本帖最后由 IT邓邓爱踢 于 2022-1-6 11:08 编辑 ; j$ k$ m0 b( z: c; l6 A) w8 t6 i
; ^% G) ^& E) Z1 p
园区网络的 安全威胁一般来说来自两方面,其一是通常大家能想到的外网入侵,面对这种威胁,我们可以部署防火墙、沙箱等安全产品去抵御;另一方面则正如列宁所说:堡垒往往是从内部开始瓦解的----网络中接入的设备可能会有意或无意地造成攻击,这样的威胁我们就需要验证设备的合法性后才允许它们接入到我们的园区网络中,这就是准入控制技术。
( c% J% O" R6 k目前华为的准入控制技术有5种,分别是MAC认证,RADIUS认证,802.1X认证,PORTAL认证以及SACG。其中802.1X认证可能大家有些陌生,今天我们就来介绍下这种常见的认证技术。
% o Q, a1 `: `1 J7 }9 H, A概述3 X( {3 l+ }0 A' M V8 ^
802.1x认证,又称EAPOE认证,主要目的是为了解决局域网用户的接入认证问题。 " z6 m: d/ i, U$ W
IEEE802 LAN/WAN委员会为解决 无线局域网网络安全问题,提出了802.1x协议。后来,802.1x协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。 % V% l6 Q W7 P* p3 O% v
它是一种基于端口的网络接入控制协议。“基于端口的网络接入控制”是指,在局域网接入设备的端口这一级,对所接入的用户设备通过认证来控制对网络资源的访问。仅关注接入端口的状态,当合法用户接入时,该端口打开;当非法用户接入或没有用户接入时,该端口处于关闭状态。认证的结果在于端口状态的改变,而不涉及通常认证技术必须考虑的IP地址协商和分配问题,是各种认证技术中最简化的实现方案。 0 O9 m2 U1 y2 d( C. k" W
组件3 i' `" ]5 q6 `" f% b' {: E# z
802.1x系统为典型的Client/Server结构,包括三个实体:客户端(Client)、设备端(Device)和认证服务器(Server)。
l* y5 \ e. \4 W1 D5 G. a2 u
" d( X1 c5 y2 ]
准入控制技术之802.1x
D6 ?1 g0 X% Q& O' _
客户端:局域网用户终端设备,但必须是支持EAPOL的设备,如PC机。可通过启动客户端设备上安装的802.1x客户端软件发起802.1x认证。
+ G. C* S2 p }- C6 I设备端:支持802.1x协议的网络设备(如交换机),对所连接的客户端进行认证。它为客户端提供接入局域网的端口,可以是物理端口,也可以是逻辑端口(如Eth-trunk口)。
# b( f. |3 D9 ?% z1 n9 N) \7 {认证服务器:为设备端802.1x协议提供认证服务的设备,是真正进行认证的设备,实现对用户进行认证、授权和计费,通常为Radius服务器。
$ i& _' u4 c0 {! c2 ?
准入控制技术之802.1x
' \+ h) j4 a: n2 l+ S基本概念8 \! M6 j5 b4 x- I8 }# }7 r: J2 s
认证模式& V) H6 }2 \5 ?* {5 m" @, r4 E
1. 基于接口:当采用基于端口方式时,只要该端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源。但是当第一个用户下线后,其他用户也会被拒绝使用网络。 - k$ ]$ u2 r, R$ n! k
2. 基于MAC:当采用基于MAC地址方式时,该端口下的所有接入用户均需要单独认证。
8 E( H& U" x! E% H1 B认证方式 g+ H( ^ |1 t" D
1. EAP终结认证:由网络接入设备终结用户的EAP报文,解析出用户名和密码,并对密码进行加密,再发送到AAA服务器进行认证。
6 D! K8 l5 c" G4 y. Z2. EAP透传认证:也叫EAP中继认证,由网络接入设备直接把802.1x用户的认证信息以及EAP报文直接封装到Radius报文的属性(26)字段中,发送给Radius服务器,而无须将EAP报文转换成标准的Radius报文后再发给Radius服务器来完成认证。
0 G! @% t: h0 {/ X+ t端口控制方式+ \$ P* [* M! v
1. 自动识别模式:端口初始状态为非授权状态,仅允许EAPOL报文收发,不允许用户访问网络资源;如果认证流程通过,则端口切换到授权状态,允许用户访问网络资源。
* D- Y8 b& n8 i; Q. q$ f7 C" X2. 强制授权模式;端口始终处于授权状态,允许用户不经认证授权即可访问网络资源。
* z# Y, G; D& k8 P/ S. R3. 强制非授权模式;端口始终处于非授权状态,不允许用户访问网络资源。 " z2 K' X6 M8 E) r& T
EAP体系结构$ k0 G/ `7 h* l6 y7 ~5 c
: [/ G& W: q: H7 R8 z [7 r9 B
3 B8 i& D8 t0 ^# Z( e( W
' `/ G Q4 p3 b# Y9 b2 E" z$ @) ]& K& Q4 t
EAP:拓展认证协议。它本身不是一个认证机制,而是一个通用架构。用来传输实际的认证协议。EAP的好处就是当一个新的认证协议发展出来的时候,基础的EAP机制不需要随着改变。目前有超过20中不同的EAP协议。 EAP是一组以插件模块的形式为任何EAP类型提供结构支持的内部组件 它的设计理念是满足任何链路层的身份验证需求,支持多种链路层认证方式。EAP协议是IEEE802.1x认证机制的核心,它将实现细节交由附属的EAP Method协议完成,如何选取EAP method由认证系统特征决定。这样实现了EAP的扩展性及灵活性,如图所示,EAP可以提供不同的方法分别支持PPP,以太网、无线局域网的链路验证。 EAP可分为四层:EAP底层,EAP层,EAP对等和认证层和EAP方法层。! k* c" |9 q6 X# [
EAP底层负责转发和接收被认证端(peer)和认证端之间的EAP frames;EAP层接收和转发通过底层的EAP包;EAP对等和认证层在EAP对等层和EAP认证层之间对到来的EAP包进行多路分离;EAP方法层实现认证算法接收和转发EAP信息。基于EAP衍生了许多认证协议,如EAP-TLS [RFC5216]和EAP-pwd [RFC5931]等。其中EAP-SIM,EAP-smartcard和LEAP可以较好的适用于资源受限的设备。
; L5 ^- i5 D+ w( ^3 e$ i3 U4 q' O7 ]" M( }! a- \$ H d$ |
802.1X认证触发机制
% i5 M9 j: _( c+ P, c, {1.客户端主动触发方式:
. f# a: }* q; x6 `& E% c1 c1. 客户端主动向设备端发送EAPOL-Start报文来触发认证,该报文目的地址为IEEE 802.1X协议分配的一个组播MAC地址:01-80-C2-00-00-03。 - S2 G( v. L" D Y
2. 另外,由于网络中有些设备不支持上述的组播报文,使得认证设备无法收到客户端的认证请求,因此设备端还支持广播触发方式,即,可以接收客户端发送的目的地址为广播MAC地址的EAPOL-Start报文。 6 V6 }" O- Q+ J: |$ D
2. 设备端主动触发方式: & O& T2 @, n- q8 e2 O
设备端触发方式用于支持不能主动发送EAPOL-Start报文的客户端,例如Windows XP自带的802.1X客户端。根据发送EAPOL-Start报文的方式不同,有以下两种触发方式:
$ h2 V6 F7 k k; P/ \1. 组播触发:设备每隔N秒(缺省为30秒)主动向客户端发送组播EAP-Request/Identity报文来触发认证。 9 K" b* z# {7 E, i3 o
2. 单播触发:当设备收到源MAC地址未知的报文时,主动向该MAC地址发送单播报文来触发认证。若设备端在设置的时长内没有收到客户端的响应,则重发该报文。 ) t4 T& W' H) h6 N( M
802.1X:EAP终结认证/ H" `. Q5 v1 m) N, d
准入控制技术之802.1x
! p4 j% K- `8 K& d. m' c% u+ W/ t& X1. EAP终结认证是将EAP报文在设备端终结并映射到RADIUS报文中,利用标准RADIUS协议完成认证、授权和计费。设备端与RADIUS服务器之间可以采用PAP或者CHAP认证方法。7 d* ~! o8 C3 r8 M: ~8 |: {2 T% v" J
2. EAP终结认证过程如下:1. EAP客户端发送EAP-Start报文给设备。2. 设备发送EAP-Request/Identity报文给客户端。3. 客户端回应EAP-Response/Identity报文,报文携带用户名信息。4. 设备发送EAP-Request/MD5-Challenge报文给客户端。5. 客户端回应EAP-Response /MD5-Challenge报文,设备获取客户端的密码信息。6. 设备携带用户账户信息,到AAA系统进行认证。7. 认证通过后设备通知客户端认证成功,端口打开。8. 设备通过EAP探测判断EAP客户端是否维持在线。
9 [* Z$ D$ C, Y& w802.1X:EAP透传认证2 s2 ?5 u8 W+ R- D' [% c) B5 ^
准入控制技术之802.1x
% E0 O3 B2 v @
EAP透传认证,又叫做EAP中继认证,这种方式是IEEE 802.1X标准规定的,将EAP(可扩展认证协议)承载在其它高层协议中,如EAP over RADIUS,以便扩展认证协议报文穿越复杂的网络到达认证服务器。一般来说,EAP中继方式需要RADIUS服务器支持EAP属性:EAP-Message和Message-Authenticator,分别用来封装EAP报文及对携带EAP-Message的RADIUS报文进行保护。- l" x5 C2 Z. @
EAP透传认证的过程如下:1. EAP客户端发送EAP-Start报文给设备。2. 设备发送EAP-Request/Identity报文给客户端。3. 客户端回应EAP-Response/Identity报文,设备透传报文给RADIUS服务器。4. 设备收到RADIUS挑战报文后,发送EAP挑战报文EAP-Request/MD5-Challenge给客户端。5. 客户端回应EAP-Response/MD5-Challenge报文,设备透传报文给RADIUS服务器。6. 设备认证成功后,通知客户端认证成功,端口打开。7. 客户端在线过程中,设备通过EAP握手报文进行探测客户端是否保持在线。
+ z" d- c" \8 b9 }" @& l& }9 @1 EEAP 其他协议* l {7 U# t$ h6 M9 Z1 F- k
目前MD5不再安全,那有什么更好的机制来保证数据的安全性吗?
& t% u$ `* P8 Y) N3 v- O
准入控制技术之802.1x
准入控制技术之802.1x
802.1x协议对比
3 C, `5 ]% ]. g; v( m
准入控制技术之802.1x
, e, [, n2 J k, w7 H' c d5 t
" K/ p0 L. [8 A9 b' r( ]; ?
准入控制配置部署5 U9 j4 c$ ^: Z4 I( A3 T0 ?6 V
准入控制技术之802.1x
2 R0 [1 G X$ ]2 U" W& V" O. }环境介绍:8 i7 L8 D+ g2 C
该网络环境如图所示,某企业中含有以下设备。台式机,哑终端,笔记本以及个人手机PAD。现在要是这些设备都能被安全的接入到网络中。 ; f9 ~+ `4 P3 ` g5 T" d' L5 S
部署方案: 1. 在接入层/汇聚交换机或者AC开启802.1X功能,通过VLAN、ACL、UCL(敏捷交换机支持)控制权限。 2. 在交换机或者AC上配置FREE-RULE或者Guest VLAN放开认证前域资源。 3. 哑终端采用MAC旁路认证的方式,接入网络。
0 f. Q$ x+ z0 W- }依赖: 1. PC、笔记本实施802.1X的需安装AnyOffice客户端;手机和PAD当前需要手动配置802.1x参数。 2. 目前哑终端的MAC旁路认证,仅支持HW的交换机。 3. 如果在汇聚侧开启802.1x,接入侧交换机要配置EAP报文透传。 9 }6 c$ k" H- j* X
配置思路' f2 D" f2 G! C- i
准入控制技术之802.1x
3 M% j) p1 i. N& W8 g$ [& u) o- R% o' O5 I5 j" ]9 |
) `" M( ^- u- a& r4 @: M& j# S
准入控制技术之802.1x
准入控制技术之802.1x
8 a' `$ g: S- E+ n% A
准入控制技术之802.1x
2 d' ]" `$ f! n3 Z& Y# J8 g四、根据需求,配置802.1x的其他参数,具体参见设备产品文档。 1 g. h- ]2 r) y! d J
准入控制技术之802.1x
; _% P' e+ y0 o$ U
实验7 ~1 H# j, Q7 ?2 L$ s% m
准入控制技术之802.1x
Sw3: int vlanif 11 ip add 10.1.11.13 24 5 E' Z1 M2 p1 q! ?* e
Ping 10.1.11.30
+ R6 [+ h [5 PRadius-server test radius-server authentication 10.1.11.30 1812 radius-server accounting 10.1.11.30 1813 radius-server shared-key simple Huawei@123 Radius-server authorization 10.1.11.30 shared-key simple Huawei@123
0 w* _" @& c/ {: h5 p# I+ s. NAaa authentication-scheme test authentication-mode radius accounting-scheme test accounting-mode radius Domain default_admin authentication-scheme test accounting-scheme test radius-server temple test
, k+ L9 Y- f+ R( {) u2 A$ U8 g. XDomain default_admin
6 a! U4 R6 S. t: `' ~+ R+ {Dot1x enable Dot1x authenation-mode eap
% @; g" t/ N t3 K& [/ uInterface e0/0/6 dot1x enable # s& e: H" d V! \: v0 {3 I6 v7 l
另外还需要到controller上把路由修改下 ip route-static 10.1.13.0 mask 255.255.255.0 10.1.11.13 / Z5 `4 g' }( F$ `6 Y
到controller上创建相应的接入设备以及用户
8 U* [. w7 N" o9 G
准入控制技术之802.1x
) u/ }" @( P/ a7 a$ w I, R
测试:2 R+ L' b0 s* ~
在testpc2上能使用anyoffice登录
, k: c$ E7 [+ Z6 u( N0 k( V3 {在sw3上,使用display access-user7 j3 I) u9 y+ X# i2 d
display access-user user-id 19$ N/ L. G- E" m. z" l
display domain" U& l& m, G' _( _
优劣特点:
+ P+ ?* V4 I' b4 w, C802.1x (优点)
' @1 t' |' T- Y6 J8 [1 ~+ W, u1.部署点低,控制能力强
2 U4 ]4 z& K( _$ d" r2.支持哑终端认证 % ]$ R( v" L: [1 t/ |2 H2 b" ?: `
(缺点)* r2 t. G. n8 ~+ r' `
1.需要客户端, Z z/ j; F9 l+ R
2.控制点低,部署和维护比较复杂
& Q- a/ o6 U6 o8 `1 N1 S$ v: e+ f8 L) B. n1 y
1.部署和维护比较复杂/ n6 e2 X/ g6 ^6 c! d
2.公司交换机不同厂商,不能用脚本刷配置,RADIUS的26属性不通用 |