【YESLAB】浅谈网络空间安全之准入②

yeslab官方 · 发表于 2020-3-18 10:40:27

本帖最后由 yeslab官方于 2020-3-25 09:57 编辑

网络空间安全之准入服务的常用协议
原创 YESLAB—老罗

上一期我们就什么是准入？为什么需要准入？以及准入相关的产品选择作过简单的分析

本期我们会谈谈准入在网络设计及规划中实际应用。但我们在将准入服务器应用于于网络设计及规划之前，还是有必要了解与准入服务相关的几个常用协议：

PAP（Password Authentication Protocol,密码认证协议）
用户将用户名和密码传递给NAS设备。
NAS设备将用户名和加密过的密码发到认证请求包对应的属性中传递给AAA Server。
然后依据AAA Server返回的结果决定该用户是否接入。

CHAP（Challenge Handshake Authentication Protocol，挑战握手认证协议）
使用密文格式发送CHAP认证信息。
由认证方发起CHAP认证，有效避免暴力破解。
在链路建立成功后具有再次认证检测机制。

EAP(Extended Authentication Protocol, EAP)
认证直接在认证服务器和请求方设备之间来完成，认证方只是一个中继设备。
就意味关请求方和认证服务器之间，需要一个协议来建立认证的桥梁，该协议就是EAP。
EAP是运行在数据链路层之上的，想要在二层链路里传输，就必须有对应的协议对它进行封装。这个协议是802.1X，被802.1X封装后的EAP称为EAPoL (EAP over LAN)

Radius
主要功能
Authentication 认证
Authorization    授权
Account       审计
基于UDP协议，端口号：
认证 1645 旧  / 1812 新
授权 1645 旧 /  1812 新
审计 1646 旧 /  1813 新

图说协议
下面用两张图来说明这几个协议的工作位置：

通过上述协议的简单分析，不难看出准入服务器在企业网络设计及规划中的主要工作内容就是：

在局域网内对接入的终端（包括公司统一配置的笔记本电脑、个人移动设备等）及用户进行身份认证;

对通过VPN从互联网接入企业的终端及用户进行身体认证。一般来讲，企业迎接用户VPN的接入会是防火墙设备; 而企业内部是通过交换机有线接入或者是通过AP(Access Point)无线接入。

现在的企业网设计，移动办公是网络工程师不得不考虑的元素！介于员工接入方式的多样性，一个层次清晰的安全接入必须提前做好规划。以下是实际应用的一个基本参考模型，我们只做模型探讨，具体实现请关注我们ISE的体系课程。