基于802.1X的校園網(wǎng)接入認證安全防御

ARP入侵檢測防御

為了防止黑客或攻擊者通過(guò)ARP報文實(shí)施中間人攻擊或會(huì )話(huà)劫持攻擊，需要使用交換機網(wǎng)絡(luò )(通過(guò)交換機傳輸)代替共享式網(wǎng)絡(luò )(通過(guò)集線(xiàn)器傳輸)，此外還需要使用靜態(tài)ARP、捆綁MAC地址+IP地址等ARP入侵檢測功能來(lái)限制欺騙。用戶(hù)可以通過(guò)配置信任端口，靈活控制ARP報文檢測。對于來(lái)自信任端口的所有ARP報文不進(jìn)行檢測，對其他端口的ARP報文檢測其源MAC地址、源IP地址等信息與DHCPSnooping表或手工配置的IP靜態(tài)綁定表項是否一致，一致則認為是合法ARP報文，進(jìn)行轉發(fā)；否則直接丟棄。

IP過(guò)濾防御

為了防止拒絕服務(wù)攻擊和I P 地址偽造，交換機可以通過(guò)DHCP Snooping表和IP靜態(tài)綁定表，對非法IP 報文進(jìn)行過(guò)濾。交換機對IP報文的過(guò)濾方式有兩種：根據報文中的源IP 地址進(jìn)行過(guò)濾和根據報文中的源IP 地址和源MAC地址進(jìn)行過(guò)濾。如果報文中信息與DHCP Snooping表或手工配置的IP靜態(tài)綁定表項一致，則認為是合法的報文，進(jìn)行轉發(fā)；否則認為是非法報文，直接丟棄。

ARP入侵檢測+IP過(guò)濾防御

前文中提到802.1X認證雖然可以檢測用戶(hù)名、用戶(hù)IP地址、用戶(hù)MAC地址等信息，但其實(shí)是基于用戶(hù)MAC地址+交換機端口綁定的，要想實(shí)現ARP入侵檢測防御和IP過(guò)濾防御，就必需在接入認證交換機上做到“真實(shí)”的用戶(hù)IP地址+用戶(hù)MAC地址+交換機端口的綁定。這樣不但可以防止中間人攻擊和拒絕服務(wù)攻擊等，還可以避免大部分網(wǎng)絡(luò )接入盜用情況。但是仍存在一種盜用情況尚未解決：影子用戶(hù)，即與合法用戶(hù)完全相同的用戶(hù)名、密碼、IP 地址、MAC地址信息等。針對這種情況則需要更多的信息綁定來(lái)防止盜用，如VLAN或PC標識等。

對于DHCP動(dòng)態(tài)分配IP模式，用戶(hù)通過(guò)802.1X認證后，DHCP服務(wù)器下發(fā)IP地址，經(jīng)過(guò)接入認證交換機時(shí)形成DHCPSnooping表綁定用戶(hù)IP地址+用戶(hù)MAC地址+交換機端口。然而動(dòng)態(tài)分配IP模式，存在著(zhù)非法用戶(hù)偽造合法用戶(hù)申請IP地址和網(wǎng)絡(luò )參數，可能造成IP 地址浪費。

對于靜態(tài)分配IP模式，用戶(hù)可以手工配置IP靜態(tài)綁定表項，但當網(wǎng)絡(luò )規模較大時(shí)，手工配置工作量增加，顯然不太現實(shí)。由于802.1X認證服務(wù)器存在一個(gè)數據庫，數據庫中包含用戶(hù)名、用戶(hù)IP地址、用戶(hù)MAC 地址等對應信息表項，故可以通過(guò)802.1X認證服務(wù)器下發(fā)用戶(hù)IP地址、用戶(hù)MAC地址等表項到接入認證交換機，這樣可避免手工配置的麻煩，降低網(wǎng)絡(luò )維護成本，從而達到用戶(hù)IP地址+用戶(hù)MAC地址+交換機設備+交換機端口的綁定關(guān)系。

在混合地址分配環(huán)境下，即IP地址的動(dòng)態(tài)分配與靜態(tài)分配結合情況，基于802.1X都可以很好地做到IP+MAC綁定關(guān)系來(lái)抵御中間人攻擊、拒絕服務(wù)攻擊、IP地址偽造、MAC地址偽造、網(wǎng)絡(luò )接入盜用等安全威脅，有利于營(yíng)造一個(gè)安全可靠、可運營(yíng)、可管理的網(wǎng)絡(luò )環(huán)境。

本文探討了基于802.1X的校園網(wǎng)接入認證安全防御，采用802.1X認證技術(shù)，結合ARP入侵檢測防御和IP過(guò)濾防御機制，經(jīng)過(guò)在校園網(wǎng)實(shí)際應用中，表明這些機制有助于校園網(wǎng)管理、維護工作，能夠很好地解決校園網(wǎng)難管理及安全問(wèn)題，可減少管理和維護工作，提升校園網(wǎng)的安全性，能夠為校園信息化建設提供重要的支撐平臺。