基于802.1X的校園網(wǎng)接入認(rèn)證安全防御

ARP入侵檢測防御

為了防止黑客或攻擊者通過ARP報(bào)文實(shí)施中間人攻擊或會(huì)話劫持攻擊，需要使用交換機(jī)網(wǎng)絡(luò)(通過交換機(jī)傳輸)代替共享式網(wǎng)絡(luò)(通過集線器傳輸)，此外還需要使用靜態(tài)ARP、捆綁MAC地址+IP地址等ARP入侵檢測功能來限制欺騙。用戶可以通過配置信任端口，靈活控制ARP報(bào)文檢測。對于來自信任端口的所有ARP報(bào)文不進(jìn)行檢測，對其他端口的ARP報(bào)文檢測其源MAC地址、源IP地址等信息與DHCPSnooping表或手工配置的IP靜態(tài)綁定表項(xiàng)是否一致，一致則認(rèn)為是合法ARP報(bào)文，進(jìn)行轉(zhuǎn)發(fā)；否則直接丟棄。

IP過濾防御

為了防止拒絕服務(wù)攻擊和I P 地址偽造，交換機(jī)可以通過DHCP Snooping表和IP靜態(tài)綁定表，對非法IP 報(bào)文進(jìn)行過濾。交換機(jī)對IP報(bào)文的過濾方式有兩種：根據(jù)報(bào)文中的源IP 地址進(jìn)行過濾和根據(jù)報(bào)文中的源IP 地址和源MAC地址進(jìn)行過濾。如果報(bào)文中信息與DHCP Snooping表或手工配置的IP靜態(tài)綁定表項(xiàng)一致，則認(rèn)為是合法的報(bào)文，進(jìn)行轉(zhuǎn)發(fā)；否則認(rèn)為是非法報(bào)文，直接丟棄。

ARP入侵檢測+IP過濾防御

前文中提到802.1X認(rèn)證雖然可以檢測用戶名、用戶IP地址、用戶MAC地址等信息，但其實(shí)是基于用戶MAC地址+交換機(jī)端口綁定的，要想實(shí)現(xiàn)ARP入侵檢測防御和IP過濾防御，就必需在接入認(rèn)證交換機(jī)上做到“真實(shí)”的用戶IP地址+用戶MAC地址+交換機(jī)端口的綁定。這樣不但可以防止中間人攻擊和拒絕服務(wù)攻擊等，還可以避免大部分網(wǎng)絡(luò)接入盜用情況。但是仍存在一種盜用情況尚未解決：影子用戶，即與合法用戶完全相同的用戶名、密碼、IP 地址、MAC地址信息等。針對這種情況則需要更多的信息綁定來防止盜用，如VLAN或PC標(biāo)識等。

對于DHCP動(dòng)態(tài)分配IP模式，用戶通過802.1X認(rèn)證后，DHCP服務(wù)器下發(fā)IP地址，經(jīng)過接入認(rèn)證交換機(jī)時(shí)形成DHCPSnooping表綁定用戶IP地址+用戶MAC地址+交換機(jī)端口。然而動(dòng)態(tài)分配IP模式，存在著非法用戶偽造合法用戶申請IP地址和網(wǎng)絡(luò)參數(shù)，可能造成IP 地址浪費(fèi)。

對于靜態(tài)分配IP模式，用戶可以手工配置IP靜態(tài)綁定表項(xiàng)，但當(dāng)網(wǎng)絡(luò)規(guī)模較大時(shí)，手工配置工作量增加，顯然不太現(xiàn)實(shí)。由于802.1X認(rèn)證服務(wù)器存在一個(gè)數(shù)據(jù)庫，數(shù)據(jù)庫中包含用戶名、用戶IP地址、用戶MAC 地址等對應(yīng)信息表項(xiàng)，故可以通過802.1X認(rèn)證服務(wù)器下發(fā)用戶IP地址、用戶MAC地址等表項(xiàng)到接入認(rèn)證交換機(jī)，這樣可避免手工配置的麻煩，降低網(wǎng)絡(luò)維護(hù)成本，從而達(dá)到用戶IP地址+用戶MAC地址+交換機(jī)設(shè)備+交換機(jī)端口的綁定關(guān)系。

在混合地址分配環(huán)境下，即IP地址的動(dòng)態(tài)分配與靜態(tài)分配結(jié)合情況，基于802.1X都可以很好地做到IP+MAC綁定關(guān)系來抵御中間人攻擊、拒絕服務(wù)攻擊、IP地址偽造、MAC地址偽造、網(wǎng)絡(luò)接入盜用等安全威脅，有利于營造一個(gè)安全可靠、可運(yùn)營、可管理的網(wǎng)絡(luò)環(huán)境。

本文探討了基于802.1X的校園網(wǎng)接入認(rèn)證安全防御，采用802.1X認(rèn)證技術(shù)，結(jié)合ARP入侵檢測防御和IP過濾防御機(jī)制，經(jīng)過在校園網(wǎng)實(shí)際應(yīng)用中，表明這些機(jī)制有助于校園網(wǎng)管理、維護(hù)工作，能夠很好地解決校園網(wǎng)難管理及安全問題，可減少管理和維護(hù)工作，提升校園網(wǎng)的安全性，能夠?yàn)樾@信息化建設(shè)提供重要的支撐平臺。