一,项目背景
当前,客户方办公网无有效的入网认证和检查机制,用户可使用普通PSK密码随意接入,存在较大的安全风险。同时,客户方的办公终端是否安装有合规软件、防火墙的情况各不相同。因此建议客户增加办公网络边界的安全准入措施,识别入网终端身份信息及安全情况。自动阻止身份及安全情况异常的终端接入办公网络。
通过,无线/有线统一认证以及准入控制,实现实名制上网,校验员工身份,增加网络使用安全性。同时对入网终端PC,进行合规性检测,推动安全软件安装,保障办公终端的安全性,稳定性。
二,项目需求
2.1 准入-认证需求
项目内容 |
伴鱼无线/有线一体化准入-认证项目 |
性能要求 |
第一阶段支持2000终端准入,且支持后续终端数量扩展 |
认证要求 |
支持portal认证(包括有线+无线设备);支持用户名+短信验证码;短信认证;协助扫码;用户名+密码的认证方式。 |
支持对接CRM系统;通过API接口方式,有CRM系统推送用户账号信息。 |
|
Portal页面支持替换,可自定更换背景图等内容; |
|
支持认证在线日志展示,用户名,IP地址,mac地址,登录时间等。 |
|
支持mac地址,手机号黑白名单限制;黑名单内终端无法认证上网。 |
|
支持灵活策略控制,例如限制最大在线数量,二次免认证时长,上网时长等; |
|
支持对接多种品牌无线控制器,例如:锐捷,Cisco,华为,华三,Aruba等。 |
|
支持逃生功能,在认证服务器或者硬件设备出问题时,可避免单点故障。 |
|
合规检测要求 |
支持windows、Linux、iOS、Android的认证及哑终端的自动放行 |
支持健康检查,包括但不限防病毒软件、LANDesk、McAfee、Symantec系统补丁 |
|
能够识别终端是否加入域 |
|
能够识别终端系统类型,如windows、Linux、iOS、Android |
|
审计日志应包含计算机名、用户名、IP、MAC地址、登录时间、操作系统类型,且日志不能被修改或者删除。 |
|
能够根据用户身份进行灵活的网络权限控制 |
|
能够根据健康检查结果进行灵活的网络权限控制 |
|
能够对不合规终端推送用户引导页 |
|
审计日志应包含计算机名、用户名、IP、MAC地址、登录时间、操作系统类型,且日志不能被修改或者删除。 |
|
可视化的运维管理 |
三,网络架构
3.1 整体网络架构
宁盾准入引擎(NDACE)以旁路模式部署在网络中,无需对网络进行改造,对现有网络架构没有任何影响。 部署时将需要进行管理控制的终端流量镜像到NDACE的分析口,提供终端网关所在设备SNMP(V2c)的Community值即可。
宁盾认证平台(DKEY AM)为一款软件产品,部署在虚拟机上即可,支持Windows/Linux系统,无需改造网络,就可以和网络设备进行正常通信。
涉及的组件信息如下:
- 宁盾一体化认证平台【DKEY AM】;
- ND ACE探针;
- 核心交换机
- 锐捷无线AC管理设备;
- CRM账号系统;
- 阿里云短信通道;
四,实现效果
- 员工无线/有线上网:portal认证(用户名+短信验证码);
- 账号员对接CRM系统,通过增量同步用户API接口对接;
- 对接阿里云短信通道;
- 访客:协助扫码方式,开启跨站点快速授权,便利员工授权使用;
- 有线终端检测合规软件安装,加强办公电脑安全性保护;
- 检测到非法终端,实时邮件告警,及时上报风险;
- NDACE进行DNS类劫持操作,实现https页面仍可跳转认证页面or告警页面;
来源:freebuf.com 2020-12-01 10:52:31 by: 宁盾nington
请登录后发表评论
注册