基于802.1X的校園網(wǎng)接入認(rèn)證安全防御
由于國(guó)家十二五規(guī)劃綱要把教育信息化列為其中重要的一項(xiàng),校園網(wǎng)信息化建設(shè)高速發(fā)展。
本文引用地址:http://www.ex-cimer.com/article/154917.htm隨著網(wǎng)絡(luò)用戶(hù)數(shù)量急劇增加,網(wǎng)絡(luò)管理問(wèn)題和安全問(wèn)題日趨嚴(yán)峻,針對(duì)校園網(wǎng)用戶(hù)多且分散、流動(dòng)性強(qiáng),用戶(hù)對(duì)網(wǎng)絡(luò)需求各異等特點(diǎn),亟需營(yíng)造一個(gè)安全可靠、可運(yùn)營(yíng)、可管理的網(wǎng)絡(luò),給用戶(hù)提供一個(gè)便捷、暢通的網(wǎng)絡(luò)環(huán)境。為實(shí)現(xiàn)此目標(biāo),迫切需要一種合理、細(xì)致的管理機(jī)制和計(jì)費(fèi)手段。接入認(rèn)證系統(tǒng)和收費(fèi)計(jì)費(fèi)系統(tǒng)結(jié)合可達(dá)到此要求。
網(wǎng)絡(luò)上傳統(tǒng)的認(rèn)證系統(tǒng)如PPPoE 和Web/Portal認(rèn)證方式,越來(lái)越不適應(yīng)網(wǎng)絡(luò)規(guī)模增大和用戶(hù)需求多樣性的要求,使得傳統(tǒng)認(rèn)證的弊端日益突顯。基于此背景下,IEEE 802.1X通過(guò)對(duì)認(rèn)證方式和認(rèn)證體系結(jié)構(gòu)進(jìn)行優(yōu)化,有效地解決了傳統(tǒng)PPPoE和Web/Portal認(rèn)證方式帶來(lái)的問(wèn)題,消除了網(wǎng)絡(luò)瓶頸,減輕了網(wǎng)絡(luò)封裝開(kāi)銷(xiāo),降低了建網(wǎng)成本,從而受到當(dāng)前校園網(wǎng)選擇的熱捧。然而簡(jiǎn)單的使用802.1X認(rèn)證仍然存在一些安全隱患,故需要采用安全防御機(jī)制來(lái)解決。本文首先介紹了接入認(rèn)證方式及利弊,然后闡述了802.1X原理及認(rèn)證過(guò)程,接著詳細(xì)介紹了802.1X在校園網(wǎng)中存在的隱患,最后提出了兩種安全防御機(jī)制并可兼容802.1X認(rèn)證。
接入認(rèn)證方式及利弊
目前主要的接入認(rèn)證方式有三種:PPPoE 認(rèn)證方式、Web/Portal認(rèn)證方式和802.1X 認(rèn)證方式。
1.PPPoE 認(rèn)證方式:PPPoE 是在IETF RFC標(biāo)準(zhǔn)基礎(chǔ)上研發(fā)的點(diǎn)對(duì)點(diǎn)協(xié)議,是目前應(yīng)用最為普遍的家庭用戶(hù)接入方式之一。它將以太網(wǎng)技術(shù)、局域網(wǎng)和點(diǎn)對(duì)點(diǎn)協(xié)議的可擴(kuò)展性及管理控制功能結(jié)合在一起,通過(guò)類(lèi)似撥號(hào)方式,為用戶(hù)提供簡(jiǎn)單方便的寬帶接入服務(wù)。此接入方式的優(yōu)勢(shì)在于和原有窄帶網(wǎng)絡(luò)用戶(hù)接入認(rèn)證體系一致,易于用戶(hù)接受。然而不足之處在于局端接入設(shè)備開(kāi)銷(xiāo)大,容易形成單點(diǎn)瓶頸,且設(shè)備昂貴。
2.Web/Portal認(rèn)證方式:Web認(rèn)證運(yùn)用廣泛,它依托于Web 瀏覽器,通過(guò)HTTP以及HTTPS協(xié)議和Web認(rèn)證服務(wù)器進(jìn)行交互認(rèn)證。該認(rèn)證方式可以很方便地利用Web服務(wù)器推出Portal和廣告等增值業(yè)務(wù),有利于達(dá)到引導(dǎo)用戶(hù)和宣傳業(yè)務(wù)的效果。其優(yōu)點(diǎn)在于不需要特定的客戶(hù)端軟件,可以降低運(yùn)營(yíng)成本,同時(shí)可提供Portal等增值業(yè)務(wù)。缺點(diǎn)是Web/Portal承載于7層協(xié)議之上,多采用出口網(wǎng)關(guān)設(shè)備,內(nèi)網(wǎng)存在的安全隱患,如BBS論壇出現(xiàn)過(guò)激言論或某IP 攻擊服務(wù)器等行為都無(wú)法追蹤。
3.802.1X認(rèn)證方式:802.1X認(rèn)證,稱(chēng)為基于端口的訪問(wèn)控制協(xié)議認(rèn)證,它將傳統(tǒng)的出口控制遷移到入口控制,實(shí)現(xiàn)對(duì)端口的用戶(hù)級(jí)的接入控制,對(duì)大規(guī)模的LAN接入和WLAN 應(yīng)用有很好的安全防護(hù)作用。其優(yōu)勢(shì)是認(rèn)證與業(yè)務(wù)分離有利于解決網(wǎng)絡(luò)瓶頸,對(duì)設(shè)備的整體性能要求不高,有效降低建網(wǎng)成本。弱點(diǎn)是需要特定的客戶(hù)端,ARP攻擊、IP偽造等安全問(wèn)題仍未解決。
802.1X原理及認(rèn)證過(guò)程
802.1X是根據(jù)用戶(hù)賬號(hào)或設(shè)備,對(duì)網(wǎng)絡(luò)客戶(hù)端(或端口)進(jìn)行鑒權(quán)的標(biāo)準(zhǔn)。此過(guò)程又叫做“端口級(jí)別的鑒權(quán)”,它只適合于此環(huán)境:接入用戶(hù)設(shè)備與接入端口間點(diǎn)到點(diǎn)的連接方式。其中的端口可以是物理的端口,也可以是用戶(hù)設(shè)備的MAC 地址。由于基于物理端口的控制方式需要認(rèn)證交換機(jī)直接連接用戶(hù)來(lái)實(shí)現(xiàn),提升了交換機(jī)成本,導(dǎo)致建網(wǎng)成本增加。在經(jīng)費(fèi)比較短缺的校園領(lǐng)域中,網(wǎng)絡(luò)認(rèn)證目前普遍使用基于用戶(hù)設(shè)備的MAC地址控制方式。把用戶(hù)設(shè)備的MAC 地址看成端口,每個(gè)MAC地址有兩個(gè)邏輯端口:受控和不受控端口。MAC地址處于激活狀態(tài)是認(rèn)證的前提條件,否則無(wú)法進(jìn)行認(rèn)證。在802.1X協(xié)議體系結(jié)構(gòu)中,必須同時(shí)具備客戶(hù)端、接入認(rèn)證交換機(jī)和認(rèn)證服務(wù)器三者,才能夠完成基于端口的訪問(wèn)控制的用戶(hù)認(rèn)證和授權(quán)。認(rèn)證過(guò)程如圖1所示。
圖1
802.1X在校園網(wǎng)中存在的安全隱患
在缺乏保護(hù)的共享式網(wǎng)段中,簡(jiǎn)單地使用標(biāo)準(zhǔn)802.1X協(xié)議,容易造成如中間人攻擊、會(huì)話劫持攻擊、拒絕服務(wù)攻擊、IP地址偽造、MAC 地址偽造、網(wǎng)絡(luò)接入盜用等安全隱患。用標(biāo)準(zhǔn)802.1X認(rèn)證在認(rèn)證通過(guò)后的安全性成為很大問(wèn)題,而且其無(wú)法滿(mǎn)足網(wǎng)絡(luò)接入管理控制的需求。
因此,要使用802.1X認(rèn)證就必須對(duì)其進(jìn)行相關(guān)的擴(kuò)展。在用戶(hù)認(rèn)證前,對(duì)被認(rèn)證者進(jìn)行詳細(xì)的檢查,這些檢查不僅僅包括用戶(hù)名和密碼,還可以包括用戶(hù)設(shè)備IP、用戶(hù)設(shè)備MAC、認(rèn)證交換機(jī)IP、認(rèn)證交換機(jī)端口等。
在通過(guò)認(rèn)證后,通過(guò)控制交換設(shè)備,可以進(jìn)行IP 綁定、MAC 綁定、ACL配置等工作,提高其認(rèn)證后的安全性。然而據(jù)了解,目前校園網(wǎng)中運(yùn)用廣泛的H3C認(rèn)證系統(tǒng)和銳捷認(rèn)證系統(tǒng)基本框架是用戶(hù)名與用戶(hù)設(shè)備IP、用戶(hù)設(shè)備MAC、認(rèn)證交換機(jī)IP、認(rèn)證交換機(jī)端口信息的綁定,在接入認(rèn)證交換機(jī)上僅僅綁定用戶(hù)設(shè)備MAC與端口對(duì)應(yīng),而用戶(hù)設(shè)備IP并未真正綁定到接入認(rèn)證交換機(jī)上。所以,接入認(rèn)證交換機(jī)上的綁定其實(shí)是一種壹儆綁定,易發(fā)生安全問(wèn)題。
1.中間人攻擊:它是一種“間接”的入侵攻擊,這種攻擊模式是一臺(tái)黑客主機(jī)通過(guò)各種技術(shù)手段給兩臺(tái)直接通信主機(jī)發(fā)送偽造ARP應(yīng)答報(bào)文,使兩臺(tái)直接通信主機(jī)間接通過(guò)黑客主機(jī)通信,此過(guò)程中黑客主機(jī)可竊取和篡改傳遞信息。通常,這種“攔截?cái)?shù)據(jù)-修改數(shù)據(jù)-發(fā)送數(shù)據(jù)”的過(guò)程就被稱(chēng)為“會(huì)話劫持”。
2.拒絕服務(wù)攻擊:是指攻擊者利用攻擊工具向服務(wù)器發(fā)送大量偽造不同源IP地址的連接請(qǐng)求報(bào)文,造成交換機(jī)CPU持續(xù)上升,網(wǎng)絡(luò)資源耗盡,使網(wǎng)絡(luò)無(wú)法正常工作。
3.網(wǎng)絡(luò)接入盜用:是指盜用合法用戶(hù)信息(如用戶(hù)名、密碼、IP地址、MAC地址等)接入上網(wǎng),導(dǎo)致他人I P 沖突、流量丟失或者無(wú)法上網(wǎng)等。
基于802.1X的接入認(rèn)證安全防御
用戶(hù)通過(guò)802.1X接入認(rèn)證后成為合法用戶(hù),但成為合法用戶(hù)只是跨越網(wǎng)絡(luò)安全問(wèn)題的第一道門(mén)檻。合法用戶(hù)會(huì)因?yàn)橹卸径粍?dòng)、或者好奇而主動(dòng)發(fā)送欺騙類(lèi)報(bào)文到網(wǎng)絡(luò)中,從而導(dǎo)致其他用戶(hù)不能正常訪問(wèn)網(wǎng)絡(luò)。對(duì)網(wǎng)絡(luò)管理部門(mén)而言,大量的投訴與咨詢(xún)會(huì)不斷收到。交換機(jī)作為網(wǎng)絡(luò)接入的入口設(shè)備,如果能將這類(lèi)欺騙報(bào)文隔離在外,僅允許合法報(bào)文進(jìn)入網(wǎng)絡(luò),則可完美解決因此而帶來(lái)的網(wǎng)絡(luò)問(wèn)題。協(xié)同采用ARP入侵檢測(cè)和IP過(guò)濾安全防御機(jī)制可解決此類(lèi)問(wèn)題。
評(píng)論