信息安全管理者都希望在發(fā)生安全事件時,不僅可以定位到計算機,而且定位到使用者的實際位置,利用MAC與IP的綁定是常用的方式,IP地址是計算機的“姓名”,網(wǎng)絡(luò)連接時都使用這個名字;MAC地址則是計算機網(wǎng)卡的“身份證號”,不會有相同的,因為在廠家生產(chǎn)時就確定了它的編號。IP地址的修改是方便的,也有很多工具軟件,可以方便地修改MAC地址,“身份冒充”相對容易,網(wǎng)絡(luò)就不安全了。
遵從“花瓶模型”信任體系的思路,對用戶進(jìn)行身份鑒別,大多數(shù)人采用基于802.1x協(xié)議的身份認(rèn)證技術(shù)(還可以基于應(yīng)用的身份認(rèn)證、也可以是基于Cisco的EOU技術(shù)的身份認(rèn)證),目的就是實現(xiàn)用戶賬號、IP、MAC的綁定,從計算機的確認(rèn)到人的確認(rèn)。
身份認(rèn)證模式是通過計算機內(nèi)安全客戶端軟件,完成登錄網(wǎng)絡(luò)的身份鑒別過程,MAC地址也是通過客戶端軟件送給認(rèn)證服務(wù)器的,具體的過程這里就不多說了。
一、 問題的提出與要求
有了802.1x的身份認(rèn)證,解決的MAC綁定的問題,但還是不能定位用戶計算機的物理位置,因為計算機接入在哪臺交換機的第幾個端口上,還是不知道,用戶計算機改變了物理位置,管理者只能通過其他網(wǎng)管系統(tǒng)逐層排查。那么,能否可以把交換機端口與IP、MAC一起綁定呢?這樣計算機的物理位置就確定了。
首先這是有關(guān)安全標(biāo)準(zhǔn)的要求:
1) 重要安全網(wǎng)絡(luò)中,要求終端安全要實現(xiàn)MACIP交換機端口的綁定
2) 有關(guān)專用網(wǎng)絡(luò)中,要求未使用的交換機端口要處于關(guān)閉狀態(tài)(未授權(quán)前不打開)
其次,實現(xiàn)交換機端口綁定的目標(biāo)是:
Ø防止外來的、未授權(quán)的計算機接入網(wǎng)絡(luò)(訪問網(wǎng)絡(luò)資源)
Ø當(dāng)有計算機接入網(wǎng)絡(luò)時,安全監(jiān)控系統(tǒng)能夠立即發(fā)現(xiàn)該計算機的MAC與IP,以及接入的交換機端口信息,并做出身份驗證,屬于未授權(quán)的能夠報警或終止計算機的繼續(xù)接入,或者禁止它訪問到網(wǎng)絡(luò)的任何資源
Ø當(dāng)有安全事件時,可以根據(jù)用戶綁定的信息,定位到機器(MAC與IP)、定位到物理位置(交換機端口)、定位到人(用戶賬號、姓名、電話…)
二、 實現(xiàn)交換機端口信息綁定的策略
根據(jù)接入交換機的安全策略,可以把端口信息綁定分為兩種方式:靜態(tài)方式與動態(tài)方式
1、靜態(tài)方式:固定計算機的位置,只能在預(yù)先配置好的交換機端口接入,未配置(授權(quán)申請)的不能接入網(wǎng)絡(luò)。
靜態(tài)的意思就是關(guān)閉交換機的MAC地址學(xué)習(xí)功能,計算機只能從網(wǎng)絡(luò)唯一允許的位置接入網(wǎng)絡(luò),否則交換機不給予數(shù)據(jù)轉(zhuǎn)發(fā),所以只要該計算機登錄,必然是固定的位置。
2、動態(tài)方式:計算機可以隨機接入交換機的不同端口,在網(wǎng)絡(luò)準(zhǔn)入身份認(rèn)證的同時,從交換機中動態(tài)提取計算機所在的交換機端口信息,動態(tài)地與MAC、IP等信息一起綁定。
動態(tài)的意思是安全系統(tǒng)在計算機接入網(wǎng)絡(luò)時,自動搜索到交換機的端口信息,當(dāng)然這個信息只能來自于交換機,不可能來自于客戶端軟件。
三、 交換機端口綁定方案一:協(xié)議改造
標(biāo)準(zhǔn)的802.1x協(xié)議中,交換機負(fù)責(zé)控制端口與數(shù)據(jù)端口的管理,但沒有把端口信息加載在認(rèn)證數(shù)據(jù)包中,一些交換機廠家擴展了802.1x協(xié)議(私有協(xié)議),增加了端口信息,顯然這種方案屬于動態(tài)綁定方式。
方案的要點:
Ø所有接入層的交換機要支持該私有擴展協(xié)議(交換機必須是同一廠家的)計算機
Ø終端安全系統(tǒng)的服務(wù)器要支持?jǐn)U展的認(rèn)證協(xié)議(增加交換機端口)
方案的優(yōu)缺點:
Ø優(yōu)點是綁定協(xié)議實現(xiàn)完整
Ø缺點是網(wǎng)絡(luò)交換機都需要是一個廠家的,因為私有協(xié)議是難以互通的,同時終端安全系統(tǒng)也需要是定制的
四、 交換機端口綁定方案二:主動查詢
修改交換機上的協(xié)議是困難的,但我們可以主動探測端口信息,交換機支持網(wǎng)管功能,通過查詢交換機內(nèi)的FDB表(交換機內(nèi)用來維護(hù)轉(zhuǎn)發(fā)的信息表,內(nèi)容包括對應(yīng)端口、MAC、Vlan),就可以獲得端口信息,顯然這種方案也是動態(tài)綁定方式。
實現(xiàn)步驟:
1) 用戶通過客戶端軟件進(jìn)行身份認(rèn)證
2) 交換機把認(rèn)證請求發(fā)送給服務(wù)器
3) 服務(wù)器通過SNMP協(xié)議查詢交換機的FDB表,確認(rèn)此時該PC所在的交換機端口號信息
4) 認(rèn)證服務(wù)器確認(rèn)賬號/MAC/IP/端口號,給出認(rèn)證通過信息
5) 用戶認(rèn)證通過,開始訪問業(yè)務(wù)
方案的要點:
Ø交換機支持網(wǎng)管功能(snmp協(xié)議),支持FDB表的查詢
Ø終端安全系統(tǒng)的服務(wù)器要定制支持FDB查詢功能
方案的優(yōu)缺點:
Ø優(yōu)點是可以采用不同廠家的交換機,只要支持網(wǎng)管snmp協(xié)議即可
五、 交換機端口綁定方案三:靜態(tài)綁定
安全性要求比較高的網(wǎng)絡(luò),交換機端口的分配是確定的,未分配的端口默認(rèn)是關(guān)閉的,因此,需要動態(tài)查詢的“機會”應(yīng)該說是沒有的,既然是確定的,就直接“寫入”到交換機內(nèi),不輕易改動,所以叫靜態(tài)方式。
實現(xiàn)步驟:
1) 關(guān)閉交換機的端口MAC學(xué)習(xí)功能,把計算機的MAC配置在交換機端口上,并把計算機的MAC與交換機端口信息,輸入到終端安全服務(wù)器的資源管理中
2) 用戶通過客戶端軟件進(jìn)行身份認(rèn)證計算機基礎(chǔ)知識
3) 交換機把認(rèn)證請求發(fā)送給服務(wù)器 (由于交換機端口中有該計算機的MAC,所以轉(zhuǎn)發(fā)認(rèn)證數(shù)據(jù)包)
4) 認(rèn)證服務(wù)器確認(rèn)賬號/MAC/IP,并從資源庫中提取交換機端口號信息,一同綁定,給出認(rèn)證通過信息
5) 用戶認(rèn)證通過,進(jìn)行正常訪問業(yè)務(wù) 計算機基礎(chǔ)教程
方案的要點:
Ø關(guān)閉交換機自學(xué)習(xí)功能,人工靜態(tài)配置MAC信息
Ø終端安全系統(tǒng)的服務(wù)器進(jìn)行資源管理,記錄MAC與交換機端口信息
方案的優(yōu)缺點:
Ø優(yōu)點是計算機接入端口信息固定,網(wǎng)絡(luò)準(zhǔn)入層次提高,避免計算機身份冒充行為,從交換機底層控制未知的計算機是不能接入網(wǎng)絡(luò)的
Ø缺點是人工配置MAC,安全管理工作多
六、 三種方案的比較
方案
方案特定
適用范圍
方案1:協(xié)議改造
協(xié)議實現(xiàn)完整,要求交換機是同廠家的,網(wǎng)絡(luò)改造投入大
適合新建網(wǎng)絡(luò),或者是小型網(wǎng)絡(luò)系統(tǒng)安全改造
方案2:主動查詢
方案相對完美,不要求交換機同廠家,但要求支持網(wǎng)管功能
適合大型網(wǎng)絡(luò)或網(wǎng)絡(luò)改造的安全管理
方案3:靜態(tài)綁定
方案相對簡單,對交換機沒有要求,方案的安全性又較高,尤其在未授權(quán)計算機的接入控制上
適合于涉密要求高的網(wǎng)絡(luò),適合于專用網(wǎng)絡(luò)的安全管理
本文出自 “Jack zhai” 博客,請務(wù)必保留此出處http://zhaisj.blog.51cto.com/219066/366563
本文出自 51CTO.COM技術(shù)博客
談?wù)処P、MAC與交換機端口綁定的方法