被替换为一串顺序的IP地址,一旦有一个包通过了防火墙,黑客便可以用这个IP地址来伪装它们发出的信息。

  • 路由攻击程序 黑客使用自己编制的路由攻击程序,这种程序使用动态路由协议来发送伪造的路由信息,这样,所有的信息包都会被重新路由到一个入侵者所指定的特别地址。

包过滤防火墙的优缺点

  • 优点

    • 逻辑简单,价格便宜,对网络性能的影响较小,有较强的透明性。
    • 与应用层无关,无需改动任何客户机和主机上的应用程序,易于安装和使用。

  • 缺点

    • 配置基于包过滤方式的防火墙,需要对IP、TCP、UDP和ICMP等各种协议有深入的了解,否则容易出现因配置不当带来的问题;
    • 由于过滤判别的只有网络层和传输层的有限信息,所以各种安全要求难以得到充分的满足;
    • 由于数据包的地址及端口号都在数据包的头部,因而不能彻底防止地址欺骗,及外部客户与内部主机直接连接,不提供用户的鉴别机制。

状态检测防火墙

状态检测(Stateful Inspection)防火墙现在应用非常广泛,状态检测是一种相当于4.5层的过滤技术,它不限于包过滤防火墙的3/4层的过滤,又不需要应用层网关防火墙的5层过滤,既提供了比包过滤防火墙更高的安全性和更灵活的处理,也避免了应用层网关防火墙带来的速度降低的问题。

要实现状态检测防火墙,最重要的是实现连接的跟踪功能。状态检测防火墙能够进一步分析主连接中的内容信息,识别出所协商的子连接的端口而在防火墙上将其动态打开,连接结束时自动关闭,充分保证系统的安全。

代理型防火墙

  • 代理服务器型防火墙通过在主机上运行代理的服务程序,直接对特定的应用层进行服务,因此,也称为应用型防火墙
  • 其核心是运行于防火墙主机上的代理服务器程序
  • 针对不同的应用程序,代理服务型防火墙需要不同的代理模块
  • 代理服务可以实现用户认证、详细日志、审计跟踪和数据加密等功能,并实现对具体协议及应用的过滤
  • 这种防火墙能完全控制网络信息的交换,控制会话过程,具有灵活性和安全性,但可能影响网络的性能,对用户不透明,且对每一种服务都要设计一个代理模块,建立对应的网关层,实现起来比较复杂

优点:

  • 易于配置,界面友好;
  • 不允许内外网主机的直接连接;
  • 可以提供比包过滤更详细的日志记录,例如在一个HTTP连接中,包过滤只能记录单个的数据包,而应用网关还可以记录文件名,URL等信息;
  • 可以隐藏用户内部IP地址;
  • 可以给单个用户授权;
  • 可以为用户提供透明的加密机制;
  • 可以与认证、授权等安全手段方便的集成

防火墙配置方案

双宿主机模式

双宿主机结构采用主机替代路由器执行安全控制功能,故类似于包过滤防火墙,它是外部网络用户进入内部网络的唯一通道。 这种配置是用一台装有两个网络适配器的双宿主机做防火墙。双宿主机用两个网络适配器分别连接两个网络,又称堡垒主机。堡垒主机上运行着防火墙软件,可以转发数据,提供服务等。

这种防火墙的特点是主机的路由功能是被禁止的,两个网络之间的通信通过双宿主机来完成。 双宿主机有一个致命弱点,一旦入侵者侵入堡垒主机并使该主机只具有路由器功能,则任何网上用户均可以随便访问有保护的内部网络。

屏蔽主机模式

通常在路由器上设立过滤规则,并使这个堡垒主机成为从外部网络唯一可直接到达的主机,这确保了内部网络不受未被授权的外部用户的攻击。屏蔽主机防火墙实现了网络层和应用层的安全,因而比单独的包过滤或应用网关代理更安全。 在这一方式下,过滤路由器是否配置正确是这种防火墙安全与否的关键,如果路由表遭到破坏,堡垒主机就可能被越过,使内部网完全暴露。

缺点: 堡垒主机与其他主机在同一个子网 一旦堡垒主机被攻破或被越过,整个内网和堡垒主机之间就再也没有任何阻挡。

屏蔽子网模式

屏蔽子网防火墙是目前较流行的一种结构,采用了两个包过滤路由器和一个堡垒主机,在内外网络之间建立了一个被隔离的子网,定义为DMZ(非军事区、隔离区)

1 (2).jpg

avatar
文章
阅读
粉丝