基于802.1X的校園網(wǎng)接入認證安全防御

ARP入侵檢測防御

為了防止黑客或攻擊者通過ARP報文實施中間人攻擊或會話劫持攻擊，需要使用交換機網(wǎng)絡(luò)(通過交換機傳輸)代替共享式網(wǎng)絡(luò)(通過集線器傳輸)，此外還需要使用靜態(tài)ARP、捆綁MAC地址+IP地址等ARP入侵檢測功能來限制欺騙。用戶可以通過配置信任端口，靈活控制ARP報文檢測。對于來自信任端口的所有ARP報文不進行檢測，對其他端口的ARP報文檢測其源MAC地址、源IP地址等信息與DHCPSnooping表或手工配置的IP靜態(tài)綁定表項是否一致，一致則認為是合法ARP報文，進行轉(zhuǎn)發(fā)；否則直接丟棄。

IP過濾防御

為了防止拒絕服務(wù)攻擊和I P 地址偽造，交換機可以通過DHCP Snooping表和IP靜態(tài)綁定表，對非法IP 報文進行過濾。交換機對IP報文的過濾方式有兩種：根據(jù)報文中的源IP 地址進行過濾和根據(jù)報文中的源IP 地址和源MAC地址進行過濾。如果報文中信息與DHCP Snooping表或手工配置的IP靜態(tài)綁定表項一致，則認為是合法的報文，進行轉(zhuǎn)發(fā)；否則認為是非法報文，直接丟棄。

ARP入侵檢測+IP過濾防御

前文中提到802.1X認證雖然可以檢測用戶名、用戶IP地址、用戶MAC地址等信息，但其實是基于用戶MAC地址+交換機端口綁定的，要想實現(xiàn)ARP入侵檢測防御和IP過濾防御，就必需在接入認證交換機上做到“真實”的用戶IP地址+用戶MAC地址+交換機端口的綁定。這樣不但可以防止中間人攻擊和拒絕服務(wù)攻擊等，還可以避免大部分網(wǎng)絡(luò)接入盜用情況。但是仍存在一種盜用情況尚未解決：影子用戶，即與合法用戶完全相同的用戶名、密碼、IP 地址、MAC地址信息等。針對這種情況則需要更多的信息綁定來防止盜用，如VLAN或PC標(biāo)識等。

對于DHCP動態(tài)分配IP模式，用戶通過802.1X認證后，DHCP服務(wù)器下發(fā)IP地址，經(jīng)過接入認證交換機時形成DHCPSnooping表綁定用戶IP地址+用戶MAC地址+交換機端口。然而動態(tài)分配IP模式，存在著非法用戶偽造合法用戶申請IP地址和網(wǎng)絡(luò)參數(shù)，可能造成IP 地址浪費。

對于靜態(tài)分配IP模式，用戶可以手工配置IP靜態(tài)綁定表項，但當(dāng)網(wǎng)絡(luò)規(guī)模較大時，手工配置工作量增加，顯然不太現(xiàn)實。由于802.1X認證服務(wù)器存在一個數(shù)據(jù)庫，數(shù)據(jù)庫中包含用戶名、用戶IP地址、用戶MAC 地址等對應(yīng)信息表項，故可以通過802.1X認證服務(wù)器下發(fā)用戶IP地址、用戶MAC地址等表項到接入認證交換機，這樣可避免手工配置的麻煩，降低網(wǎng)絡(luò)維護成本，從而達到用戶IP地址+用戶MAC地址+交換機設(shè)備+交換機端口的綁定關(guān)系。

在混合地址分配環(huán)境下，即IP地址的動態(tài)分配與靜態(tài)分配結(jié)合情況，基于802.1X都可以很好地做到IP+MAC綁定關(guān)系來抵御中間人攻擊、拒絕服務(wù)攻擊、IP地址偽造、MAC地址偽造、網(wǎng)絡(luò)接入盜用等安全威脅，有利于營造一個安全可靠、可運營、可管理的網(wǎng)絡(luò)環(huán)境。

本文探討了基于802.1X的校園網(wǎng)接入認證安全防御，采用802.1X認證技術(shù)，結(jié)合ARP入侵檢測防御和IP過濾防御機制，經(jīng)過在校園網(wǎng)實際應(yīng)用中，表明這些機制有助于校園網(wǎng)管理、維護工作，能夠很好地解決校園網(wǎng)難管理及安全問題，可減少管理和維護工作，提升校園網(wǎng)的安全性，能夠為校園信息化建設(shè)提供重要的支撐平臺。