基于802.1X的校園網(wǎng)接入認證安全防御

由于國家十二五規(guī)劃綱要把教育信息化列為其中重要的一項，校園網(wǎng)信息化建設高速發(fā)展。

隨著網(wǎng)絡用戶數(shù)量急劇增加，網(wǎng)絡管理問題和安全問題日趨嚴峻，針對校園網(wǎng)用戶多且分散、流動性強，用戶對網(wǎng)絡需求各異等特點，亟需營造一個安全可靠、可運營、可管理的網(wǎng)絡，給用戶提供一個便捷、暢通的網(wǎng)絡環(huán)境。為實現(xiàn)此目標，迫切需要一種合理、細致的管理機制和計費手段。接入認證系統(tǒng)和收費計費系統(tǒng)結合可達到此要求。

網(wǎng)絡上傳統(tǒng)的認證系統(tǒng)如PPPoE 和Web/Portal認證方式，越來越不適應網(wǎng)絡規(guī)模增大和用戶需求多樣性的要求，使得傳統(tǒng)認證的弊端日益突顯?；诖吮尘跋?，IEEE 802.1X通過對認證方式和認證體系結構進行優(yōu)化，有效地解決了傳統(tǒng)PPPoE和Web/Portal認證方式帶來的問題，消除了網(wǎng)絡瓶頸，減輕了網(wǎng)絡封裝開銷，降低了建網(wǎng)成本，從而受到當前校園網(wǎng)選擇的熱捧。然而簡單的使用802.1X認證仍然存在一些安全隱患，故需要采用安全防御機制來解決。本文首先介紹了接入認證方式及利弊，然后闡述了802.1X原理及認證過程，接著詳細介紹了802.1X在校園網(wǎng)中存在的隱患，最后提出了兩種安全防御機制并可兼容802.1X認證。

接入認證方式及利弊

目前主要的接入認證方式有三種：PPPoE 認證方式、Web/Portal認證方式和802.1X 認證方式。

1.PPPoE 認證方式：PPPoE 是在IETF RFC標準基礎上研發(fā)的點對點協(xié)議，是目前應用最為普遍的家庭用戶接入方式之一。它將以太網(wǎng)技術、局域網(wǎng)和點對點協(xié)議的可擴展性及管理控制功能結合在一起，通過類似撥號方式，為用戶提供簡單方便的寬帶接入服務。此接入方式的優(yōu)勢在于和原有窄帶網(wǎng)絡用戶接入認證體系一致，易于用戶接受。然而不足之處在于局端接入設備開銷大，容易形成單點瓶頸，且設備昂貴。

2.Web/Portal認證方式：Web認證運用廣泛，它依托于Web 瀏覽器，通過HTTP以及HTTPS協(xié)議和Web認證服務器進行交互認證。該認證方式可以很方便地利用Web服務器推出Portal和廣告等增值業(yè)務，有利于達到引導用戶和宣傳業(yè)務的效果。其優(yōu)點在于不需要特定的客戶端軟件，可以降低運營成本，同時可提供Portal等增值業(yè)務。缺點是Web/Portal承載于7層協(xié)議之上，多采用出口網(wǎng)關設備，內網(wǎng)存在的安全隱患，如BBS論壇出現(xiàn)過激言論或某IP 攻擊服務器等行為都無法追蹤。

3.802.1X認證方式：802.1X認證，稱為基于端口的訪問控制協(xié)議認證，它將傳統(tǒng)的出口控制遷移到入口控制，實現(xiàn)對端口的用戶級的接入控制，對大規(guī)模的LAN接入和WLAN 應用有很好的安全防護作用。其優(yōu)勢是認證與業(yè)務分離有利于解決網(wǎng)絡瓶頸，對設備的整體性能要求不高，有效降低建網(wǎng)成本。弱點是需要特定的客戶端，ARP攻擊、IP偽造等安全問題仍未解決。

802.1X原理及認證過程

802.1X是根據(jù)用戶賬號或設備，對網(wǎng)絡客戶端(或端口)進行鑒權的標準。此過程又叫做“端口級別的鑒權”，它只適合于此環(huán)境：接入用戶設備與接入端口間點到點的連接方式。其中的端口可以是物理的端口，也可以是用戶設備的MAC 地址。由于基于物理端口的控制方式需要認證交換機直接連接用戶來實現(xiàn)，提升了交換機成本，導致建網(wǎng)成本增加。在經(jīng)費比較短缺的校園領域中，網(wǎng)絡認證目前普遍使用基于用戶設備的MAC地址控制方式。把用戶設備的MAC 地址看成端口，每個MAC地址有兩個邏輯端口：受控和不受控端口。MAC地址處于激活狀態(tài)是認證的前提條件，否則無法進行認證。在802.1X協(xié)議體系結構中，必須同時具備客戶端、接入認證交換機和認證服務器三者，才能夠完成基于端口的訪問控制的用戶認證和授權。認證過程如圖1所示。

圖1

802.1X在校園網(wǎng)中存在的安全隱患

在缺乏保護的共享式網(wǎng)段中，簡單地使用標準802.1X協(xié)議，容易造成如中間人攻擊、會話劫持攻擊、拒絕服務攻擊、IP地址偽造、MAC 地址偽造、網(wǎng)絡接入盜用等安全隱患。用標準802.1X認證在認證通過后的安全性成為很大問題，而且其無法滿足網(wǎng)絡接入管理控制的需求。

因此，要使用802.1X認證就必須對其進行相關的擴展。在用戶認證前，對被認證者進行詳細的檢查，這些檢查不僅僅包括用戶名和密碼，還可以包括用戶設備IP、用戶設備MAC、認證交換機IP、認證交換機端口等。

在通過認證后，通過控制交換設備，可以進行IP 綁定、MAC 綁定、ACL配置等工作，提高其認證后的安全性。然而據(jù)了解，目前校園網(wǎng)中運用廣泛的H3C認證系統(tǒng)和銳捷認證系統(tǒng)基本框架是用戶名與用戶設備IP、用戶設備MAC、認證交換機IP、認證交換機端口信息的綁定，在接入認證交換機上僅僅綁定用戶設備MAC與端口對應，而用戶設備IP并未真正綁定到接入認證交換機上。所以，接入認證交換機上的綁定其實是一種壹儆綁定，易發(fā)生安全問題。

1.中間人攻擊：它是一種“間接”的入侵攻擊，這種攻擊模式是一臺黑客主機通過各種技術手段給兩臺直接通信主機發(fā)送偽造ARP應答報文，使兩臺直接通信主機間接通過黑客主機通信，此過程中黑客主機可竊取和篡改傳遞信息。通常，這種“攔截數(shù)據(jù)-修改數(shù)據(jù)-發(fā)送數(shù)據(jù)”的過程就被稱為“會話劫持”。

2.拒絕服務攻擊：是指攻擊者利用攻擊工具向服務器發(fā)送大量偽造不同源IP地址的連接請求報文，造成交換機CPU持續(xù)上升，網(wǎng)絡資源耗盡，使網(wǎng)絡無法正常工作。

3.網(wǎng)絡接入盜用：是指盜用合法用戶信息(如用戶名、密碼、IP地址、MAC地址等)接入上網(wǎng)，導致他人I P 沖突、流量丟失或者無法上網(wǎng)等。

基于802.1X的接入認證安全防御

用戶通過802.1X接入認證后成為合法用戶，但成為合法用戶只是跨越網(wǎng)絡安全問題的第一道門檻。合法用戶會因為中毒而被動、或者好奇而主動發(fā)送欺騙類報文到網(wǎng)絡中，從而導致其他用戶不能正常訪問網(wǎng)絡。對網(wǎng)絡管理部門而言，大量的投訴與咨詢會不斷收到。交換機作為網(wǎng)絡接入的入口設備，如果能將這類欺騙報文隔離在外，僅允許合法報文進入網(wǎng)絡，則可完美解決因此而帶來的網(wǎng)絡問題。協(xié)同采用ARP入侵檢測和IP過濾安全防御機制可解決此類問題。

ARP入侵檢測防御

為了防止黑客或攻擊者通過ARP報文實施中間人攻擊或會話劫持攻擊，需要使用交換機網(wǎng)絡(通過交換機傳輸)代替共享式網(wǎng)絡(通過集線器傳輸)，此外還需要使用靜態(tài)ARP、捆綁MAC地址+IP地址等ARP入侵檢測功能來限制欺騙。用戶可以通過配置信任端口，靈活控制ARP報文檢測。對于來自信任端口的所有ARP報文不進行檢測，對其他端口的ARP報文檢測其源MAC地址、源IP地址等信息與DHCPSnooping表或手工配置的IP靜態(tài)綁定表項是否一致，一致則認為是合法ARP報文，進行轉發(fā)；否則直接丟棄。

IP過濾防御

為了防止拒絕服務攻擊和I P 地址偽造，交換機可以通過DHCP Snooping表和IP靜態(tài)綁定表，對非法IP 報文進行過濾。交換機對IP報文的過濾方式有兩種：根據(jù)報文中的源IP 地址進行過濾和根據(jù)報文中的源IP 地址和源MAC地址進行過濾。如果報文中信息與DHCP Snooping表或手工配置的IP靜態(tài)綁定表項一致，則認為是合法的報文，進行轉發(fā)；否則認為是非法報文，直接丟棄。

ARP入侵檢測+IP過濾防御

前文中提到802.1X認證雖然可以檢測用戶名、用戶IP地址、用戶MAC地址等信息，但其實是基于用戶MAC地址+交換機端口綁定的，要想實現(xiàn)ARP入侵檢測防御和IP過濾防御，就必需在接入認證交換機上做到“真實”的用戶IP地址+用戶MAC地址+交換機端口的綁定。這樣不但可以防止中間人攻擊和拒絕服務攻擊等，還可以避免大部分網(wǎng)絡接入盜用情況。但是仍存在一種盜用情況尚未解決：影子用戶，即與合法用戶完全相同的用戶名、密碼、IP 地址、MAC地址信息等。針對這種情況則需要更多的信息綁定來防止盜用，如VLAN或PC標識等。

對于DHCP動態(tài)分配IP模式，用戶通過802.1X認證后，DHCP服務器下發(fā)IP地址，經(jīng)過接入認證交換機時形成DHCPSnooping表綁定用戶IP地址+用戶MAC地址+交換機端口。然而動態(tài)分配IP模式，存在著非法用戶偽造合法用戶申請IP地址和網(wǎng)絡參數(shù)，可能造成IP 地址浪費。

對于靜態(tài)分配IP模式，用戶可以手工配置IP靜態(tài)綁定表項，但當網(wǎng)絡規(guī)模較大時，手工配置工作量增加，顯然不太現(xiàn)實。由于802.1X認證服務器存在一個數(shù)據(jù)庫，數(shù)據(jù)庫中包含用戶名、用戶IP地址、用戶MAC 地址等對應信息表項，故可以通過802.1X認證服務器下發(fā)用戶IP地址、用戶MAC地址等表項到接入認證交換機，這樣可避免手工配置的麻煩，降低網(wǎng)絡維護成本，從而達到用戶IP地址+用戶MAC地址+交換機設備+交換機端口的綁定關系。

在混合地址分配環(huán)境下，即IP地址的動態(tài)分配與靜態(tài)分配結合情況，基于802.1X都可以很好地做到IP+MAC綁定關系來抵御中間人攻擊、拒絕服務攻擊、IP地址偽造、MAC地址偽造、網(wǎng)絡接入盜用等安全威脅，有利于營造一個安全可靠、可運營、可管理的網(wǎng)絡環(huán)境。

本文探討了基于802.1X的校園網(wǎng)接入認證安全防御，采用802.1X認證技術，結合ARP入侵檢測防御和IP過濾防御機制，經(jīng)過在校園網(wǎng)實際應用中，表明這些機制有助于校園網(wǎng)管理、維護工作，能夠很好地解決校園網(wǎng)難管理及安全問題，可減少管理和維護工作，提升校園網(wǎng)的安全性，能夠為校園信息化建設提供重要的支撐平臺。