论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 413 篇帖子 ]  前往页数 1, 2, 3, 4, 5 ... 28  下一页
作者 内容
 文章标题 : (原创)笑谈:准入控制、什么是准入控制、端点准入、终端准入、详解网络准入控制技术-禁止转载---跟帖有金币,提倡分享。
帖子发表于 : 2012-02-10 18:12 
离线
高级用户

关注按钮

注册: 2012-02-10 17:50
最近: 2014-10-10 17:48
拥有: 2,291.00 安全币

奖励: 1288 安全币
在线: 3473 点
帖子: 180
本人网名: 逍遥大掌门 。曾经浪迹江湖,热衷于技术,偶尔也蹦出来分享,希望能和大家共同进步。
XYSP原创: 玩准入控制多年,不得不分享给大家一些准入控制技术方面的东西
NAC、网络准入控制、什么是网络准入控制、什么叫网络准入控制NAC 、有哪些准入控制技术、我们做准入控制应该知道什么、如何选择网络准入控制技术、 抛砖引玉,大家共勉

IT界说的 准入控制 简单来说就是: 网络准入控制NAC,Network Access control的简称,有的也说是:端点准入控制、终端准入控制、网络准入控制、网络边界安全、接入认证、终端准入、NAC,等等反正叫法很多。
准入控制 是指对网络的边界进行保护,对接入网络的终端和终端的使用人进行合规性检查。
准入控制 让接入你网络的每一个人,每个终端都具有合法性,合规性,是可信的。
主要是认证+授权,一般不设计计费(根据后台radius的不同和客户的不同可支持将不同的条件作为合规检查的条件)。
网络准入控制技术通常包括:
根据分类网络准入控制技术主要包含以下三大类:
1. 基于网络设备的准入控制技术:
[*]802.1X 准入控制技术 : IEEE 802.1X是IEEE制定关于用户接入网络的认证标准 ,二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本;常用到EAP(扩展认证协议),可以提供良好的扩展性和适应性,实现对传统PPP认证架构的兼容;由于是IEEE标准所以被许多交换机厂家广泛支持,而且在国内许多的准入控制软件厂商中也得到广泛应用。但很遗憾的是很多软件厂商做得很差,客户端维护麻烦,还需要修改网卡属性。而且802.1X虽然是IEEE标准,但是各个交换机厂商在采用认证加密的算法可能不一样,很多国内厂商的客户端和radius都无法兼容市场上所有的厂商的(兼容所有的厂商,而且部署简单的厂商是有的,很少而已)802.1X认证。
[*]802.1X主要采用VLAN 动态切换的方式授权客户端,近几年部分厂商开始支持通过下发ACL方式授权客户端。
[*]802.1X目前的不足指出在于:由于是二层协议,同时802.1x在交换机上基本是端口插线加电即启动认证,所以在大多场合不支持,如VPN、WLAN、专线等环境,无法穿透3层网络环境。而且在HUB的情况下.VLAN无法切换。更有很多厂商无法解决HUB环境认证的问题。
[*]CISCO EOU 准入控制 技术: EAP OVER UDP ,是思科公司私有的准入控制技术;CISCO 3550 以上设备支持,传说此技术是CISCO 为了解决HUB环境下多设备认证而提出的,当然不可能是仅限于此目的;EOU技术工作在3层,采用UDP封装,客户端开放UDP 21862 端口, 由于是3层所以在很多地方比二层协议更灵活,如在灾备,设备例外,认证放行等特性上都较为灵活。
[*]CISCO EOU 准入控制技术 ,同时分为二层EOU 和 三层EOU 即:IPL2,IPL3;两者不同的在于:2层EOU是指运行在交换设备上的(3层交换机也包括),2层EOU认证是靠ARP 和DHCP触发认证的,所以在客户端和认证网络设备之间Authenticator System(设备端)之间必须可以让ARP 和 DHCP包能够通过;3层的EOU L3IP_EOU,是工作在路由器上的,他是靠包转发来触发认证,所以支持各种接入环境,如果设备牛B的还可以支持NAT环境,NAT环境很少厂商能支持的。2层EOU和3层EOU除了认证触发和运行设备有区别外其他无区别。如果环境允许推荐使用EOU技术。
[*]其实基于网络设备的准入控制技术才是真真的准入控制技术。
2. 基于网关设备的准入控制技术:
[*]网关型准入控制 : 简单的来说是就是通过网络限制,网关认证等方式授权客户端访问网络。此方案一般由防火墙厂家推出,具有很多问题!如: 网关型准入控制只控制了网络的出口,没有控制内网的边界接入。[/list]
[*]主要特色是维护方便,无需调试下面的交换机,如果一个厂家采用了业界共用的技术开发的准入网关如EOU 技术,则可兼容其他准入控制系统,还是较好的,但是如果是厂家自己开发的什么认证协议,那都是忽悠,维护更加麻烦(注:不是每个厂家都这样)
[*]网关式的准入控制选型我们必须注意以下几个方面:1,容灾性,网关挂了,谁都是吃不了兜着走的;2,认证并发数,大家上班不可能每天都等待准入认证,并发数必须要大,而且稳定;3.吞吐量足够,这个必须的网关;4.是否会改变你的网络结构?如果需要改变网络结构需要慎重。
3. 伪准入控制,假干扰性技术:
作为一位安全工作者,我必须把这些混淆他人试听的行为揪出来 ,以下技术由于漏洞多,无法解决根本问题
[*] ARP型准入控制: 通过ARP欺骗和干扰技术实现,互联网发展到今天,这个技术应该在2005年就要淘汰了。为什么?ARP欺骗和干扰本来就是病毒行为,后期会加重管理员的维护任务;而且在今天的技术下绕过这个准入简直是易如反掌,比如你装一个360安全卫士,直接拦截ARP攻击,轻松绕过,其他的方法我就不详谈了,在访客和授权的管理上缺陷很大,一般都部署不下去。
[*] DHCP准入控制 :看了上面的ARP技术,在来看看DHCP准入控制技术,你觉得靠谱吗? NO; 简单来说DHCP准入原理:设备接入,先给你一个临时IP和后台通讯检测你的合法性,合法在给你重新分配一个合法的IP地址正常办公。既然是这样,如果绕过大家都知道把??? 手工配置IP地址即可绕过。 或许有人会说可结合dhcp snooping等技术 ,试问大哥你想过没有?dhcp snooping 等其他技术 不是每个交换机都支持的,只是个交换机的特性,非所有设备都支持,与其这样不如推荐802.1x,且DHCP耗竭攻击,这个目前交换机能防护的程度就是检查DHCP 消息中的SMAC和RMAC,可同时伪造两个MAC欺骗。
[*]DHCP准入控制,由于需要动态地址分配,在许多保密场所和大型企业都是觉得使用的。后期的维护是相对的困难,最多只适合100台终端以下的环境使用。在解决打印机,特殊设备上有很大的缺陷,在防止伪造MAC,IP 上无防护手段相对于EOU技术和802.1X技术 漏洞较多。 在访客管理 和授权的管理上缺陷很大, 一般厂家的DHCP准入控制还采用DHCP服务器与DHCP准入控制装置分离的控制方法 部署过程相当的艰难。ARP 和DHCP 都容易造成网络堵塞,不利于大型网络。
应用层准入:感觉更忽悠的味道,有很多中实现方式:如ISA和AD联动实现;还有一种比如在OA上装一个插件,大家都要访问OA,就必须装个客户端,否则无法访问,其实这个干扰,如果我不访问OA,我访问你的CRM,窃 取客户信息你咋办?所以这很假。

小提示:准入控制,和桌面安全 终端安全其实都属于网络边界安全,现在准入控制和桌面安全结合是主流趋势。所以大家还要注意准入和桌面的结合,我想谁喜欢简单的运维系统,如果装几个客户端在你电脑上, 你是什么感觉? 或者作为IT管理员 每个电脑要你去配置一边 你是什么感觉?不爽 呵呵。 说到这里,后面跟帖时我会介绍到,选择怎样的一个产品,可以让我们上班抽抽烟,喝喝茶,不再成为救火员。

以上是个人对准入控制技术的浅解,欢迎鲜花!
感谢兄弟们, 看帖回帖,有分享 有收获,后面的哥们真是越来越精彩,互相学习,我力挺,再力挺你们
一个月后补充:
论坛中各位兄弟兄弟一再提到两个问题:
1. 无客户端准入和有客户端准入的问题。
2. 准入如何和终端安全管理做一个有效的结合。
我先来说一下无客户端准入
优点:1.无需安装AGENT,部署快捷.( 但是各位一定要搞清楚是不是真正的无AGENT,其实现在都忽悠,其实也是AGENT,只不过包装了以下,变成了伪AGENT,如插件等)
缺点:1.准入力度不够---大都在汇聚层或核心层面实现。
2.被渗透的可能性很大---很多设备考虑性能和认证的要求,对所经过其流量的控制只是抓去特定的数据包控制,其他数据包存在放行的嫌疑,而且如果采用的网页插件的方式,则可通过修改相应的HTTP请求进行破解,可轻松绕开所谓的准入控制;如果采用插件则还会带来插件升级,插件被清除,插件导致IE崩溃等现象给准入或以为带来很多不必要的麻烦。
3.认证触发存在很多问题---很多网关设备只能检测到特定的数据包后才能发起认证,如采用HTTP,QQ触发认证;当如果采用其他方式的时候比如C/S,此时将无法认证,网络不通,而且无任何提示。
4.浏览器插件,很多厂商解决不了 非IE内核的问题 如 firefox chrome等浏览器,所以当你碰到所有的无客户端准入时候、你就要测试不同的浏览器支持程度了。
5. 大家都知道插件自身的稳定性是很差的,那么其兼容性也是一样;比如有的需要设置浏览器安全项--允许插件运行;有的情况下插件对不同版本的操作系统支持度不一样,支持XP未必支持WIN7\WIN8, 支持IE7 未必支持IE9/10等等。插件穿透防火墙的能力很差,比如经常会被window自动的防火墙干掉,还需要人工干预---点击允许还是拒绝等。

综合评价部分国人所谓的无客户端方式:
能看不能用,很花哨!只能远观不能近看,就像有的女的那样就是个背影杀手,其他杀都没有用。

客户端准入
缺点:1.需安装AGENT,担心部署. //其实现在企业大多AD域,或借助行政手段(搞安全必备)+技术手段可轻松部署了。
2.担心客户软件的兼容性。 //不要担心也不用随意听信,厂家来了直接叫他给你举例出10个高端用户+3个 10000个点以上的案例,找个WIN7 32位、64位测试一把,甚至是LINUX X86,X64 测试一把,就知道真假了,真金不怕火炼,其他的不要废话。人家高端的都行,10000以上的终端运行稳定难道还不满足你嘛。
优点:1.准入力度大---可在接入层、汇聚层或核心层、甚至是主机层面、各个层面实现。
2.被渗透的几率小---既然有了软件那么认证过程总所检查的类容和加密的方式,我想不是被轻易得到的,也不是轻易能够破解的。
3.认证触发不受干扰--- 无论是C/S,B/S都不收到影响,客户端完成认证即可,对于不能装客户端的,准入控制强大的系统自由解决方案。
4. 可建立统一的终端桌面安全管理体系 ,从终端接入前,接入中,接入后都有安全防护措施;玩的更大一点可集准入控制、资产管理、终端安全、业务防泄露于一体 ,环环相扣,可谓是一个体系的建立,可将原有的网络访问控制上升为资源访问控制。

再次更新,应部分兄弟要求,添加CISCO ISE 思科身份服务引擎





让更多的人了解准入控制,让更多的人可以在选择准入控制时候规避风险,希望有你的付出---贴之精华,心之所向
-------------还需大家努力。
Q群 :67352661 欢迎各位。


--------本帖迄今已累计获得151安全币用户奖励--------


最后由 clouesec 编辑于 2012-12-09 22:28,总共编辑了 41 次

回到顶部
  用户资料  
 
 文章标题 : Re: (原创)笑谈:准入控制、什么是准入控制、端点准入、详解网络准入控制技术-禁止转载
帖子发表于 : 2012-02-10 20:49 
离线
新手

注册: 2011-07-12 20:37
最近: 2016-04-25 15:56
拥有: 228.00 安全币

奖励: 0 安全币
在线: 393 点
帖子: 6
写的非常好。
去年有个任务让了解一下准入,把报告交上去就没再管了。最近又被同事问起,于是又翻出来看了下 。


--------本帖迄今已累计获得12安全币用户奖励--------


最后由 xysky 编辑于 2012-02-10 21:13,总共编辑了 2 次

回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: (原创)笑谈:准入控制、什么是准入控制、端点准入、详解网络准入控制技术-禁止转载
帖子发表于 : 2012-02-10 20:53 
离线
高级用户

关注按钮

注册: 2012-02-10 17:50
最近: 2014-10-10 17:48
拥有: 2,291.00 安全币

奖励: 1288 安全币
在线: 3473 点
帖子: 180
其实可以认识,认识,呵,加那个群?


--------本帖迄今已累计获得5安全币用户奖励--------


最后由 clouesec 编辑于 2012-02-22 18:50,总共编辑了 1 次

回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: (原创)笑谈:准入控制、什么是准入控制、端点准入、详解网络准入控制技术-禁止转载
帖子发表于 : 2012-02-10 20:55 
离线
高级用户

关注按钮

注册: 2012-02-10 17:50
最近: 2014-10-10 17:48
拥有: 2,291.00 安全币

奖励: 1288 安全币
在线: 3473 点
帖子: 180
哥们, 同生江湖中。 大家同道中人,交个朋友。


--------本帖迄今已累计获得2安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: (原创)笑谈:准入控制、什么是准入控制、端点准入、详解网络准入控制技术-禁止转载
帖子发表于 : 2012-02-11 13:53 
离线
新手

注册: 2007-01-23 14:47
最近: 2012-06-05 13:07
拥有: 21.70 安全币

奖励: 0 安全币
在线: 573 点
帖子: 7
项目里面用过联软,用户用了两年了评价不错


--------本帖迄今已累计获得10安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: (原创)笑谈:准入控制、什么是准入控制、端点准入、详解网络准入控制技术-禁止转载
帖子发表于 : 2012-02-11 18:38 
离线
高级用户

关注按钮

注册: 2012-02-10 17:50
最近: 2014-10-10 17:48
拥有: 2,291.00 安全币

奖励: 1288 安全币
在线: 3473 点
帖子: 180
楼上的很猛!


--------本帖迄今已累计获得3安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: (原创)笑谈:准入控制、什么是准入控制、端点准入、详解网络准入控制技术-禁止转载
帖子发表于 : 2012-02-12 21:19 
离线
中级用户

关注按钮

注册: 2012-02-12 21:14
最近: 2013-06-05 14:23
拥有: 937.00 安全币

奖励: 876 安全币
在线: 1875 点
帖子: 81
楼主分享的不错,很金典,值得学习,讲的很有道理,希望能和楼主深入沟通,我们公司刚好也需要这块的东西!

赞一个。


--------本帖迄今已累计获得5安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: (原创)笑谈:准入控制、什么是准入控制、端点准入、详解网络准入控制技术-禁止转载
帖子发表于 : 2012-02-13 09:49 
离线
中级用户

关注按钮

注册: 2012-02-12 21:14
最近: 2013-06-05 14:23
拥有: 937.00 安全币

奖励: 876 安全币
在线: 1875 点
帖子: 81
加你好友了,楼主。


--------本帖迄今已累计获得6安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: (原创)笑谈:准入控制、什么是准入控制、端点准入、详解网络准入控制技术-禁止转载
帖子发表于 : 2012-02-13 10:10 
离线
高级用户

关注按钮

注册: 2012-02-10 17:50
最近: 2014-10-10 17:48
拥有: 2,291.00 安全币

奖励: 1288 安全币
在线: 3473 点
帖子: 180
myccie 写道:
楼主分享的不错,很金典,值得学习,讲的很有道理,希望能和楼主深入沟通,我们公司刚好也需要这块的东西!

赞一个。



首先感谢,myccie 老兄的夸奖, 说实话准入控制技术发展到今天,应该来说已经比较成熟了。其实很多资深认识比较有认识。
但是我希望大家都分享以下,毕竟我觉得CHINACISSP这个论坛不错,但更需要大家的分享。
版主V5。
建议大家提问的同时也记得分享,谢谢.


--------本帖迄今已累计获得22安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: (原创)笑谈:准入控制、什么是准入控制、端点准入、详解网络准入控制技术-禁止转载
帖子发表于 : 2012-02-13 10:14 
离线
高级用户

关注按钮

注册: 2012-02-10 17:50
最近: 2014-10-10 17:48
拥有: 2,291.00 安全币

奖励: 1288 安全币
在线: 3473 点
帖子: 180
copsar 写道:
项目里面用过联软,用户用了两年了评价不错


阁下一定在乙方吧,准入是用到好 事半功倍,用不好,只会增加运维负担。 恭喜楼主。


--------本帖迄今已累计获得3安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: (原创)笑谈:准入控制、什么是准入控制、端点准入、详解网络准入控制技术-禁止转载
帖子发表于 : 2012-02-13 12:03 
离线
中级用户

关注按钮

注册: 2012-02-12 21:14
最近: 2013-06-05 14:23
拥有: 937.00 安全币

奖励: 876 安全币
在线: 1875 点
帖子: 81
clouesec 写道:
myccie 写道:
楼主分享的不错,很金典,值得学习,讲的很有道理,希望能和楼主深入沟通,我们公司刚好也需要这块的东西!

赞一个。



首先感谢,myccie 老兄的夸奖, 说实话准入控制技术发展到今天,应该来说已经比较成熟了。其实很多资深认识比较有认识。
但是我希望大家都分享以下,毕竟我觉得CHINACISSP这个论坛不错,但更需要大家的分享。
版主V5。
建议大家提问的同时也记得分享,谢谢.


嗯,对分享很重要,感谢分享、支持分享!


--------本帖迄今已累计获得5安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: (原创)笑谈:准入控制、什么是准入控制、端点准入、详解网络准入控制技术-禁止转载
帖子发表于 : 2012-02-13 21:27 
离线
高级用户

关注按钮

注册: 2012-02-10 17:50
最近: 2014-10-10 17:48
拥有: 2,291.00 安全币

奖励: 1288 安全币
在线: 3473 点
帖子: 180
myccie 写道:
clouesec 写道:
myccie 写道:
楼主分享的不错,很金典,值得学习,讲的很有道理,希望能和楼主深入沟通,我们公司刚好也需要这块的东西!

赞一个。



首先感谢,myccie 老兄的夸奖, 说实话准入控制技术发展到今天,应该来说已经比较成熟了。其实很多资深认识比较有认识。
但是我希望大家都分享以下,毕竟我觉得CHINACISSP这个论坛不错,但更需要大家的分享。
版主V5。
建议大家提问的同时也记得分享,谢谢.


嗯,对分享很重要,感谢分享、支持分享!



--------------加油---------------。


--------本帖迄今已累计获得5安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: (原创)笑谈:准入控制、什么是准入控制、端点准入、详解网络准入控制技术-禁止转载
帖子发表于 : 2012-02-14 22:33 
离线
中级用户

关注按钮

注册: 2012-02-12 21:14
最近: 2013-06-05 14:23
拥有: 937.00 安全币

奖励: 876 安全币
在线: 1875 点
帖子: 81
楼主把802.1x认证流程发来分享下。


--------本帖迄今已累计获得9安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: (原创)笑谈:准入控制、什么是准入控制、端点准入、详解网络准入控制技术-禁止转载
帖子发表于 : 2012-02-15 10:32 
离线
新手

关注按钮

注册: 2012-02-13 16:30
最近: 2016-03-18 00:03
拥有: 15.00 安全币

奖励: 0 安全币
在线: 490 点
帖子: 14
谢谢分享^_^


--------本帖迄今已累计获得7安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: (原创)笑谈:准入控制、什么是准入控制、端点准入、详解网络准入控制技术-禁止转载
帖子发表于 : 2012-02-15 11:21 
离线
中级用户

注册: 2008-06-17 10:00
最近: 2016-06-30 09:28
拥有: 1,340.00 安全币

奖励: 21 安全币
在线: 1253 点
帖子: 86
准入控制的技术当初大家的想法是通过802.1x来完成统一的标准
不过和国人的劣根性一样,老外也是互相不服,加上网络设备的历史原因,802.1x一直没有成为事实标准。
从技术来讲达到准入控制的目的,除了楼主所提的技术外还有很多其它的技术,也有厂家做的比较好。
不过正如以前我的一个帖子说的,随着cisco和h3c等设备厂家对交换机的改进,个人认为802.1x的春天应该已经不远了。
当然未知等到802.1x的春天来临的时候,是不是我们已经被云给替换了。


--------本帖迄今已累计获得50安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 413 篇帖子 ]  前往页数 1, 2, 3, 4, 5 ... 28  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:Baidu [Bot], Sogou [Spider] 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012