【PConline技术应用】在校园网、企业网、政府网,在这种大型网络中,如何确定用户的身份,禁止私接,如何确定用户发送的数据是否安全,这都涉及到一个网络的管理。安全的网络它从各个层面对用户的权限进行认证。并对不正常的数据包丢弃处理,今天我们就来说说如何一些常用的二层或三层管理功能。 只允许合法用户进入网络 在任何行业,任何场合,只要考虑到安全问题,首要考虑的就是安全准入的问题。比如国家安全首要考虑的就是在边防进行检查。网络也不例外,只有允许合法用户进入网络,才能进一步保障网络安全。 对网络而言,我们有很多手段来实现安全准入,然而每种手段都有自己的应用场合。怎样选择给应用场合选择合适的认证方式?下面两种认证手段,可以解决多数网络中的安全准入问题。 1、 接入层实现WebPortal认证 WebPortal认证以浏览器为依托实现认证,不需要改变用户原有使用习惯、降低管理难度而受到网络管理者的追捧。例如现在免费提供WI-FI无线上网热点的麦当劳,它们采用的就是WebPortal认证。这种认证方案还有一个好处可以在Web认证页面里值入广告,或与用户进行互动,增加服务亮点。 不过目前市面上销售的WebPortal认证设备多为出口网关设备,即使使用这种设备,内网还是处于完全不设防的状态中。只有当访问Internet时才需要认证,那么其实仍然无法实现入网即认证的思想。比如内网BBS上、论坛上出现过激言论,某IP攻击服务器等行为都无法跟踪。 基于此种情况,部分网络设备厂商已把将传统的出口WebPortal认证下移到接入交换机上去实现,也就是将出口认证变为入口认证。这种方式既保留了浏览器认证所带来的便利,也解决了内网安全问题,实现了管理与技术的平衡。 2、基于802.1x的接入认证 802.1x协议起源于802.11协议,制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。IEEE802协议定义的局域网并不提供接入认证,只要用户能接入局域网,就可以访问局域网中的设备或资源。这在早期有线LAN应用环境下并不存在明显的安全隐患。网络的规模越来越大,网络提供者就需要对用户的接入进行控制和配置。802.1x就是IEEE为了解决基于端口的接入控制(Port-Based NetworkAccess Contro1)而定义的一个标准。 802.1x的体系结构如图1所示。它的体系结构中包括三个部分,即请求者系统、认证系统和认证服务器系统三部分。请求者和认证系统之间运行802.1x定义的EAPO (Extensible Authentication Protocolover LAN)协议。当认证系统工作于中继方式时,认证系统与认证服务器之间也运行EAP协议,EAP帧中封装认证数据,将该协议承载在其它高层次协议中(如 RADIUS),以便穿越复杂的网络到达认证服务器;当认证系统工作于终结方式时,认证系统终结EAPoL消息,并转换为其它认证协议(如 RADIUS),传递用户认证信息给认证服务器系统。 认证系统每个物理端口内部包含有受控端口和非受控端口。非受控端口始终处于双向连通状态,主要用来传递EAPoL协议帧,可随时保证接收认证请求者发出的EAPoL认证报文;受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。 认证过程 (1) 客户端向接入设备发送一个EAPoL-Start报文,开始802.1x认证接入; ----------------------------------------------------------------------------- 相关文章: 基于Wiwiz HotSpot Builder的麦当劳WiFi热点Web认证方案 Wiwiz安装与配置的具体步骤 - 免客户端设置方法 ----------------------------------------------------------------------------- 合法报文才能进入网络 前面提到了合法用户的控制问题,但合法用户只是安全的开始,并不是安全的结束。合法用户会因为中毒而被动、或者好奇而主动发送欺骗类报文到网络中,从而导致其他用户不能正常使用网络。对网络中心而言,仍然会接到一轮又一轮的咨询和投诉。交换机作为网络的边缘,如果能将这类欺骗报文隔离在边缘,则可完美解决因此而带来的网络问题。 1、 防ARP欺骗 目前业内公认的完善解决ARP欺骗的方案是在接入层交换机上绑定用户的IP和MAC(正确的对应关系),然后检查ARP报文,针对欺骗的ARP报文(不符合IP和MAC绑定表)采取丢弃措施。但是绑定IP和MAC的工作量十分巨大,所以针对不同的网络环境需要采取不同的解决方案。下面是业界常用的防ARP欺骗解决方案: 在静态分配IP,且没有启用认证的的网络环境下,可由管理员灵活自主的实现IP-MAC的绑定关系,为防ARP欺骗提供正确的匹配关系,而无需第三方系统的支持。适用于中小型的局域网络。 在动态分配IP的环境下,无论是否有认证,均可通过探测DHCP报文自动实现IP-MAC的绑定关系,既无需第三方系统的支持,也能极大的减轻工作量,降低网络维护成本。 不管是动态还是静态分配IP,只要启用了802.1x认证,即可自动实现IP-MAC的绑定关系,在大型网络环境中能极大的减轻工作量,从而降低网络维护成本。 指定由交换机上的某个端口转发ARP报文,其它的端口均不可转发ARP报文,这样就可以在接入层隔离掉ARP欺骗。 ARP防火墙 实际上ARP防火墙已有很多网友正在免费使用,例如《360安全卫士》、《金山卫士》、《QQ电脑管家》等常用安全软件里都内置ARP防火墙。它们通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址,从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制。 ARP防火墙的功能主要有:拦截ARP攻击、拦截IP冲突、Dos攻击抑制、ARP数据分析等功能。 2、防DHCP欺骗 DHCP因为其使用的方便性在园区网络里面也得到了广泛的使用,但是DHCP本身存在着一些安全隐患。 (1) DHCP服务器私设 在DHCP环境下,可以很容易伪装成DHCP服务器给其他用户分配IP地址,造成其他用户不能正常上网,甚至会导致信息失窃。通过DHCP Snooping功能,通过设置连接真实DHCP服务器的端口为信任口,其他口为非信任口的方式解决这种问题。 (2) DHCP环境下的IP地址私设 在DHCP环境下,每个用户的IP地址都是由DHCP服务器分配的,如果用户私设IP地址,而DHCP服务器不知道,则可能把该IP地址分配给其他用户,导致IP地址冲突。可以在交换机上自动绑定用户的IP和MAC,如果私设IP将被拒之网外,达到防止IP地址私设冲突的目的。 至此,我们已经解决了“合法用户”和“合法报文”的问题,也就是说能保证合法用户的合法报文才能进入网络。而这些均由边缘设备——接入交换机通过硬件完成,完全不影响报文的转发速度,实现了安全与速度的融合。[返回频道首页] |
正在阅读:我的网络我的掌控 企业网管的认证管理我的网络我的掌控 企业网管的认证管理
2011-11-30 08:54
出处:PConline原创
责任编辑:huangxing