基于802.1x认证局域网安全机制研究
基于802.1x认证的局域网安全机制研究
摘要:对于现今局域网较常选择的802.1x协议,进行安全性评估,指出其存在的安全隐患。简要介绍了在此协议下可能出现的网络攻击,以及查攻击源并进行处理的方法。而后,从基于pki数字证书技术建立安全网络、安全设置两方面,介绍了如何主动进行防御。
关键词:802.1x;局域网;网络安全;arppki
中图分类号:tp393.08文献标识码:a文章编号:1007-9599 (2013) 06-0000-02
1引言
随着我国经济与科技的不断发展,局域网规模不断膨胀,入网用户不断增加。基于此背景下,传统的认证如pppoeweb/portal弊端日益突显。ieee 802.1x通过对认证方式和认证体系结构进行优化,有效地解决了传统pppoeweb/portal认证方式带来的问题,消除了网络瓶颈,减轻了网络封装开销,降低了建网成本,从而受到局域网建设的热捧。然而在缺乏保护的共享式网段中,简单地使用标准802.1x协议,容易造成各种安全隐患,需要采用安全防御机制来解决完善。
2802.1x协议的安全性评估
802.1x协议的工作机制使其存在着潜在的安全隐患:
1802.1x不允许用户鉴别网络,根据标准,用户端口总是处于认证成功后的受控状态。而认证只是认证者对用户端的单向认证,这样使得可以实现mim攻击。如果高层协议采用的也只是进行单向认证,装成接入点的某个人只要发送少量虚假的eap数据包,整个框架就岌岌可危。
2)根据ieee组织的规定,网络适配器的mac地址是全球唯一的,802.1x的安全机制是在mac层来验证实体从而达到限制网络连接的目的。然而在无线局域网的情况下,攻击者可以冒充认证者欺骗访问者,或者冒充访问者欺骗认证者,从而获得用户的mac地址信息。并且虽然mac地址存储在eeprom中并且唯一确定,但是,在操作系统实现时,系统一般是在内存中建立一块缓存区,系统在这块特定的缓冲区中获取mac地址作为发送报文的源地址。这样,用户就可以通过操作系统修改实际发送的报文中的源mac地址。正由于mac地址比较容易伪造,同一接入端口下,非接入用户也可以接入网络,所以802.1x协议并不能提供完善的安全机制。
3ip地址分配和网络安全问题:802.1x协议是一个2层协议,只负责完成对用户端口的认证控制,对于完成端口认证后,用户进入三层ip网络后,需要继续解决用户ip地址分配、三层网络安全等问题,因此,单靠以太网交换机加802.1x,无法全面解决城域网以太接入的可运营、可管理以及接入安全性等方面的问题;
4)客户端用户通过验证后,一切数据都将视为合法,传输设备不会对此客户端报文进行检查。如果此用户向网络发送病毒报文,将影响其他网络用户,导致网络的不稳定不安全。
总之,简单地使用标准802.1x协议,容易造成如arp攻击、dos攻击、ip地址伪造、mac地址伪造、网络接入盗用等安全隐患。
这些安全隐患都有可能带来严重后果。以在局域网中较多可能发生的dos攻击为例,它故意攻击网络协议的缺陷或直接通过某种手段耗尽被攻击对象的资源,目的是让目标计算机或网络无法捉供正常的服务或资源访问,使目标系统服务停止响应甚至朋溃,而在此攻击中并不入侵目标服务器或目标网络设备。
arp攻击也是网络攻击中较常见的,它通过伪造ip地址和mac地址实现arp欺骗,能在网络中
产生大量arp通信造成网络阻塞,攻击者只需持续不断的发出arp响应包便可以达到更改目标设备arp缓存表的ip-mac条目,使得网络中断或某些中间人受攻击。当然我们也可以进行安全防御,如通过抓包软件如受到arp攻击ethereal来进行抓包分析,获得如下一次arp攻击抓包截图(如下图所示)。此时可看到攻击源基本确定为00-1b-fc-66-4d-6c的设备,然后根据mac地址去查其正确ip地址。
为解决arpip/mac欺骗攻击,也可以利用snooping表项和静态绑定表检测ipmac的正确性,非法则通过软件或下发 acl规则由硬件丢弃报文。
网络管理人员可以查攻击源并进行处理,然而仅仅这样是不够的,如果只是被动地去查攻击源,不仅是加大网络管理人员工作量的问题,甚至可能会造成局域网内部分网段网络瘫痪频繁发生。下面将介绍如何进行主动防御:
3安全主动防御体系的建立
3.1基于pki数字证书技术建立安全网络
pki技术以公开密钥算法为基础,通过第三方可信任机构--认证中心cacertificate authority),
把用户的公钥和用户的其他标识信息捆绑在一起,建立数字证书。通过把要传输的数字信息进行加密和签名,保证信息传输的机密性真实性、完整性和不可否认性,从而保证信息的安全传输。
可以通过以下步骤进行配置。以pki体系为技术标准搭建安全中心,包括:认证机构(ca系统,发放数字证书;注册服务ra系统,用户身份认证;证书管理系统),证书库及目录服务;密钥备份与恢复系统;客房端证书处理系统等等。负责网络用户的数字证书的发放、变更、注销、升级,以及用户进入网络时的802.1x认证服务。然后进行网络系统的调整,只需在接入层交换机的端口上开启ieee802.1x认证功能,认证中心指向ca认证中心。这样进入网络的用户在端口处就进行了关键的认证和授权工作;依靠数字证书,用户个人密码得到最大限度地保护。
在以pki体系为技术部署准人身份认证后,通过检测,局域网的安全状况大为改善,大大提高了局域网的安全机制,减少了网络管理人员疲于奔命的状况。
3.2主动安全防御设置
安全的认证机制能够有效防止非法用户入侵网络,但是对少数恶意的合法用户或者“肉鸡”用户却缺少防范机制,因此还需要网络管理员进行进一步的安全防御设置。
为防止影子用户的出现,有必要用更多的信息绑定来防止盗用,如vlanpc标识或硬盘序列号等。
可以在路由器进行相应设置。在最终攻击目标的网络边界路由器上使用car限制,将流入网络的某一类数据包的总流量限制在一定的范围,从而可以保证其它数据的正常通过,可以有效防止会话劫持攻击、拒绝服务攻击等。在路由器中加入“arp攻击主动防御”的功能,当网内受到错误的arp广播包攻击时,路由器立即广播正确的arp包去修正和消除攻击包的影响,也可以在此基础上增加 arp攻击源攻击跟踪”的功能。对于剩下的强悍的攻击,采用“日志”功能,提供信息方便用户跟踪攻击源,这样用户通过临时切断攻击电脑或者封杀发出攻击的程序,能够解决问题。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。