1 EAD解决方案技术原理介绍
1.1 技术背景
网络安全问题的解决,三分靠技术,七分靠管理,严格管理是企业、机构及用户免受网络安全问题威胁的重要措施。事实上,多数企业、机构都缺乏有效的制度和手段管理网络安全。网络用户不及时升级系统补丁、升级病毒库的现象普遍存在;随意接入网络、私设代理服务器、私自访问保密资源、非法拷贝机密文件、利用非法软件获取利益等行为在企业网中也比比皆是。管理的欠缺不仅会直接影响用户网络的正常运行,还可能使企业蒙受巨大的商业损失。
为了解决现有网络安全管理中存在的不足,应对网络安全威胁,H3C推出了终端准入控制(EAD,End user Admission Domination)解决方案。该方案从用户终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及防病毒软件产品、系统补丁管理产品、桌面管理产品的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,可以加强用户终端的主动防御能力,大幅度提高网络安全。
EAD在用户接入网络前,通过统一管理的安全策略强制检查用户终端的安全状态,并根据对用户终端安全状态的检查结果实施接入控制策略,对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁升级等操作;在保证用户终端具备自防御能力并安全接入的前提下,可以通过动态分配ACL、VLAN等合理控制用户的网络权限,从而提升网络的整体安全防御能力。
EAD还引入了资产管理、软件分发、USB监控等功能,提供了企业内网PC集中管理运维的方案,以高效率的管理手段和措施,协助企业IT部门及时盘点内网资产、掌控内网资产变更情况。
1.2 EAD方案介绍
EAD终端准入控制方案包括两个重要功能:安全防护和安全监控。安全防护主要是对终端接入网络进行,保证只有安全的终端才能接入网络,对达不到安全要求的终端可以进行修复,保障终端和网络的安全;安全监控是指在上网过程中,系统实时监控用户终端的安全状态,并针对用户终端的安全事件采取相应的应对措施,实时保障网络安全。
目前EAD还引入的资产管理、软件分发、USB监控等功能,与之前的准入防御功能并没有交叉,下面分别介绍EAD解决方案的端点准入防御,资产管理,软件分发等功能。
1.2.1 EAD端点准入防御方案介绍
图1 EAD解决方案端点准入防御应用模型图
身份验证:用户终端接入网络时,首先进行用户身份,非法用户将被拒绝接入网络。目前EAD解决方案支持802.1x,Portal。
安全检查:身份通过后进行终端安全检查,由EAD安全策略服务器验证用户终端的安全状态(包括补丁版本、病毒库版本、软件安装、系统服务、注册表、是否登录密码为弱密码等)是否合格。
安全隔离:不合格的终端将被安全联动设备通过ACL策略限制在隔离区进行安全修复。
安全修复:进入隔离区的用户可以进行补丁、病毒库的升级、卸载非法软件和停止非法服务等操作,直到安全状态合格。
动态授权:如果用户身份验证、安全检查都通过,则EAD安全策略服务器将预先配置的该用户的权限信息(包括网络访问权限等)下发给安全联动设备,由安全联动设备实现按用户身份的权限控制。
实时监控:在用户网络使用过程中,安全客户端根据安全策略服务器下发的监控策略,实时监控用户终端的安全状态,一旦发现用户终端安全状态不符合企业安全策略,则向EAD安全策略服务器上报安全事件,由EAD安全策略服务器按照预定义的安全策略,采取相应的控制措施,比如通知安全联动设备隔离用户。
图2 EAD安全准入流程图
1.2.2 EAD端点准入防御方案特点
安全状态评估
终端补丁检测:评估客户端的补丁安装是否合格,可以检测的补丁包括:操作系统(Windows 2000/XP/2003等,不包括Windows 98)等符合微软补丁规范的热补丁。
安全客户端版本检测:可以检测安全客户端iNode Client的版本,防止使用不具备安全检测能力的客户端接入网络,同时支持客户端自动升级。
安全状态定时评估:安全客户端可以定时检测用户安全状态,防止用户上网过程中因安全状态发生变化而造成的与安全策略的不一致。
自动补丁管理:提供与微软WSUS/SMS(全称:Windows Server Update Services/System Management Server)协同的自动补丁管理,当用户补丁不合格时,自动安装补丁。
终端运行状态实时检测:可以对上线用户终端的系统信息进行实时检测,包括已安装程序列表、已安装补丁列表、已运行进程列表、共享目录信息、分区表、屏保设置和已启动服务列表等。
防病毒联动:主要包含两个方面,一是端点用户接入网络时,检查其计算机上防病毒软件的安装运行情况以及病毒库和扫描引擎版本是否符合安全要求等,不符合安全要求可以根据策略阻止用户接入网络或将其访问限制在隔离区;二是端点用户接入网络后,EAD定期检查防病毒软件的运行状态,如果发现不符合安全要求可以根据策略强制让用户下线或将其访问限制在隔离区。
联动方式目前包括强联动和弱联动,强联动需要防病毒软件厂商提供联动插件,iNode客户端通过该联动插件完成对防病毒软件的运行状态检查以及行为控制。弱联动不需要防病毒厂商提供联动插件,iNode客户端通过其他方式实现对防病毒软件的运行状态检查以及行为控制。当前支持的强AV联动支持的防病毒软件有:瑞星、金山和江民。当前支持的弱AV联动支持的防病毒软件有:诺顿、趋势、McAfee 、安博士、CA安全甲胄、VRV、卡巴斯基等。
ARP防火墙:iNode客户端将截获用户的ARP报文,并且根据如下原则判断是否是非法ARP报文:
发出的ARP报文必须满足:
①以太网源地址=发送端以太网地址=本机发包网卡的MAC地址
②发送端IP地址=本机发包网卡的IP地址
③在满足上面两条的前提下判断是否是ARP请求报文,如果是请求报文必须满足是广播报文。
接收的ARP报文必须满足:
①以太网源地址=发送端以太网地址。
如果iNode发现报文为非法ARP报文,那么将会对报文做丢弃处理。
用户权限管理
强身份:在用户身份时,可绑定用户接入IP、MAC、接入设备IP、端口和VLAN等信息,进行强身份,防止帐号盗用、限定帐号所使用的终端,确保接入用户的身份安全。
“危险”用户隔离:对于安全状态评估不合格的用户,可以限制其访问权限(通过ACL隔离),使其只能访问防病毒服务器、补丁服务器等用于系统修复的网络资源。
“危险”用户在线隔离:用户上网过程中安全状态发生变化造成与安全策略不一致时(如感染不能杀除的病毒),EAD可以在线隔离并通知用户。
软件安装和运行检测:检测终端软件的安装和运行状态。可以限制接入网络的用户必须安装、运行或禁止安装、运行其中某些软件。对于不符合安全策略的用户可以记录日志、提醒或隔离。
支持匿名:iNode客户端与EAD安全策略服务器配合提供用户匿名功能,用户不需要输入用户名、密码即可完成身份和安全。
接入时间、区域控制:可以限制用户只能在允许的时间和地点(接入设备和端口)上网。
限制终端用户使用多网卡和拨号网络:防止用户终端成为内外网互访的桥梁,避免因此可能造成的信息安全问题。
代理限制:可以限制用户使用和设置代理服务器。
用户行为监控
终端强制或提醒修复:强制或提醒不符合安全策略的终端用户主机进行防病毒软件升级,病毒库升级,补丁安装;目前只支持手工方式(金山的客户端可以与系统中心做自动升级)。
安全状态监控:定时监控终端用户的安全状态,发现感染病毒后根据安全策略可将其限制到隔离区。
安全日志审计:定时收集客户端的实时安全状态并记录日志;查询用户的安全状态日志、安全事件日志以及在线用户的安全状态。
强制用户下线:管理员可以强制行为“可疑”的用户下线。
1.2.3 桌面资产管理方案介绍
EAD解决方案不仅能够对用户的端点准入安全进行管理,而且能够对用户网络中的资产进行管理和控制,其基本的功能包括:资产管理、软件分发。
身份验证及安全:EAD的桌面资产管理功能是与EAD的端点准入功能紧密结合的:在安全成功之后,服务器将DAM服务器的地址和端口下发给DAM客户端。作为另外一种选择,DAM服务器的地址和端口,也可以采用iNode客户端管理中心定制指定。
资产上线:资产上线分成几种情况:
1、已管理资产的上线:服务器根据客户端上传的资产编号找到资产记录即回应确认信息,客户端之后请求资产策略,服务器回应资产策略给客户端。
2、客户端注册方式的新资产(该资产由管理员增加)上线:服务端要求客户端输入资产编号,客户端提交后,服务端根据资产编号找到资产信息,发给客户端确认,确认后服务端将该资产置为已管理状态,回应确认信息,客户端之后请求资产策略,服务器回应资产策略给客户端。
3、服务器自动生成新资产方式的上线:服务端根据客户端上传的资产指纹信息生成新资产编号;客户端弹出资产信息录入界面并由用户录入,之后上传给服务端,服务端回应确认信息,客户端之后请求资产策略,服务器回应资产策略给客户端。
4、重装操作系统之后的客户端上线:服务端根据客户端传递过来的指纹信息找到已有的资产记录,之后回应资产信息给客户端;客户端用户确认服务器返回的资产信息与自己的资产相匹配,之后,客户端发送确认报文给服务端;服务端确认后将正在上线的资产与自身已有记录关联起来;服务端回应确认信息,客户端之后请求资产策略,服务器回应资产策略给客户端。
5、安装了多操作系统的资产上线:用户启动一个操作系统并上线成功后,在另一个操作系统下又发起上线请求;服务端发现多操作系统情况,将只允许安装的操作系统的客户端可以上线;服务端回应确认信息,客户端之后请求资产策略,服务器回应资产策略给客户端。
资产信息上报:客户端获取本地资产信息,保存到本地,并上报给服务端;客户端定期会扫描本地资产信息,如发现有变更,更新本地保存的资产文件,同时将资产变更信息上报给服务端。
USB使用信息上报:客户端实时监测USB插入情况,如果有USB插入、向USB中写入文件、或者拔出USB,都会写入文件,客户端定期上报USB使用信息给服务端。
软件分发:服务端为资产创建分发任务,客户端向服务端请求资产策略,服务端回应同时,将分发任务下达给客户端,客户端连接到分发服务器进行软件,到本地之后可由用户自行安装,也可以自动安装。
1.2.4桌面资产管理功能特点
终端资产管理
基于用户的资产管理:资产与用户相结合,支持直接查询某个用户资产状况,也可以基于资产信息找到对应的用户,方便管理员的管理。
资产编号处理:可自动/手工生成资产编号,为资产分配责任人或自动关联责任人。可对资产信息进行查询和手工扫描。对资产信息上报的策略可以进行自定义。
支持资产信息的增删改:管理员可以增加、删除、修改资产信息。
支持资产分组管理:对资产通过分组统一管理,默认放置于缺省分组中。分组支持嵌套,支持分组间的资产转移,方便管理。
资产信息审计:可对软硬件资产进行查询,支持按
CPU、制造商、型号、操作系统等统计资产,便于管理员分类进行企业资产盘点。
资产变更审计:可针对资产变更信息进行审计,审计内容包含资产名、编号、变更类型、变更内容、资产责任人、变更时间等,便于管理员及时掌握企业资产变动情况。
支持USB使用审计:支持USB插拔及使用的审计,审计内容包括插拔时间、资产名、文件名、文件大小、操作时间等,便于企业安全审计。
支持USB等外设使用控制:支持对USB、软驱、光驱、Modem、
串口、并口、1394、红外、蓝牙等外设使用的控制。
软件分发
分发任务管理:支持软件分发任务的增加,修改,查询和删除以及关闭功能;可以按资产分组、选中单个或者多个资产进行资产批量分发,可以自定义分发操作的时间,支持HTTP,FTP和文件共享三种方式的分发服务器的参数配置功能。
软件分发查询:支持按照资产查询软件分发历史,支持按照分发任务查询每个资产的软件分发状态。
软件分发:支持HTTP、FTP和文件共享等三种协议的软件分发,软件分发给终端之后,安装的方式可以根据管理员指定好的策略进行静默安装或者普通安装。也可支持按资产分组、资产进行批量方式的软件分发。
