基于IEEE 802.1x的网络准入控制系统设计与实现
作者:吕才军
来源:《信息安全与技术》2013年第06期
作者:吕才军
来源:《信息安全与技术》2013年第06期
【 摘 要 】 为确保本地网络资源的安全,可在网络边界处部署防火墙、安全认证网关等设备,但局域网内用户可未经授权访问关键的IT资源,占用宝贵的网络资源甚至发起攻击。为解决这个问题,本文设计了一种基于IEEE 802.1x的网络准入控制系统,深入分析了802.1x协议及网络准入控制系统体系结构,通过将802.1x与RADIUS认证服务器结合构建了一个高效、可靠的内部网络802.1x/EAP接入方案,并在网络环境下进行了实验。
【 关键词 】 认证;准入;安全
1 802.1x协议
802.1x协议是一种数据链路层身份验证协议,发送认证协议数据包对连接到交换机端口上的用户/设备进行身份认证,认证通过后才允许正常的数据通过交换机端口,控制着对内部网络接入点的访问。使用802.1X协议的优势有几点。
(1)实现简单:802.1x可以借助CISCO RADIUS服务器实现身份认证功能,在小规模网络环境下也可采用本地认证的方式,网络综合造价成本低。
(2)安全可靠:802.1x身份认证方式可结合MAC地址、端口、VLAN等绑定技术并封装用户名/密码,安全性较高。
(3)行业标准:802.1X协议是IEEE标准技术,微软Windows XP 、Linux等客户端操作系统和Cisco、华为、H3C等网络设备IOS都提供了对该协议的支持。
2 网络准入控制系统体系结构
基于802.1x的网络准入控制系统能够对局域网内的计算机进行控制。如图1所示,802.1x用户身份认证系统有四个组件。
(1)客户端系统 客户端使用客户端软件向接入端发起802.lx认证请求。在客户端和接入端之间使用EAPOL格式封装EAP协议数据传送认证信息,包括EAP-MD5、PEAP和 EAP-TLS三种认证方式。
(2)接入端系统 接入端对客户端进行认证。接入端设备包括可控端口和不可控端口,只有在通过802.1X认证后业务数据才允许通过可控端口,而不可控端口则不受限制,允许所有的协议数据和业务数据通过。
(3)认证服务器系统 认证服务器为接入端提供认证服务,使用RADIUS协议双向传送认证信息。
(4)安全基础设施 安全基础设施包括认证机构CA、注册机构RA、LDAP存储库等组件,用于提供对其他系统中的实体可信授权验证服务。
3 网络准入控制系统部署
(1)客户端系统
客户端通常是支持802.1x认证的用户设备,如个人计算机。客户端启动客户端软件向接入端发起802.lx认证请求,合法用户通过认证后可访问本地网络资源。对未安装规定安全客户端软件的,可设置为持续弹出对话框提示安装。
在Windows XP操作系统中802.1x设置方法为:打开网络连接属性,在“身份验证”选项卡中勾选“启用IEEE 802.1X身份验证”,选择EAP类型(有MD5-质询、受保护的EAP(PEAP)、智能卡或其他证书三种类型)。若网络连接属性里没有“身份验证”选项卡,则需在操作系统中开启Wired AutoConfig服务。
传统802.1x使用MD5-Challenge认证,在接入网络时只输用户名和口令,为增强安全性可选择采用数字证书的PEAP和 EAP-TLS方式。
(2)接入端系统
接入端通常为支持802.lx协议的交换机等网络设备。在Cisco交换机上基本配置方式如下:
(config)#aaa new-model //启动AAA。
(config)#radius-server host XX.XX.XX.XX key //配置RADIUS服务器地址及密钥。
(config)#aaa authentication dot1x default group radius //配置802.1x默认认证方法为RADIUS。
(config)#dot1x system-auth-control //在交换机上全局启用802.1x认证。
(config)#int fa0/1
(config-if)#switchport mode access
(config-if)#dot1x port-control auto //设置接口的802.1x状态。
(config-if)#dot1x host-mode multi-host //通过Hub等方式在交换机端口下连接多台PC时需要配置这个命令,默认只支持对一台PC认证[1]。
(3)认证服务器系统
认证服务器采用RADIUS认证方式,这就要求所有参与认证的网络设备配置RADIUS认证方式。值得注意的是,为支持802.1x ,ACS华为linux系统下载服务器版本号至少在V3.0以上。在CISCO ACS服务器上配置如下:
1)在Interface Configuration的RADIUS(IETF)中勾选[064]Tunnel-Type,[065]Tunnel-Medium-Type,[081]Tunnel-Private-Group-ID,如图3所示。
2)进入Group Setup的IETF RADIUS中配置802.1x认证属性。
3)在Network Configuration中添加网络接入设备,指定网络接入设备的IP地址,Authenticate Using选择RADIUS(IETF)。
4)在User setup中添加上网用户。
另外,为节约成本,在小规模网络环境下也可采用本地认证的方式,而不用建立认证服务器。
(4)安全基础设施
PEAP需要一个认证服务器数字证书,EAP-TLS需要客户端和认证服务器证书进行相互验证,从而在客户端和认证服务器端之间创建一条加密的隧道。
CA、RA、LDAP的创建以及数字证书的下载、验证和维护等技术可参考相关技术文档,如《数字证书认证系统培训教材》(国家信息安全工程技术研究中心 李增欣)、《如何从Windows CA获取数字证书》(百度文库)等。
4 要点
基于IEEE 802.1x协议的网络准入控制系统提供了一种本地用户接入认证的手段,大大提高了网络的安全性。但该系统在部署过程中应注意两个问题。
局域网网络设备的操作系统版本需支持相关安全性协议,如支持数字证书、加密等功能,部署实施存在一定的难度和复杂性。以Cisco设备为例,用sh version命令查看Cisco IOS文件名中有无Advsecurityk9或Advsecurityk8字符串。若没有则表明当前版本不支持安全性配置,需进行网络设备操作系统软件版本升级。
当一个合法用户通过802.1x认证后,端口处于“授权”状态,连接的交换机端口允许通过业务数据,此时若有其它用户使用交换机、集线器等级联接入已该端口时,不需要进行认证就可访问网络资源。因此应采取技术、管理等措施尽量避免在该端口下接入多个用户。
参考文献
[1] 丁丽萍.Android 操作系统的安全性分析[J].信息网络安全,2012,(03):23-26.
[2] 吴轩亮.三网融合下城域网DDoS攻击的监测及防范技术研究[J].信息网络安全,2012,(03):45-48.
[3] 吕才军.网络设备SSH登录机制研究及实践[J].金融科技时代,2012,第8期:75-76.
作者简介:
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论