802.1X技术

802.1X技术（共8篇）

802.1X技术 篇1

目前, ARP类病毒成为影响网络的重要病毒之一, 通过伪造IP地址和MAC地址实现ARP欺骗, 很多网络受到不同程度的ARP欺骗攻击, 而一些数据包过滤技术、IP与MAC地址绑定或ARP防火墙与入侵检测等技术都没有很好的效果[1], 进一步研究与探讨防御ARP欺骗攻击的技术对网络安全具有重要的意义。

1 ARP与ARP欺骗攻击

1.1 ARP及其工作原理

ARP是地址解析协议 (Address Resolution Protocol) 的缩写, 在以太网中, 一个主机要和另一个主机进行通信, 必须要知道目标主机的MAC地址。ARP协议的基本功能就是通过目标设备的IP地址, 查询并翻译目标设备的MAC地址, 也就是将网络层的IP地址解析为数据链路层的MAC地址。ARP协议的工作原理如下例:

假设有三台计算机A、B、C, 为了在以太网中通讯, 每台电脑里都有一个ARP缓存表, 表里对应相关计算机的IP地址与MAC地址。现假设计算机A向计算机B发送数据, A会在自己的ARP缓存表中寻找是否有目标B的IP地址。如果有, 就知道了目标MAC地址, 直接把目标MAC地址写入帧里面发送就可以了;如果没有找到相对应的IP地址, A就会在网络上向同一网段内的所有主机 (目标MAC地址用“FF.FF.FF.FF.FF.FF”填充) 发送一个广播包进行询问:“192.168.0.2的MAC地址是什么?”这时, 只有主机B接收到这个帧时才向主机A做出这样的回应:“192.168.0.2的MAC地址是bb-bb-bb-bb-bb-bb”, 网络上其他主机并不响应ARP询问。这样, 主机A就知道了主机B的MAC地址, 并可以向主机B发送信息了。同时更新自己的ARP缓存表, 下次发送信息时直接从ARP缓存表里查找。ARP缓存表采用了老化机制, 在生存期的一段时间内如果表中的某一行没有使用, 就会被删除, 这样可以大大减少ARP缓存表的长度, 加快查询速度。

1.2 ARP欺骗攻击的原理

ARP协议的基础就是信任局域网内所有的计算机, 它面向局域网内所有机器发送广播, 其他主机可以随意发送ARP应答包, 而且ARP应答无需认证[2], 所以很容易实现ARP欺骗。局域网上的一台主机A, 如果接收到一个ARP报文, 即使该报文不是它所请求的ARP应答报文, 该主机也会将ARP报文发送者的MAC和IP地址更新或加入到ARP表中。ARP欺骗攻击就利用了这点, 攻击者主动发送ARP报文, 报文提供的MAC地址为攻击者主机的MAC地址, IP地址为其他主机或网关的IP地址。通过不断发送这些伪造的ARP报文, 让局域网上所有的主机和网关ARP表对应的MAC均为攻击者的MAC地址, 这样所有的网络流量都会发送给攻击者主机。更有甚者, ARP欺骗还可进行网关仿冒攻击, 攻击者冒充网关发送ARP, 把网关的MAC地址都改为攻击者机器的MAC, 使同一网段内的其它用户收到并更新自己的ARP表项后, 把本应发往网关的流量都发往攻击者, 此攻击导致用户无法正常和网关通信, 而攻击者通过这些数据包截获信息。

1.3 ARP欺骗攻击的危害

ARP欺骗攻击使网络流量经过攻击者进行转发, 攻击者可通过截获的信息得到游戏、网银、文件服务等系统的用户名和口令, 这样, 双方看似“直接”的通信连接, 实际上都是通过黑客所在的主机间接进行的, 这对网络安全构成了极大的威胁。同时攻击过程使网络速度变慢, 甚至网络传输中断, 尤其是ARP仿冒网关攻击使受攻击的整个网段的用户发往网关的流量都会发往攻击者, 导致用户无法正常和网关通信, 攻击者不仅可以凭借此攻击而独占上行带宽, 也可截获他人的信息, 直到攻击停止及ARP表恢复正常。

2 基于IEEE802.1x协议的认证系统

2.1 IEEE802.1x协议的开发背景

802.1x是IEEE为了解决基于端口的接入控制而定义的标准, 被称为基于端口的访问控制协议。IEEE802.1x出现于2001年6月, 起源于IEEE802.11协议, 其主要目的是为了解决无线局域网用户的接入认证问题, 即解决如何通过端口认证来防止其他公司的计算机接入本公司无线网络这一现实问题。后来为了实现对用户级接入的需求, IEEE定义了802.1x协议, 它提供了一种对设备进行认证和授权的方法, 在认证和授权过程失败的情况下防止对端口进行访问, 现在, 802.1x协议更多地用于园区网的有线接入控制。

2.2 802.1x认证系统的体系结构

IEEE802.1x协议的体系结构[3]包括三个重要的组成部分:

第一部分是客户端请求系统 (Supplicant System) ——请求者通常是支持802.1x认证的用户终端设备, 如客户机安装WindowsXP操作系统就已支持802.1x认证, 而大多数的厂商都开发了各自的客户端软件, 用户通过启动客户端软件发起802.lx认证。

第二部分是认证系统 (Authenticator System) ——认证系统通常为支持802.lx协议的网络设备组成, 这样的设备也叫网络接入服务器, 简称NAS (即Network Access Server) , 如Cisco系列交换机、H3C等公司的系列交换机, 它为请求者提供服务端口, 以实现用户的802.1x认证。802.1x认证技术的操作粒度为端口, 端口可以是一个物理端口, 也可以是一个逻辑端口, 这个端口在逻辑上又分为“可控端口” (Controlled Port) 与“不可控端口” (Uncontrolled Port) 。“不可控端口”始终处于双向连通状态, 主要用来传递EAP协议包, 可保证客户端始终可以向认证方发出或接受认证消息。“可控端口”只在客户端认证通过的情况下才打开, 一旦认证成功, 请求方就可以通过“可控端口”访问网络资源并获得相应的服务, 可控端口的两种状态具体如图1所示。

第三部分是认证服务器系统 (Authentication Server System) ——认证服务器是为认证系统提供认证服务的实体, 通常为RADIUS服务器, 该服务器可以存储有关用户的信息, 并能进行账户管理等等。三部分的结构[4]如图1所示。

2.3 802.1x协议的认证机制和流程

802.1 x协议具体的认证工作机制和流程如图2所示, 初始的认证可分为10个步骤的流程, 认证通过后的上网维持阶段还要有认证设备不断地定时发起重认证等5个步骤的流程, 这是为了保证用户和认证系统之间的链路处于激活状态, 而不因为用户端设备发生故障造成异常死机, 从而影响对用户计费的准确性, 该过程对于用户是透明的, 即用户无需再次输入用户名/密码即可完成。

在这样的机制和流程中, 不同的厂商以RADIUS服务器为核心, 开发了不同的认证计费管理系统, 如H3C的CAMS系统, 锐捷的SAMS管理系统等。这些系统主要是配合支持802.1x协议的交换机和相应的客户端程序, 完成对用户上网过程的认证、授权和计费, 并提供一个综合管理的平台。当用户通过认证后, 认证服务器会把用户的相关信息传递给认证系统将记录与管理用户的上网, 构建动态的访问控制列表, 进行不同级别的计费, 并实施与客户端进行一些交互等等, 从而实现认证、授权和管理功能。这为进一步增强其防御ARP欺骗攻击的功能提供了理论与实际的依据。

3 利用基于802.1x协议的认证系统实现防御ARP欺骗攻击的技术

802.1x认证系统的体系结构中的三部分是一个有机的整体, 缺一不能完成上网认证以及认证后的管理控制工作, 如客户端主要负责请求与响应来自认证系统的信息处理;RADIUS综合认证计费管理服务器接受NAS传递的认证信息, 通过ODBC、JDBC、API等接口把该用户的相关信息写入到后台数据库中, 然后对这些信息进行处理, 并向NAS传递处理后的认证信息, 如认证通过时则连通可控端口, 允许用户上网, 同时提示用户已用的流量与时间, 如若是认证失败时则发送认证失败的原因等等。鉴于此, 完全可以通过认证服务器与客户端之间的联动来实现防御ARP欺骗攻击的技术, 从而加强ARP欺骗攻击的控制和管理。具体实现的技术如下。

3.1 定期更新ARP列表, 增强用户主机的防御功能

RADIUS综合认证计费管理服务器在接受到客户端的上网认证请求后, 要进行一系列的处理, 当允许用户接入上网时, 一方面记录合法用户的IP和MAC地址并填入相关数据库的ARP列表, 另一方面通过NAS给客户端发送允许上网的命令, 下发记录在数据库中的对应该用户这一网段的正确的ARP列表内容, 特别是网关的IP和MAC地址。这样增加ARP防御功能后的认证机制与流程如图3所示, 其中第⑨步即增加下发ARP列表, 这些列表内容都是本网段上网机器的IP和MAC地址, 很容易从这些机器的上网认证过程中由RADIUS认证服务器获得。客户端接收到下发的ARP列表内容, 把它写入本机的ARP表项, 即图3所示的第⑩步, 执行ARP静态绑定。

再结合认证系统可以定期发起重认证的功能, 使每次重认证通过时, RADIUS服务器都向客户端下发新的正确的ARP列表内容, 不断维持客户端主机ARP表项的正确性, 如图3中第Ⅳ、Ⅴ两步, 从而在用户上网时, 能有效避免受到ARP欺骗攻击。

3.2 对ARP中毒的机器或故意进行ARP欺骗攻击的机器实施断网防御功能

因为发生ARP欺骗攻击时, 会产生大量的ARP广播报文, 为此在客户端软件中增加检测异常流量的模块, 使客户端在探测到大量的ARP广播时, 能进行判断并把它们当作异常流量, 然后解析这些报文, 提取发送方的IP与MAC地址, 最后在响应认证设备的重认证请求时, 把提取到的可能异常的IP与MAC地址附加在上传数据报文中发给RADIUS认证服务器, 即如图3所示的第Ⅱ步, 然后由认证服务器解析提取对应的IP与MAC地址, 再与原来数据库中的ARP表作比较, 发现不正常的客户端主机时, 如图3所示的第Ⅳ步便将其强制下线, 甚至加入黑名单进行一段时间的断网处罚, 直到他们进行杀毒或作出检查清理后再开放上网, 从而有效地把中毒机器或故意进行ARP欺骗攻击的机器从802.1x的认证交换机端口处予以阻断上网, 避免对正常机器的干扰, 起到积极的防御作用。

这样在基于802.1x协议的认证系统上实施防御ARP欺骗攻击技术, 就可以从两方面起到防御功能:一方面客户端主机不断地刷新并保持正确的ARP列表, 使本机有效防御ARP欺骗攻击;另一方面能有效防止中毒机器无休止地发送大量ARP广播报文或发起ARP欺骗攻击。

总之, 利用基于802.1x协议的认证系统来布置实施防御ARP欺骗攻击的技术, 能有效利用其三部分联动机制, 借助系统的管理功能以及客户端的检测机制, 积极地通过接入交换机进行ARP对应表项的上传与下达, 在整个系统中有效防御ARP欺骗攻击。

参考文献

[1]陈英, 马洪涛.局域网内ARP协议攻击及解决办法[J].中国安全科学学报, 2007, 17 (7) :126-131.

[2]郭丽.基于ARP欺骗的交换网络监听技术分析与研究[D].曲阜:曲阜师范大学, 2006.

[3]LAN/MAN Standards Committee of theIEEE Computer Society.IEEEStd 802.1X-2001.Port-Based Network Access Control[S].New York.IEEE-SA Standards Board, 2001.

[4]董贞良, 吕述望, 王昭顺.基于802.1X的内网安全管理系统认证模块设计[J].计算机工程, 2007, 33 (12) :193-195.

[5]于承斌.对基于802.1x协议的认证机制及缺陷的研究[J].信息技术, 2006, 180 (11) :94-96.

802.1X技术 篇2

一、首先配置ACS服务器端

1.在Interface Configuration下选择RADIUS(IETF)

2.在[064]Tunnel-Type, [065]Tunnel-Medium-Type, [081]Tunnel-Private-Group-ID前打钩，启用这三个RADIUS属性

3.进入Group Setup中选择0:Default Group,点击Edit Settings

4.下拉到IETF RADIUS Attributes

5.将前面配置的三个RADIUS属性配置为如图所示，注意，第二个Tag的值要改成0,代表这个Tag不生效

[064]Tunnel-Type的TAG1的值为“VLAN”

[065]Tunnel-Medium-Type的TAG1的值为“802”

[081]Tunnel-Private-Group-ID的值为你要分配的进行用户认证的VLAN name

注意：如果Tunnel-Private-Group-ID的值，与交换机上进行认证的接口的VLAN name不相同，那么授权(authorized)将会不成功

6.最后在Network Configuration中添加AAA客户端，指定交换机的IP地址，Authenticate Using选择RADIUS(IETF)

二、交换机dot1x的配置

switch#conf t

switch(config)# aaa new-model

switch(config)# radius-server host 192.168.10.2

switch(config)# radius-server key cisco

switch(config)# aaa authentication dot1x default group radius

switch(config)# aaa authorization network default group radius

switch(config)# dot1x system-auth-control 在交换机上启用的dot1x

switch(config)#vlan 2

switch(config-vlan)#name VLAN_JWY 其实这个名字可有可无

switch(config)# interface Vlan1 vlan1到ACS可达

switch(config -if)#ip address 10.1.1.101 255.255.255.0

switch(config -if)#interface fa0/20

switch(config -if)#switchport mode access

switch(config-if)#switchport access vlan 2

switch(config -if)#dot1x port-control auto 这个接口要进行dot1x认证

三、最后对客户端进行验证

1.点击网卡属性，修改身份验证选项里的验证方法为MD5-质询

注意：如果网卡属性里没有身份验证，则必须开启Wired AutoConfig服务

802.1X技术 篇3

根据江苏电力公司桌面标准化管控推广实施要求，结合无锡供电公司自身运行管理实际，无锡供电公司选择在辖属某生产基地试点实施了网络接入认证工作的具体实施，认证技术主要是基于IEEE802.1X技术，采用国网桌面标准化管控系统的自带功能，使用windows自带radius认证服务器软件进行认证。2.802.1X认证技术基本原理

IEEE 802.1x是IEEE为了解决基于端口的接入控制而定义的标准, 被称为基于端口的访问控制协议 (Port basenetwork access control protocol) [1]。

802.1x是基于Client/Server的访问控制和认证协议, 它应用于交换式以太网环境时, 要求客户和与其直接相连的设备都支持802.1x；而应用于共享式以太网环境时, 还应对用户名、密码等关键信息进行加密传输。802.1x的体系结构包括三部分:客户端SupplicanSystem、认证者系统Authenticator System、认证服务系统Authentication Sever System。

客户端是位于局域网段一端的一个实体, 一般为一个用户终端设备, 用户通过启动客户端软件发起802.1x认证。认证系统通常指那些支持802.1协议的网络设备 (如交换机) , 其对应不同用户的端口被分为两个逻辑端口：受控端口和非受控端口。非受控端口用于传递EAPOL协议帧, 它始终处于双向连通状态, 以保证客户端始终能够发出认证请求或接受认证服务信息；受控端口只有在认证通过后才打开, 传送正常网络数据。认证服务器系统的主要功能是通过检验客户端发送来的用户名和口令等身份标识来判别用户是否有权使用网络系统提供的网络服务, 并根据认证结果完成对认证系统端口的管理。

基本的认证过程为:客户端通过内部的PAE (端口访问实体) 发出认证请求，认证系统PAE将用户信息和请求参数等作为一系列请求消息流发送至认证服务器。认证服务器收到消息后，首先由认证服务器PAE处理相关的连接建立请求，再由认证服务器查询控制信息数据库，完成用户身份鉴定，并根据授权规则对通过认证的用户进行授权。

3. 基础信息

该生产基地是无锡供电公司最主要的集中办公基地之一，多个公司主要单位部门在此办公，桌面台帐使用数在几百台左右，部门级服务器几十台左右、还有其他一些网络设备，如硬盘录像机、门禁控制器、网络打印机和某些自动化设备。部分办公室因计算机数量超出网络端口数量，安装有集线器HUB设备，主要是Dlink产品（无法远程管理）。

4. 实施过程

4.1. 实施准备

4.1.1. 统计不能进行认证的设备

两类情况：a.由于像网络打印机、硬盘录像机、门禁控制器等设备无法安装国网桌面管控客户端，因此对其所连接的交换机端口需要进行认证排除；b.还有像业务应用服务器，经技术测试因为可能同业务应用有软件冲突，且不是桌面终端，也确定无需认证，对上述设备所连接的交换机端口也需要进行认证排除。

可以按照如下表格对上述两类设备进行统计：不使用网络接入认证的设备清单

4.1.2. 对交换机的信息进行统计

按照如下表格对交换机的信息进行统计；该基地网络接入认证交换机设备清单

4.1.3. 准备支持802.1X功能的IOS

根据资料显示和多次同国网信通公司技术人员的沟通，同时经实际测试发现，

以上三个版本的IOS均能支持802.1X功能；

4.1.4. 交换机的配置

每一台交换机都需要如下配置方能够支持802.1x认证，具体代码如下：

全局配置：

4.1.5. 桌面管控软件安装

每一台要求接入网络的计算机必须安装国网标准化客户端软件而且正确注册，才能顺利接入网络。无锡公司重点对该生产基地用户桌面进行逐一认证和清查。

4.1.6. 小范围的测试

在方案实施前，进行了小范围的测试，测试了某部门的一台3550交换机（连了6台计算机，均安装了客户端并进行了注册），对交换机的IOS进行了更新和相应配置，认证实施后，桌面均能通过认证且正常上网，没有安装客户端的计算机接入网络后无法正常使用网络。

4.2. 升级交换机IOS

判断是否需要升级IOS的交换机，只要远程登陆到交换机后，如果交换机上能够支持上节"交换机配置"中的命令则不需要升级IOS，否则要需要升级；根据这个判断准则，我们检查了所有交换机，发现3台2950交换机、1台3550交换机和1台3560交换机需要升级，并在实施前利用晚间时间对其进行升级。

4.3. 交换机配置

升级完成后，我们在实施过程中对交换机进行了配置，根据实施前收集的统计资料仅对相应端口配置了802.1x认证，对连接了网络打印机、服务器等需要排除认证的端口未进行配置。

4.4. 实施后的情况

按照如上步骤进行实施，实施前该基地个桌面已经成功安装注册标准化管控系统客户端。实施过程主要包括上述的交换机配置，用时70分钟左右，大部分桌面计算机在实施后都经历了约十几秒的重新认证时间，随即能通过认证重新使用网络，但还是出现了7台桌面不能上网的情况，虽然安装了国网桌面管控客户端软件，但是在实施后任务栏中没有了图标，因此无法上网（经过会同省公司、信通公司联合技术分析，初步认为这些客户端没有接受SEP服务器中设置管控系统为例外的策略，使得SEP管控系统进程作为病毒去除了）。

4.5. 不能上网情况的解决办法

对于上述不能上网的情况，仅需要在接入交换机上关闭802.1x功能（在全局模式下输入no dot1x system-auth-control命令），不能上网的计算机就能够重新上网，及时更新sep防病毒软件的病毒库，然后再安装桌面客户端软件，接入交换机上启用802.1x功能后，原来不能上网的计算机就能够通过认证正常使用网络。

5. 问题和建议

5.1. cisco交换机接入认证存在的问题

目前无锡供电公司某生产基地使用的全部是cisco交换机，cisco交换机在支持802.1x协议上有两种模式，一种是单用户模式，一种是多用户模式，两种模式的特点具体说明如下：1）单用户模式：cisco交换机默认端口下启用该模式，如果启用了该模式，当端口下级联了hub，假设hub下连接了6个用户，则其中只要一个用户认证通过可以使用网络，其他用户则不能使用网络；由于该生产基地桌面众多，区域计量中心计算机比例高，布线较老，多出办公室人在使用hub，无法做到交换机端口与桌面一一对应，如启用单用户模式则将影响很多桌面的正常使用。2）多用户模式：如果启用了该模式，当端口下级联了hub，假设hub下连接了6个用户，则其中只要一个用户认证通过可以使用网络，其他用户不需认证也可以使用网络。目前采用这一模式，这一模式的不足在于无法有效管控用户私接hub，关于这一点没有对用户进行明确告知。由于该生产基地桌面众多，布线较老，多出办公室人在使用hub，无法做到交换机端口与桌面一一对应，如启用单用户模式则将影响很多桌面的正常使用。

5.2. 核心网络问题

公司目前核心交换机6509 CPU利用率增加明显，最高可达50%，主要是如下图一个进程的利用率增加了，厂商工程师初步解释可能与大量安装桌面管控软件和使用网络认证接入功能有关。

6. 结束语

无锡供电公司在该生产基地实施网络接入认证，结合国网桌面管控终端软件的安装，较好的实现了网络准入，有利于现有信息网络的可控管理，无锡供电公司下一步准备在此基础上在全公司范围内继续实施网络接入认证。

摘要：实现对网络认证接入安全控制一直以来都是网络管理的一个重点, 本文主要探讨了目前针对网络接入认证技术中较为流行的802.1技术, 根据无锡供电公司网络结构和IP接入的实际情况, 结合江苏省电力公司桌面标准化管控推广应用试点, 提出了应用于实际的技术方案, 并给出了方案实施的主要过程和实施效果以及相关建议。

关键词：802.1X,桌面管控

参考文献

[1]陈玲, 王斐, 夏暄.《基于IEEE 802.1x和EAP-TLS的无线局域网认证和密钥管理的研究与实现》[J].计算机应用与软件, 2008, 25 (11) :265-267.

[2]王昌旭, 周振柳, 许榕生.《网络接入安全控制研究》[J].计算机应用与软件, 2008, 25 (11) :123-125.

[3]孟敏, 周临震.《基于RADIUS协议的校园网AAA系统研究》[J].盐城工学院学报 (自然科学版) , 2008, 21 (12) :17-21.

[4]龙昱瑄.《基于活动目录的802.1x认证接入技术》[J].计算机工程与科学, 2008, 30 (5) :26-28.

[5]范晓宁, 刘伟科, 林泽东.《基于802.1x的校园网认证计费系统的设计与实现》[J].计算机安全, 2007, 11:35-37.

802.1X技术 篇4

关键词：802.1x协议,中间人攻击,DoS攻击,认证,网络安全

0引言

IEEE802.1x协议是以 太网中广 泛应用的 协议,它是一种端口接入控制机制,在以太网中主要通过它来解决以太网接入层安全和认证方面的问题。其原理是控制用户的以太网端口,使得只有通过系统认证并授权的用户才有资格继续访问网络中的各业务[1]。针对现有的协议设计并未完全解决中间人攻击以及DoS(拒绝服务)攻击等问题,本文提出一套简捷安 全的解决 方案,该方案能 有效地解 决802.1x协议所存在的安全缺陷。

1802.1x协议安全性分析

1.1中间人攻击

在IEEE802.1x协议认证中,申请者和认证者所处的状态是不平等的[2],即只有当会话认证申请成功之后认证者的受控端口才会被打开,而申请者的端口却自始至终都处于已认证的状态。也就是说,申请者与认证者之间一直处于单向认证模式,在这种模式下申请者很容易受到中间人攻击。攻击者可以假冒服务器给申请者发送EAP-Success数据包,而当申请者收到EAP-Success数据包时会无条件地转到认证完成状态,把攻击者当作设备端进行传输,这样攻击者就能轻松截获设备端所转发的数据,甚至能任意修改数据而不被察觉。

1.2DoS攻击

DoS攻击又被称为“拒绝服务攻击”,这种攻击本质上就是系统服务器拒绝向申请者提供相关的访问服务,即攻击者以破坏连接过程的手段致使认证失效,从而使得系统服务器无法为合法用户提供服务。在802.lx协议认证的过程中,系统服务器DoS攻击的实现形式有以下两种:

(1)申请者如果想要断开连接,首先要向认证系统发送EAP-Logoff报文,这时一旦攻击者盗用了申请者的MAC(媒体访问控制)地址信息,并假冒申请者向认证系统发送相应的EAP-Logoff数据包,就会导致认证系统收到错误信息,并错误地将相应受控端口状态转为未授权状态,进而终止向用户提供相应的资源服务,从而实现DoS攻击[3]。

(2)系统在进行认证的过程中,如果客户的认证没有通过,认证方会 向相关的 客户发送EAPFailure数据包,提示用户认证失败了,在这种情况下申请者的状态将会转换为HELD(等待)状态,在等待了一段缺省时间后,客户端才会尝试同认证方进行第二次连接。这个时候如果攻击者假冒认证方,每隔一段缺省时间向相关用户发送一个EAPFailure数据包,通过这种方式攻击者就可以使客户端的用户始终无 法成功认 证,从而实现 了DoS攻击。

中间人攻击以及DoS攻击都可能给网络安全带来巨大威胁。下面分别针对这两种攻击提出改进思想。

2改进方法

2.1对避免中间人攻击的方法的改进

解决中间人攻击这个问题的方法的关键就是:当收到认证服务器发来的认证结果报文时,首先对服务器的身份进行验证,然后再根据验证结果处理认证结果。简要算法如下:(1)在认证者A和服务器S上均本地保存同一个加密密钥key。(2)认证者A向服务器S发送认证报文时,附带生成一个随机数R1,并将R1在本地保存。(3)服务器端将收到的R1用加密算法F和加密密钥key加密,得到数据R2,并将R2随认证结果发送给申请者。 (4)认证者收到认证服务器发来的认证结果报文后,将本地保存的R1使用同样的加密算法F和加密密钥key加密,得到R3,比较R3和R2,若两者相同,则处理认证结果,否则将不予认证。

通过上述方案的改进,认证者与服务器的可靠认证得到了保障,虽然相对于EAP-MD5(可扩展认证协议)来说增加了认证复杂度,但却能够有效地加强对认证服务器的可信度,提高认证方法的可靠性,解决在认证过程中存在的中间人攻击问题。

2.1对避免DoS攻击的方法的改进

解决中间人攻击时,主要考虑的是认证者与服务器之间的认证。而解决DoS攻击时,需要处理的则主要是认证者与申请者之间存在的安全缺陷。由于在标准的EAP-Request/Identity消息中,TypeData域是空的[4],所以本设计方案对协议的改进主要是在EAPoL数据帧EAP-Response/Identity中的Type-Data域中添加以下两个信息:一个是认证设备的MAC地址;另一个是认证设备与申请者之间的请求连接时间FirstTime(时间戳)。通过这两个信息来实现数据帧的真实性保护以及合法性。改进后的EAPoL-Packet报文如图1所示。

3802.1x协议的安全性设计

3.1改进方案总体设计

上一节对中间人攻击和DoS攻击分别提出了改进思想。图2所示为考虑两种改进方案后设计的整体实现认 证工作机 制。相比于 传统的认 证流程[5],改进主要体现在以下几个步骤中:

在步骤(2)中,认证者向申请者发送EAP-Request-Identity报文时需 携带MACAddress和FirstTime。同时,认证者和申请者都分别将MACAddress和FirstTime储存在链表中。

在步骤(4)中,认证者向服务器发送RADIUSAccess-Request时,需要携带认证者生成的随机数R1。

在步骤(9)中,服务器需要回复一个由R1加密生成的数R2给认证者作为之后的判断。

在步骤(11)中,需判断MACAddress和FirstTime是否与认证者的表相同,若相同,则关闭端口。

本设计方案对相关帧结构的改进,完全可以保证在整个认证过程中认证方同申请者之间重要信息传递的真实性。同时,在整个认证过程中没有添加新的步骤,整体与原有系统认证过程完全相同,只是对相关报文简单添加了一些信息,在实现对信息帧真实性检验的同时,也保证了认证端同申请端的双向认证过程。相比于其他方案,本方案不仅节省了时间,提高了效率,而且实现过程也非常简单。

3.2802.1x认证模块的实现

802.1x认证模块以及平台的操作过程主要是在基于端口提供802.1x服务时,设置相关端口的802.1x服务使能状态、逻辑端口的产生模式、端口的控制方向和控制状态;添加或删除逻辑端口有关的数据结构、获取底层流量统计信息及设置速率限制的参数等。整个认证模块的软件总体结构如图3所示。该结构包括了底层接口模块、EAPoL状态机模块、EAPoL包解析模块、高层接口模块、Backend验证模块、网管模块以及身份认证模块。

本解决方案的改进主要体现在身份认证模块。简要设计 如下:该模块分 为随机数 验证子模 块、MAC地址时间戳 验证子模 块和加/解密子模 块。随机数验证模块主要负责检查并存储随机数,如果认证者和服务器的随机数相等则表明合法,继续认证,否则丢弃该帧,并把随机数存储在加/解密模块中。加/解密模块的主要职责是对帧的加/解密过程和对密钥进行管理。而MAC地址时间戳验证模块主要管理储存校验MAC地址信息和时间戳信息。

当系统收到EAP-Start帧时,系统的时间触发器会将当前时刻存放到存储表中。而认证者接收到申请者发送的消息后,也会把该信息的时间戳信息保存在相应的信息表中。

当收到EAP-Logoff帧时,身份分析模块会验证Type-Data域所携带的MAC地址信息以及时间戳信息是否正确,这个过程首先需要在连接信息链表中进行查找,若能够查找到,则该信息是合法的,断开连接;若没有查找到相关信息,则返回NULL值,表示系统正在遭到攻击,丢弃该帧。

其实现的部分代码如下:

在认证方模块的设计实现中,针对改进方案设计了身份认证模块,分别增加了随机数验证模块、MAC地址时间戳验证模块和加/解密模块来完成相应的改进,使得系统更加安全、灵活。

4测试结果分析

根据上述理论分析,在以太网交换机上实现了改进后的802.1x协议。测试环境利用Testcenter模拟100个用户向服务器提出认证申请的情况。其中50名为合法用户,另50名为非法攻击用户。实验模拟50名非法用户通过向交换机发出EAP-logoff报文来发起攻击。改进方案对攻击的过滤比如图4所示。测试结果表明:50名合法用户全部认证成功,而50名非法攻击用户则在15~20s内被查出,交换机丢弃报文不予认证。

改进方案在认证流程和帧格式上有所改进,但也使得认证复杂度有所增加,图5所示为传统方案与改进方案的交换机CPU(中央处理器)利用率对比,结果显示,尽管与传统认证方案相比,本文提出的改进方案导致CPU利用率有所提高,但增长的幅度不是很明显。考虑到本文提出的方案能有效防御中间人攻击与DOS攻击,实验证明该方案是有效可行的。

5结束语

802.1x协议是基于端口的认证方式,它不仅可以实现细粒度的访问控制,同时还能实现在网络边缘拒绝非授权用户申请对网络资源的访问。但由于802.1x协议是单向认证,因此很容易遭到中间人攻击和DoS攻击。本文通过改进帧结构,提高了协议的安全性,解决了802.1x协议自身存在的缺陷。

参考文献

[1]童子方,李亦杰.基于802.1x协议解决校园网安全的探索[J].网络安全技术与应用,2011,(11):37-39.

[2]周贤伟,刘宁.IEEE 802.1x协议的认证机制及其改进[J].计算机应用,2006,(12):94-96.

[3]秦刘,智英建,贺磊,等.802.1x协议研究及其安全性分析[J].计算机工程,2007,(7):153-157.

[4]孔凡铮.IEEE 802_1x_EAP_TLS认证方式的研究与改进[D].河北:河北工程大学,2011.

802.1X技术 篇5

随着信息技术的飞速发展, 人们对网络通信的需求不断提高, 对Internet访问的持续性、移动性和适应性等方面取得很大进展, 近年来无线网络已经成为一种较为普及的网络访问方式, 并且在一些领域已经占据了主流的地位。这表明无线网络有着传统网络不能比拟的优势, 但是将无线网络接入传统的Internet中存在许多技术问题和安全问题。特别是随着基于802.11i的无线安全技术的成熟, WLAN的部署和应用正在全面铺开。在WLAN安全领域的Wi-Fi联盟制订了一整套的安全实现框架以保证各厂商的设备可以实现互通。在Wi-Fi安全框架中, 802.1X协议被广泛使用。

1 802.1x的体系

802.1x协议是由 (美) 电气与电子工程师协会提出, 是标准化的一个符合IEEE 802协议集的局域网接入控制协议, 其全称为基于端口的访问控制协议。它能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段, 达到了接受合法用户接入, 保护网络安全的目的。802.1x协议起源于802.11协议, 后者是标准的无线局域网协议, 802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。

1.1 802.1x体系构成

802.1X协议的体系结构包括三个重要的部分:客户端、论证者系统、论证服务器 (图1) 。

(1) 客户端系统一般为一个用户终端系统, 该终端系统通常要安装一个客户端软件, 用户通过启动这个客户端软件来发起802.1X协议的论证过程。为支持基于端口的接入控制, 客户端系统必须支持EAPOL (Extensible Authentication Protocol Over LAN) 协议。

(2) 论证者系统通常为支持802.1X协议的网络设备。该设备使用端口的概念来对用户进行接入论证 (端口可以是物理端口, 也可以是用户设备的MAC地址、VLAN、IP等) , 具有两个逻辑端口:受控 (controlled port) 端口和不受控端口 (uncontrolled Port) , 不受控端口始终处于双向连通状态, 主要用来传递EAPOL协议帧, 可保证客户端始终可以发出或接受论证。受控端口只有在论证通过的状态下才打开, 用于传递网络资源和服务。受控端口要配置为双向受控、仅输入受控两种方式, 以适应不同的应用环境。如果用户未通过论证, 则受控端口处于未论证状态, 用户无法访问论证系统提供的服务。

(3) 论证服务器通常为RADUS (Remote Authentication Dial In User Service) 服务器, 该服务器可以存储有关用户的信息, 比如所属的VLAN、优先级、用户的访问控制表等等。当用户通过论证后, 论证服务器会把用户的相关信息传递给论证系统, 由论证系统构建动态的访问控制列表, 用户的后续流量就接受上述参数的监管。论证服务器和RADUS服务器之间通过EAP协议进行通信。

1.2 802.1x协议的特点

(1) 802.1x协议为二层协议, 不需要到达三层, 因此对设备的整体性能要求不高, 可以减少建网成本;

(2) 可以实现组播, 解决了其他认证协议广播的问题, 对组播业务的支持性好;

(3) 业务报文和认证报文分离, 只要通过认证协议不会在对业务报文做处理因此提高了认证效率。

2 受保护的可扩展身份验证协议 (PEAP) 认证过程

2.1 PEAP协议介绍

受保护的可扩展身份验证协议 (PEAP) 认证, 是一种基于安全密码的认证协议, 可以实现简单而又安全的身份验证功能。虽然PEAP也可以用于有线网络环境, 但是一般来说, 主要用于无线局域网环境的网络接入保护 (NAP) 甚至Vista系统中的VPN认证。市面上还有一些验证协议可以实现与PEAP类似的功能, 比如EAP-TLS认证, 但是由于PEAP与Windows操作系统的良好协调性, 以及可以通过Windows组策略进行管理的特性, 使得PEAP在部署时极其简单。

PEAP协议认证过程分为两个阶段:①TLS握手阶段;②在TLS握手所建立的隧道内进行PEAP认证。PEAP优势就在于用户的认证信息是在TLS握手后所建立的隧道内完成认证, 这样就可以不会泄露任何的用户名和密码信息, 如图2。

2.2 PEAP认证流程

2.2.1 安装验证证书

证书主要用来进行终端和网络的相互认证。Radius服务器首先向CA证书颁发机构申请服务器证书, 用来代表Radius服务器的合法性。客户端向CA证书颁发机构下载CA根证书, 用来验证Radius服务器下发的证书是否合法 (一般情况下, 如果终端不需要对网络进行认证的情况下, 根证书可以不用下载和安装) 。

其实, PEAP的认证的第一阶段与EAP_Tl S (TLS也是无线网络安全认证方法的一种) 的认证过程极为相似, 它们的不同之处在于EAP_Tl S认证必须需要客户端提供证书, 而PEAP对客户端的证书是可选的。在PEAP实际运用过程中直接进行TLS隧道加密, 而不需要安装客户端证书, 同时也不需要验证客户端的证书。但是不论是PEAP认证还是TLS认证方法都需要服务器端的证书。

在隧道建立后, 进行第二阶段的完整的EAP认证, 认证成功后, 服务器和客户端再相互发送一个EAP-Type=Extensions的结果TLV, 以确认认证结果, 这两个报文也是在TLS隧道内部传送的。最后, 服务器拆除TLS隧道, 发送一个明文的EAP Success报文通知客户端认证成功。

2.2.2 无线接入

客户端与接入点 (AP) 直接建立连接。

无线接入点即无线AP (Access Point) 它是用于无线网络的无线交换机, 也是无线网络的核心。无线AP (无线访问节点、会话点或存取桥接器) 是一个包含很广的名称, 它不仅包含单纯性无线接入点 (无线AP) , 也同样是无线路由器 (含无线网关、无线网桥) 等类设备的统称。

2.2.3 认证初始化

(1) Client向AP设备发送一个EAPo L-Start报文, 开始802.1x接入的开始。

(2) AP向客户端发送EAP-Request/Identity报文, 要求客户端将用户信息送上来。

(3) Client回应一个EAP-Response/Identity给AP的请求, 其中包括用户的网络标识。用户ID, 对于EAP-MS-CHAP-V2认证方式的用户ID是由用户在客户端手动输入或者配置的。用户ID通常的格式是“用户名@域”, 其中用户名是运营商提供给用户的身份ID, 域是运营商的域名 (如“163.com”) 。

(4) 将AP以EAP Over RADIUS的报文格式将EAP-Response/Identity发送给认证服务器Radius, 并且有相关的RA-DIUS的属性。

(5) Radius收到客户端发来的EAP-Response/Identity, 根据配置确定使用E A P-P E A P认证, 并向AP发送R A D I U S-Access-Challenge报文, 里面含有Radius发送给客户端的EAP-Request/PEAP/Start的报文, 表示希望开始进行EAP-PEAP的认证。

(6) 将AP设备将EAP-Request/PEAP/Start发送给认证客户端。

2.2.4 建立TLS通道

(1) Client收到EAP-Request/PEAP/Start报文后, 产生一个随机数、客户端支持的加密算法列表、TLS协议版本、会话ID、以及压缩方法 (目前均为NULL) , 封装在EAP-Response/Client Hello报文中发送给AP设备。

(2) AP以EAP Over RADIUS的报文格式将EAP-Response/Client Hello发送给认证服务器Radius Server, 并且有相关的RADIUS的属性。

(3) 如果Radius收到Client发来的Client Hello报文后, 会从Client的Hello报文的加密算法列表中选择自己支持的一组加密算法+Server产生的随机数+Server证书 (包含服务器的名称和密钥) +证书请求+Server_Hello_Done属性形成一个Server Hello报文封装在Access-Challenge报文中, 发送给Client.

(4) AP把Radius报文中的EAP域提取, 封装成EAP-request报文发送给Client。

注:由于证书比较大, 一个报文是无法承载的, 所以在实际流程中第10, 11完成后, 后面还有3个续传的IP分片报文, 目的是把Server证书发送到客户端。

(5) Client收到报文后, 进行验证Server的证书是否合法 (使用从CA证书颁发机构获取的根证书进行验证, 主要验证证书时间是否合法, 名称是否合法) , 即对网络进行认证, 从而可以保证Server的合法。如果合法则提取Server证书中的公钥, 同时产生一个随机密码串pre-master-secret, 并使用服务器的公钥对其进行加密, 最后将加密的信息ClientKeyExchange+客户端的证书 (如果没有证书, 可以把属性置为0) +TLS finished属性封装成EAP-Response/TLS OK报文发送给认证点AP。如果client没有安装证书, 则不会对Server证书的合法性进行认证, 即不能对网络进行认证。

(6) AP以EAP Over RADIUS的报文格式将EAP-Response/TLS OK发送给认证服务器Radius Server, 并且带上相关的RADIUS的属性。

(7) Radius收到客户端发了的报文后, 用自己的证书对应的私钥对ClientKeyExchange进行解密, 从而获取到premaster-secret, 然后将pre-master-secret进行运算处理, 加上Client和Server产生的随机数, 生成加密密钥、加密初始化向量和HMAC的密钥, 这时双方已经安全的协商出一套加密办法了, 至此TLS通道已经建立成功, 以后的认证过程将使用协商出的密钥进行加密和校验。Radius Server借助HMAC的密钥, 对要在TLS通道内进行认证的消息做安全的摘要处理, 然后和认证消息放到一起。借助加密密钥, 加密初始化向量加密上面的消息, 封装在Access-Challenge报文中, 发送给Client。

在隧道建立后, 进行第二阶段的完整的EAP认证。

2.2.5 认证过程

(1) AP把Radius报文中的EAP域提取, 封装成EAP-request报文发送给Client。

(2) 客户端收到Radius server发来报文后, 用服务器相同的方法生成加密密钥, 加密初始化向量和H M A C的密钥, 并用相应的密钥及其方法对报文进行解密和校验, 然后产生认证回应报文, 用密钥进行加密和校验, 最后封装成EAP-response报文发送给AP, AP以EAP Over RADIUS的报文格式将EAP-Response发送给认证服务器Radius Server, 并且带上相关的RADIUS的属性, 这样反复进行交互, 直到认证完成 (注:对于不同的认证方法交互流程不一致, 通常的认证方法为:PEAP-MSCHAPV2或者GTC (IBM LDAP支持的, 有关于PEAP-GTC的过程就是在认证的时候按照GTC/OTP的过程在PEAP添加的一个过程罢了, 再注:在传送完密码后要传一个长度为1的数据为0的包过去后才会得到SUCESS连通网络) , 下面由单独认证流程, 如果是SIM认证, 还需要跟HLR/AUC设备进行数据交互, 并且使用AS作为认证服务器) , 在认证过程中, Radius Server会下发认证后用于生成空口数据加密密钥 (包括单播、组播密钥) 的PMK给Client。

(3) 服务器认证客户端成功, 会发送Access-Accept报文给AP, 报文中包含了认证服务器所提供的MPPE属性。

(4) AP收到RADIUS-Access-Accept报文, 会提取MPPE属性中的密钥做为W P A加密用的P M K, 并且会发送E A P-success报文给客户端。

3 802.1x无线网络认证应用实例—PEAP方法

某单位802.1x认证系统采用EAP—PEAP协议, 采用Windows 2003 Server内置的证书颁发机构, 网络结构图如图3所示。

4 结论

在网络设备路由器领域中, PEAP协议拥有了相当规模的市场占有率。同时, 由于LEAP协议的安全性较差, 不少用户也选择了使用PEAP进行用户验证, 尤其是在企业无线局域网市场, PEAP协议的应用比例更是远远高出其他认证协议。一些用户开始使用新的EAP-FAST协议, 虽然EAP-FAST协议的安全性稍微强一些, 但是EAP-FAST协议的部署相当繁琐, 对于普通的用户不太适应。实践证明PEAP实现了最佳的灵活性、兼容性、稳定性以及更方便部署的特点。

参考文献

[1]杨国华.802.11无线局域网标准与安全计算机工程与设计.2004.

[2]黄锡伟.宽带通信网络.人民邮电出版社.1998.

[3]孟学军.802.1x认证管理方式及实现.现代计算机.2005.

[4]刘素平, 唐鹤全, 顾爱萍.利用802.1x加强校园网络安全管理.信息技术.2007.

[5]赵志新, 祝跃飞, 梁立明.无线局域网隧道认证协议PEAP的分析与改进.信息工程大学学报.2005.

[6]张鸿.宽带城域网的一种新型认证技术802.1x.铁道通信信号.2004.

[7]郑晓蕾, 曹秀英.802.1x:基于端口的网络接入控制标准.通信技术.2002.

802.1X技术 篇6

关键词：校园网,ARP欺骗,802.1x认证

校园网是数字化校园建设的基础,是教学、办公自动化和信息化的依托,随着数字化校园建设的不断发展,广大师生越来越依赖于校园网内日益丰富的资源和应用。由于校园网自身的一些特点和广大师生网络安全意识的淡薄,我们在享受校园网带来方便的同时,也使校园网面临着各种安全隐患。ARP欺骗便是其中非常典型的一种,ARP病毒大规模爆发时,其造成的影响和危害都比较严重。它利用了ARP协议的天然缺陷,因此单纯靠网络安全软硬件产品很难防御,这就需要校园网络管理人员综合利用科学有效的网络管理制度配合最新的网络安全软硬件产品和网络技术,形成立体的网络安全体系,做到预防为主,防治结合。

1 ARP协议及欺骗原理

1.1 ARP协议

地址解析协议(Address Resolution Protocol),简称ARP协议,负责将某个IP地址解析成对应的MAC地址,主要应用在以太网中,但也能在ATM和FDDI网络中使用。在OSI网络模型中,网络被分为七层,IP地址位于OSI七层模型的第三层,MAC地址位于第二层,OSI网络模型中的各层不能直接打交道,只能通过层之间的接口来相互通讯。局域网中数据通讯是基于MAC地址进行寻址的,而不是IP地址,数据帧如果要到达目的地,就必须知道对方的MAC地址。因此,为保证通讯的顺利进行,在仅知道目标主机IP地址的情况下,需要使用ARP协议来实现将目标主机的IP地址解析为对应的MAC地址。

每台安装有TCP/IP协议的主机都有一个ARP缓存表,表里记录了一系列IP、MAC地址对,它描述了其它主机IP地址与MAC地址的对应关系。当主机A往主机B发送数据时,主机A会查找本机的ARP缓存表,如果存在主机B的IP地址,根据ARP缓存表中的对应关系,直接返回主机B的MAC地址,把主机B的MAC地址写入数据帧;如果不存在主机B的IP地址,主机A会广播一个ARP请求包,ARP请求包中包含主机B的IP地址,网络上的所有主机都会接受这个请求,但只有主机B收到这个ARP请求包时,才向主机A发送包含自身MAC地址信息的ARP应答包。这样,主机A就获取了主机B的IP地址与MAC地址对应关系,并以此更新本机ARP缓存表,主机A就可以向主机B发送数据了。ARP缓存表采用了老化机制,是有生存期的,生存期结束后,将再次重复以上过程,这样大大减少ARP缓存表的长度,加快查询速度。以上就是ARP协议的原理,由于其没有相应的安全验证机制,也就使得ARP欺骗产生了。

1.2 ARP欺骗原理

ARP协议是个早期的网络协议,RFC826在1980年就出版了。早期的互联网在科研、大学内部使用,采取的是信任模式,追求功能、速度,没考虑网络安全。ARP协议缺乏相应的安全验证机制,主机会接受任何向它发送的ARP应答报文,并根据应答报文中的IP地址和MAC地址更新本地的ARP缓存表,而不管是否发送过相应的ARP请求。因此,可以用虚假ARP应答包来欺骗主机,使主机获得不真实的IP地址与MAC地址对应关系。

假设局域网中有三台主机,分别为主机A、主机B、主机C。它们的IP地址分别为192.168.200.11、192.168.200.22、192.168.200.33;MAC地址分别为AD-AD-AD-AD-AD-AD、BD-BD-BD-BD-BD-BD、CD-CD-CD-CD-CD-CD。

在ARP欺骗攻击前,A和B之间能够正常通讯。随后,主机A收到恶意主机C伪造的ARP应答报文,伪造的ARP应答报文中IP地址为主机B的IP地址192.168.200.22,MAC地址为主机C的MAC地址CD-CD-CD-CD-CD-CD,主机A根据伪造的ARP应答报文更新ARP缓存表。此时,主机A的ARP缓存表中主机B的IP地址对应于主机C的MAC地址,由于局域网的数据通信是根据MAC地址进行寻址,主机C通过ARP欺骗就获取了主机A原本发送给主机B的数据,这是一个简单的ARP欺编。如果主机B是网关或路由器,主机C通过ARP欺骗,将导致主机A找不到正确的网关而使网络中断。ARP欺骗攻击时,攻击者持续不断地发出伪造的ARP应答报文,网络中产生大量的ARP数据包,导致网络阻塞,严重时将导致局部网络瘫痪。

2 ARP欺骗防御措施

针对ARP协议及ARP欺骗原理,大家提出了多种ARP欺骗防御措施。例如,安装ARP防火墙;在接入交换机上做IP地址、MAC地址与交换机端口绑定;划分足够小的VLAN,在小规模的网络中可以考虑将每个终端设备划入不同VLAN;使用DHCP Snooping技术。实际操作过程中,可以根据具体的网络情况和预算采取不同的措施或它们的组合。我们主要采用了基于802.1x协议认证对ARP的欺骗进行防御,并综合了上述划分VLAN等几种防御措施,形成一个立体的ARP欺骗防御体系。网络拓扑示意图如图1所示。

如图1所示,我们主要采用神州数码DCS-3950系列交换机的802.1x认证功能配合神州数码DCBI-3000计费管理系统实现校园网认证接入管理。在管理上,严格要求校园内每台主机要接入校园网前必须向网络管理中心上报主机的MAC地址,申请认证账号及密码。网络管理中心开通账号、分配相应的静态IP并与其上报的MAC地址进行绑定。主机使用网络中心授权的账号密码通过802.1x拨号认证才能接入校园网,在此基础上通过神州数码DCBA认证才能访问因特网。基于802.1x认证实现网络接入,不仅能对ARP欺骗攻击进行有效的防御并且防止了静态IP分配策略中IP冲突问题。

3 结束语

总之,校园网的安全建设是一项长期而复杂的工作,它对网络设备、网络技术和相关管理制度都有着非常高的要求,只有在网络设备、网络技术和网络管理制度的综合保证下,才能在最大程度上保证校园网的安全。由于ARP协议的安全缺陷来源于自身设计上的不足,目前针对ARP欺骗,我们基本上只能立足于防御及限制ARP欺骗的影响范围,ARP病毒攻击根本彻底的解决只能寄望于协议应用的早日普及。

参考文献

[1]夏海静,刘光伟.ARP攻击防范及解决方案分析[J].福建电脑,2011(1).

[2]孟迪.基于802.1x协议的校园网ARP欺骗防御[J].辽宁科技大学学报,2010(12).

[3]闫实,刘占波,冯修猛.高校校园网ARP病毒欺骗原理及防御方法[J].网络安全技术与应用,2010(6).

[4]陈鑫.论校园网管理中ARP欺骗及攻击和安全防范措施[J].现代商贸工业,2010(9).

802.1X技术 篇7

随着信息化建设不断深入、校园资源不断丰富,校园网在师生的工作学习中发挥着重要作用的同时,也面临新的问题。原来的固定IP分配策略、MAC与IP绑定机制,已经无法满足教师移动教学、科研和学生移动学习、娱乐的需求。同时为了防止非法授权终端接入校园网而影响学校网络设备及终端的正常运行,我们需要采用新的准入控制技术。根据上述网络需求,我们提出了基于802.1x与DHCP的准入认证方式。该方式利用核心交换机的DHCP服务分配IP地址池来实现动态IP分配,利用802.1x和RADIUS认证服务器的授权控制实现校园网的准入认证,使师生能安全快捷接入校园网。

2 相关协议

2.1 IEEE 802.1x协议

IEEE 802.1x是一种链路层验证机制协议,控制着网络连接点的访问,它可以限制未经授权的用户或设备通过接入端口 ( ac-cess port) 访问LAN/ WLAN。802.1x体系结构包括三个部分:请求者系统(需要安装客户端软件)、认证系统(支持802.1x认证的网络设备)、认证服务系统(RADIUS认证服务器)。802.1x的认证体系结构中采用了 " 可控端口 " 和 " 不可控端口 " 的逻辑功能,从而可以实现业务与认证的分离,由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制。只有受控端口的状态是已认证状态(Autherized)才可以传送业务报文,而不管受控端口的状态是已认证状态Autherized还是未认证状态Unautherized,非受控端口只能传送认证报文EAPoL。当用户通过认证后,受控端口闭合,端口状态为通过认证状态,此时用户可通过受控端口通信,用户发起DHCP请求,通过接入设备获取规划的IP地址。当用户未通过认证时,受控端口处于开路,端口状态为未认证状态,此时业务报文无法通过。

2.2 RADIUS 协议

由RFC 2865定义的RADIUS[4](RemoteAuthentication Dial-In User Service )协议是目前应用最广泛的AAA协议。它允许网络访问服务器(NAS)执行对用户的验证、授权和记帐。RADIUS是基于UDP的一种客户机 / 服务器协议。RADIUS客户机是网络访问服务器,它通常是一个路由器、交换机或无线访问点。如果NAS收到用户连接请求,它会将它们传递到指定的RADIUS服务器,后者对用户进行验证,并将用户的配置信息返回给NAS。然后,NAS接受或拒绝连接请求。RADIUS服务器可以支持很多不同的用户验证机制,可以采用LDAP、PAP、CHAP或者Unix登录认证等多种方式。

2.3 动态主机配置协议DHCP

DHCP(Dynamic Host ConfigurationProtocol)是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:给内部网络或网络服务供应商自动分配IP地址,给用户或者内部网络管理员作为对所有计算机作中央管理的手段。DHCP是基于Client/Server工作模式,在服务器端可根据网络环境设置可用的IP地址 , 在作用域范围内 , DHCP服务器把IP地址及相关的选项设置传送给发出请求的客户端 , 而客户端在其TCP/IP属性中只需将IP地址设置成“自动获取IP地址”,就会从服务器端自动收到合法的IP地址。

3 可行的实施技术方案

泉州师范学院校园网以锐捷设备为主:核心交换机为S8610、接入交换机为S2126和S2928。启用核心交换机的DHCP服务,启用接入交换机端口的802.1x认证,搭建基于Linux系统的radius认证服务器。下面以我校的校园网认证体系为例介绍802.1x和DHCP技术在校园网中的应用 . 这种方式可以在现有设备的基础上提供一种高效经济的接入控制 , 具体见图1。

(1)首先启动802.1x客户端,使用EAP协议向交换机发送EAPOL报文,此时交换机的受控端口是开路的,只能通过非受控端口向RADIUS服务器发送EAPOL报文;

(2)交换机通 过非受控 端口向RADIUS服务器发送EAPOL报文;

(3)RADIUS服务器对用户进行验证,并将认证结果返回给交换机。认证通过,交换机受控端口闭合;认证失败,交换机通过非受控端口把认证结果返回给用户;

(4)认证通过,交换机通过受控端口向核心交换机发送DHCP option82( 又称中继代理信息选项) ;

(5)DHCP服务根据配置好的VLAN号动态分配IP,并将IP、DNS、网关等信息发送给交换机;

(6)交换机将获取的IP发送给客户端, 客户端获取IP后即可接入网络。

4 交换机和服务器配置

4.1交换机配置

(1)核心交换机需要配置DHCP服务,以下为核心交换机中的部分配置:

Switch(config)#Service dhcp// 启用DHCP服务

Switch(config)#ip dhcp pool test // 新建一个dhcp地址池名为test

Switch(config)#network 10.8.131.0255.255.255.0 // 给客户端分配的地址段

Switch(config)#dns-server 210.34.120.3210.34.120.1 // 给客户端分配的DNS

(2) 接入层交换机需要配置认证信息、RADIUS服务器信息、端口dot1x认证。以端口GigabitEthernet0/1为例,以下为接入层交换机的部分配置:

Switch(config)#aaa new-model //开启AAA功能

Switch(config)#radius-server host10.8.10.10 // 指定RADIUS服务器的地址

Switch(config)#radius-server key ruijie// 配置RADIUS服务器秘钥 , 需要和交换机所配置的秘钥一致

Switch(config)#aaa authentication dot1x// 开启AAA功能中的802.1x认证功能

S w i t c h ( c o n f i g ) # i n t e r f a c eGigabitEthernet0/1

Switch(config-if)#dot1x port-controlauto // 启用dot1x认证

4.2 RADIUS服务器配置

RADIUS服务器的配置包括对服务器、客户机和用户的配置(都是用于验证和授权)。

(1)配置服务器

FreeRADIUS配置文件通常位于 /etc/raddb文件夹下。修改radiusd.conf文件

这是LDAP服务的一个实例。

(2)配置客户机

客户机是在 /etc/raddb/clients.conf文件中配置的。

(3)为验证而配置用户

文件 /etc/raddb/user包含每个用户的验证和配置信息。

5 结论

802.1X技术 篇8

1 高校校园网与802.1X认证访问

高校校园网与其它网络不同, 不仅仅体现在用户群体的特殊性, 还体现在高校校园网用户的高度密集访问, 这种情况会对整个网络的安全管理造成一些困难, 同时说明了实名认证访问的必要性。高校校园网在长时间的发展历程中, 出现了不少的切实可行的身份认证策略与系统, 由于网络管理需求各异, 导致了不同网络系统中存在不同的管理模式。主要表现为: (1) 静态IP访问; (2) 校内用户的开放式入网; (3) 以MAC地址为基础的认证访问; (4) PPPOE模式下的拨号认证入网; (5) 基于802.1X的身份认证访问。

简单的讲, IEEE802.1X就是一种协议, 这种协议被建立在链路层验证机制之上, 能够对入网端口 (访问连接点) 起到一定的控制作用。例如, 设置在无线访问连接点的物理交换端口或者逻辑交换端口等。有了网络认证的访问机制, 用户就能够在整体安全构架的基础上设置第一层防护。并且在计算机得到安全认证以前, 不会得到相应的网络接入且处于完全禁止状态。但是得到认证之后, 用户就能够安全的接入到校园网系统, 得到相应的服务。

2 802.1X协议背景下的认证优势

802.1X作为以太网的一种认证协议在校园网的接入机制中具有以下优势: (1) IEEE802.1X的认证协议属于两层协议, 在接入过程中不需要第三层, 因此对网络终端设备的要求不是很高, 且能够降低局域网建设成本; (2) 利用已有EPA, 即扩展认证协议能够提高网络的扩展功能以及适应能力, 还能够实现与传统PPP认证模式的兼容; (3) 802.1X认证机制采用的是“受控端口”与“非受控端口”逻辑结构, 能够保证网络业务和认证系统的有机分离, 并利用RADIUS与交换机的非受控端口结合实现对访问的认证和业务控制, 将业务报文承载于可控两层报文之上并实施端口的交换, 在认证合格之后就将原数据包转化成为无封装可访问数据包; (4) 能够兼容已有登录认证系统以降低重新架设的费用, 而且支持各类业务; (5) 将所有的接入用户划分为不同的等级即VLAN; (6) 能够提高无线LAN与交换端口的安全认证与接入能力。

2.1 802.1X协议的构成

IEEE802.1X主要有以下模块组成:

请求者:其功能就是连接入网, 对服务器发出请求, 一般是终端站点, 即用户或者说PC机。当请求者提出网络接入请求时, 请求就会以报文的形式上传, 并交由IEEE802.1X进行标准审核。

认证者:认证者也是请求者的下一站, 通常是交换机或者相应的接入设备。其作为连接用户与网络的纽带, 主要功能就是对用户的请求进行认证。或者说中介, 根据用户提交的入网报文, 判断是否符合服务器的接入要求, 并将认证结果反馈给用户终端。

验证服务器:是请求者提交入网报文的最终接收实体, 在收到请求者的验证申请之后, 连接RADIUS服务器, 结合认证者的核对功能, 确定用户提交申请的正确性。验证服务器存有用户的用户名与密码, 与各种受限信息, 每台验证服务器都能够提供多种认证服务, 即保证了用户信息的集中管理与安全。同时验证服务器还会自动进行业务的计算。

2.2 802.1X协议背景下的AAA认证步骤

1) 用户终端发出网路接入认证请求, 请求转化为EAPOL-Start报文并发送, 到达802.1X认证端口;2) 交换机收到EAPOL-Start报文, 向用户终端反馈EAP-Request/Identity报文, 并向用户提出账号信息的输入请求;3) 用户终端以账号信息回复EAP-Request/Identity报文;4) 交换机把EAP-Request/Identity报文处理封装至RADIUS Access-Request报文中, 并传送至验证服务器;5) 验证服务器接到报文后发出Challenge, 并将验证结果以RADIUS Access-Challenge形式反馈给用户终端;6) 交换机根据EPA-Request/MD5-Challenge信息发送至用户端, 要求用户进行认证;7) 用户端就会收到EPA-Request/MD5-Challenge报文, 并把密码信息与Challenge进行MD5算法加工后的Challenge-Pass-word, 存放于EPA-Response/MD5-Challenge中反馈至交换机;8) 交换机再把Challenge、Challenge Password与登录名统一传送至RADIUS服务器, 并由此服务器进行核对;9) RADIUS在核对登录名之后, 进行MD5算法计算并核对密码信息是否一致;10) 若核对成功, 用户就能够根据DHCP标准获取入网IP, 得到服务器的服务权限。

这时用户就能够获得认证, 正常接入网络, 获取网络服务。

3 认证的具体设计与实现

本文在设计过程中选用华为生产的93系列的交换机为汇聚, 以及33系列的交换机为接入层硬件。IP获取选用配置IP授权的方式进行限定。

3.1 AAA认证配置

3.2 防“非法”代理设计

这里将交换机的端口默认设置为不信任, 并指定信任端口的范围, 即能够获得DHCP地址的端口。

3.3 交换机端口的隔离设计

因为学生群体具有很强的流动性, 因此将无线路由统一选用SSID命名, 将工作模式限定为AP模式。能够支持学生无线接入范围内的地方漫游, 具有一定的便利性。

参考文献

[1]刘梅.基于802.1X的校园网接入认证安全防御[J].中国教育网络.2012 (2) .

[2]吴林峰.浅谈高校校园网中的IEEE802.1X协议[J].科技风.2008 (17) .