企业安全扯淡之YY内网准入以及划分
by 云舒
2008-04-02
http://www.ph4nt0m.org
前些时候有人问过我现在怎么不做技术了,其实我也有做,不过没怎么做底层,而主要是以企业网络为主。从06年元月进入yahoo直到现在,我一直在做这些,只是很少写文章了。最近可能会空一点,扯淡一下企业网络的安全。
第一篇就从YY开始吧。这里随便YY一下内网安全的一部分内容,主要是YY赛门铁克的Symantec Sygate Enterprise Protection解决方案,以内网准入和内网划分为主。YY的原因是因为Symantec的Lan Enforcer支持根据客户端的完整性划分vlan,而微软的IAS支持从AD获取信息,按照用户划分vlan。
Symantec的标准做法是在接入层交换机上起802.1x,并且把认证服务器指向Sygate Lan Enforcer服务器,在Enforcer 上设定Radius代理和检测结果授权(VLAN)。那么,当安装了Agent的客户端连接网络时,首先从Sygate Police Server下载规则,判断自己的完整性。然后将认证信息和完整性信息发送给交换机,最终通过Lan Enforcer发送到radius服务器认证。Lan Enforcer根据radius的认证结果和完整性决定vlan划分结果,并发送到交换机实施。
微软的IAS方案的一种做法,和上面类似,唯一缺少的是完整性信息,但是多出一个去AD获取查询数据,返回用户部门等资料的功能。用户提交的认证信息通过交换机到达IAS,最终到达AD认证。IAS根据用户信息决定如何划分vlan并讲结果发送到交换机实施。
YY开始了。接入层交换机起802.1x认证,认证服务器指向IAS服务器,IAS服务器指到Sygate Lan Enforcer服务器,再指到AD上面。用户端安装Sygate Agent,连接时发送用户信息以及完整性信息,最终到AD认证密码,在Sygate Lan Enforcer认证完整性。如果密码认证失败,禁止接入网络;如果密码成功而完整性失败,划入隔离修复vlan;如果两次检测都成功了,IAS根据AD 的返回信息,划分到该部门的VLAN去。
估计Symantec和Microsoft是不会配合的,不过说不定有第三方的什么产品实现了这种方案,甚至Symantec和Microsoft自己已经实现了而我不知道,因为好久没和这些厂商的售前扯淡了。