謝敬銳 黃佑強(qiáng) 劉星程 王世玲 張江

摘要：局域網(wǎng)接口的安全性往往被網(wǎng)絡(luò)管理員所忽視，然而統(tǒng)計(jì)數(shù)字表明，大多數(shù)的信息外泄其實(shí)源自網(wǎng)絡(luò)內(nèi)部。使用商用的802.1X認(rèn)證協(xié)議可以有效提高局域網(wǎng)安全性，然而對(duì)于大多數(shù)企事業(yè)單位而言，購買商用的系統(tǒng)費(fèi)用過高。本文提出了一種使用微軟自帶組件作為802.1X認(rèn)證服務(wù)軟件的免費(fèi)認(rèn)證方案，該方案和商用系統(tǒng)相比，成本無疑是極其低廉的。

關(guān)鍵詞：802.1X;局域網(wǎng)安全;認(rèn)證服務(wù)

中圖分類號(hào)：TP393 ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2020）17-0051-03

Absrtact： The security of LAN interface is often ignored by network administrators. However， statistics show that most of the information leakage comes from the inside of the network. Using commercial 802.1x authentication protocol can effectively improve the security of LAN， but for most enterprises and institutions， the cost of purchasing commercial system is too high. This paper presents a free authentication solution using Microsoft's own components as 802.1x authentication service software. Compared with commercial system， the cost of this solution is very low.

Key words： 802.1X; LAN security; authentication services

1 研究背景

統(tǒng)計(jì)數(shù)字表明，大多數(shù)信息安全威脅其實(shí)來自網(wǎng)絡(luò)內(nèi)部。忽視內(nèi)網(wǎng)安全，是很多企事業(yè)單位發(fā)生信息安全事故的主要原因。對(duì)局域網(wǎng)安全管控固然有一些現(xiàn)成的產(chǎn)品，然而動(dòng)輒數(shù)十萬甚至上百萬的建設(shè)費(fèi)用往往讓很多企業(yè)望而卻步，如何使用有限的預(yù)算提升局域網(wǎng)的安全性是網(wǎng)絡(luò)管理者必須關(guān)注的問題。為解決這一問題，本文提出了一種免費(fèi)的局域網(wǎng)終端接入認(rèn)證方案。該方案只需采用微軟自帶的Internet驗(yàn)證服務(wù)（IAS）和支持802.1X的交換機(jī)即可實(shí)現(xiàn)對(duì)企業(yè)內(nèi)網(wǎng)安全的有效管理和控制。

2 相關(guān)技術(shù)簡介

2.1 802.1X認(rèn)證協(xié)議概論

IEEE 802.1X認(rèn)證是一種基于端口的功能強(qiáng)大的接入認(rèn)證體系，它可以在網(wǎng)絡(luò)端口層級(jí)上拒絕非認(rèn)證用戶的接入，從而有效地防范非認(rèn)證網(wǎng)絡(luò)及終端接入局域網(wǎng)。支持IEEE 802.1X協(xié)議的網(wǎng)絡(luò)設(shè)備，在終端通過認(rèn)證之前，終端所連接的端口處于關(guān)閉狀態(tài)，僅能收發(fā)EAPoL（局域網(wǎng)擴(kuò)展認(rèn)證協(xié)議）認(rèn)證包信息，不允許終端連接網(wǎng)絡(luò)。終端通過EAPoL經(jīng)交換機(jī)向遠(yuǎn)程認(rèn)證服務(wù)器（RADIUS）發(fā)送認(rèn)證請(qǐng)求，認(rèn)證通過后，網(wǎng)絡(luò)設(shè)備開啟端口，終端接入網(wǎng)絡(luò)。

2.2 802.1X認(rèn)證協(xié)議體系結(jié)構(gòu)

802.1X是一種基于端口的訪問控制協(xié)議，其體系結(jié)構(gòu)包括三個(gè)部分：客戶端、認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器。

2.2.1 客戶端系統(tǒng)

802.1X的客戶端系統(tǒng)一般是指請(qǐng)求接入局域網(wǎng)的一個(gè)用戶終端，該終端通常需要安裝一個(gè)客戶端軟件，用戶通過這個(gè)軟件發(fā)起局域網(wǎng)入網(wǎng)認(rèn)證過程。

2.2.2 認(rèn)證系統(tǒng)

認(rèn)證系統(tǒng)一般是指支持802.1X協(xié)議的網(wǎng)絡(luò)設(shè)備，這種類型的網(wǎng)絡(luò)設(shè)備每個(gè)端口都有兩個(gè)邏輯端口：不受控端口和受控端口。不受控端口在所有階段始終處于連通狀態(tài)，允許EAPOL協(xié)議幀自由通過，使得客戶端可以通過EAPOL協(xié)議發(fā)起或接受認(rèn)證。受控端口只有在通過認(rèn)證的情況下才打開，打開后即代表客戶端可以正常訪問局域網(wǎng)。

2.2.3 認(rèn)證服務(wù)器

遠(yuǎn)程認(rèn)證（RADIUS）服務(wù)器根據(jù)用戶名和密碼來決定是否讓客戶端接入網(wǎng)絡(luò)，RADIUS服務(wù)器存儲(chǔ)著用戶的相關(guān)信息，例如用戶所屬的VLAN、優(yōu)先級(jí)、訪問控制列表等。用戶通過認(rèn)證后，RADIUS服務(wù)器會(huì)把上述信息發(fā)送給認(rèn)證系統(tǒng)，由認(rèn)證系統(tǒng)分配用戶的VLAN并構(gòu)建用戶的訪問控制列表，從而讓用戶接入局域網(wǎng)。

2.3 802.1X認(rèn)證協(xié)議技術(shù)特點(diǎn)

2.3.1 協(xié)議實(shí)現(xiàn)簡單

802.1X認(rèn)證協(xié)議為二層網(wǎng)絡(luò)協(xié)議，對(duì)設(shè)備的性能要求不高，可以有效降低組網(wǎng)成本。

2.3.2 認(rèn)證和業(yè)務(wù)分離

802.1X協(xié)議的認(rèn)證系統(tǒng)提出了將網(wǎng)絡(luò)端口邏輯劃分為“受控端口”和“不受控端口”的技術(shù)，該技術(shù)可以將業(yè)務(wù)數(shù)據(jù)流和認(rèn)證數(shù)據(jù)流進(jìn)行分離，從而有效地提高了認(rèn)證的安全性和認(rèn)證效率。

2.3.3 和其他認(rèn)證方式的比較

和傳統(tǒng)的Web/Portal認(rèn)證方式相比，802.1X認(rèn)證協(xié)議主要有兩個(gè)好處。一是部署成本低。Web/Portal認(rèn)證工作在應(yīng)用層，對(duì)設(shè)備性能有較高要求;802.1X認(rèn)證協(xié)議工作在數(shù)據(jù)鏈路層，組網(wǎng)成本低。二是安全性更好。Web/Portal是應(yīng)用層認(rèn)證協(xié)議，通過Web認(rèn)證核實(shí)用戶身份，特點(diǎn)是“先入網(wǎng)，再認(rèn)證”;802.1X是底層認(rèn)證協(xié)議，特點(diǎn)是“先認(rèn)證，再入網(wǎng)”，未經(jīng)認(rèn)證的終端連局域網(wǎng)都不能進(jìn)入，具有更高的安全性。

3基于802.1X協(xié)議的局域網(wǎng)入網(wǎng)免費(fèi)認(rèn)證方案

3.1網(wǎng)絡(luò)設(shè)計(jì)

基于802.1X協(xié)議的局域網(wǎng)入網(wǎng)認(rèn)證方案網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。認(rèn)證環(huán)境由終端、交換機(jī)、RADIUS 服務(wù)器組成。交換機(jī)均選用支持802.1X認(rèn)證功能的華為5700交換機(jī);RADIUS服務(wù)器安裝Windows2003操作系統(tǒng)，并預(yù)裝Internet驗(yàn)證服務(wù)組件（IAS）和活動(dòng)目錄（AD）組件;終端安裝802.1X認(rèn)證客戶端。

3.2認(rèn)證過程

基于802.1X協(xié)議的局域網(wǎng)入網(wǎng)認(rèn)證過程如圖2所示。

（1）客戶端向支持802.1X協(xié)議的交換機(jī)發(fā)送EAPOL-Start請(qǐng)求幀，收到交換機(jī)響應(yīng)后進(jìn)一步發(fā)送客戶端身份標(biāo)識(shí)信息。

（2）交換機(jī)將EAPOL請(qǐng)求及身份標(biāo)識(shí)信息發(fā)送至RADIUS認(rèn)證服務(wù)器進(jìn)行驗(yàn)證。

（3）RADIUS服務(wù)器接收到客戶端信息后，首先根據(jù)登記的用戶信息進(jìn)行認(rèn)證，若認(rèn)證通過，則將認(rèn)證結(jié)果及用戶對(duì)應(yīng)的VLAN發(fā)送至交換機(jī)。

（4）交換機(jī)若收到認(rèn)證通過的結(jié)果，則將“受控端口”打開，并劃入對(duì)應(yīng)VLAN，讓客戶端正常接入網(wǎng)絡(luò)。

3.3交換機(jī)和服務(wù)器配置

3.3.1交換機(jī)的配置

（1）劃分網(wǎng)絡(luò)

將圖1所示的網(wǎng)絡(luò)結(jié)構(gòu)，劃分至三個(gè)不同的VLAN，見下表。

RADIUS服務(wù)器和交換機(jī)劃入VLAN10，終端劃入VLAN20或VLAN30。

（2） 設(shè)置核心交換機(jī)

對(duì)核心交換機(jī)的設(shè)置主要包括：建立和管理所有VLAN，設(shè)置與接入層交換機(jī)的級(jí)聯(lián)等。

（3） 設(shè)置接入層交換機(jī)

對(duì)接入層交換機(jī)的設(shè)置主要包括：開啟全局802.1X認(rèn)證協(xié)議，開啟端口的802.1X認(rèn)證功能、將交換機(jī)的缺省域設(shè)置為RADIUS服務(wù)器所在域、開啟端口的VLAN自動(dòng)分配功能并建立和認(rèn)證服務(wù)器的互聯(lián)。

3.3.2 RADIUS服務(wù)器的配置

（1）活動(dòng)目錄服務(wù)的設(shè)置

正常運(yùn)行IAS服務(wù)需要AD服務(wù)的支持，本例中AD服務(wù)與IAS服務(wù)裝在同一臺(tái)服務(wù)器。在AD服務(wù)器中建立名為VLAN20、VLAN30的兩個(gè)用戶組，在兩個(gè)用戶組下分別建立test20、test30兩個(gè)用戶賬號(hào)，如圖3所示。

（2）IAS服務(wù)的設(shè)置

本例使用Windows2003自帶的Internet驗(yàn)證服務(wù)作為802.1X協(xié)議的認(rèn)證服務(wù)軟件。為實(shí)現(xiàn)認(rèn)證服務(wù)器與接入層交換機(jī)的信息交互，需要在Radius客戶端中添加交換機(jī)，地址為交換機(jī)管理接口地址（圖4）。

在“遠(yuǎn)程訪問策略”中，新建策略VLAN20和VLAN30，設(shè)置策略屬性為“允許全時(shí)段接入”，并將策略與同名的活動(dòng)目錄進(jìn)行匹配。添加策略后，編輯配置文件，設(shè)置身份驗(yàn)證方式為 “加密身份驗(yàn)證（CHAP）”和交換機(jī)的認(rèn)證方式保持一致。在“編輯撥入配置文件”的高級(jí)選項(xiàng)中，添加如下字段信息（圖5）：Tunnel_Medium_Type=802，Tunnel_Type=VLAN， Tunnel_Pvt_Group_ID=20。上述字段設(shè)置的含義是：客戶端通過認(rèn)證后，IAS對(duì)接入層交換機(jī)發(fā)送VLAN20的信息，交換機(jī)將根據(jù)此信息將端口設(shè)置為VLAN20，從而實(shí)現(xiàn)了動(dòng)態(tài)VLAN。

4結(jié)語

采用802.1X認(rèn)證技術(shù)對(duì)用戶進(jìn)行入網(wǎng)認(rèn)證，對(duì)于提高內(nèi)網(wǎng)安全性而言是一種質(zhì)的提升。原因在于絕大多數(shù)企業(yè)對(duì)于局域網(wǎng)接口沒有做任何安全控制，多數(shù)網(wǎng)絡(luò)管理員往往對(duì)局域網(wǎng)接口給予完全的信任，殊不知絕大部分的信息外泄其實(shí)是這些接口導(dǎo)致的。對(duì)局域網(wǎng)的接口進(jìn)行強(qiáng)制的安全認(rèn)證，可以從源頭開始就對(duì)信息安全進(jìn)行嚴(yán)格控制，從物理層面堵死信息外泄的渠道，從而極大地提升企事業(yè)單位的網(wǎng)絡(luò)安全性。目前，付費(fèi)的RADIUS認(rèn)證服務(wù)軟件部署成本一般在數(shù)十萬元左右，本方案所采用的RADIUS認(rèn)證服務(wù)軟件、AD服務(wù)軟件均選用了Windows自帶的免費(fèi)服務(wù)組件，和商用RADIUS認(rèn)證軟件相比，成本無疑是極其低廉的。

參考文獻(xiàn)：

[1] 徐波，張勤慧.基于802.1x協(xié)議的RADIUS認(rèn)證原理及分析[J].計(jì)算機(jī)與現(xiàn)代化，2012（6）：106-108.

[2] 康瑞鋒.基于802.1X與RADIUS聯(lián)動(dòng)的H3C校園網(wǎng)配置探討[J].電腦知識(shí)與技術(shù)，2013，9（10）：2310-2313.

[3] 馬菲.基于Radius和802.1x的校園網(wǎng)認(rèn)證計(jì)費(fèi)體系研究與設(shè)計(jì)[J].電腦知識(shí)與技術(shù)，2016，12（22）：30-31.

[4] 董貞良，呂述望，王昭順.基于802.1X的內(nèi)網(wǎng)安全管理系統(tǒng)認(rèn)證模塊設(shè)計(jì)[J].計(jì)算機(jī)工程，2007，33（12）：193-195，198.

[5] 于承斌，尚年，楊慧慧，等.基于802.1x協(xié)議的認(rèn)證系統(tǒng)的研究與改進(jìn)[J].計(jì)算機(jī)工程，2008，34（17）：117-119.

【通聯(lián)編輯：唐一東】