论文部分内容阅读
摘要:对校园网中存在安全隐患的网络边界实施“端点准入”认证机制的方法进行了研究,详细分析了基于802.1x的认证机制的工作原理及其体系结构,提供了在linux上实现此种认证机制的方法。
关键词:802.1x;端点准入;Linux;RADIUS
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)03-10684-03
1 引言
“端点准入”是指对接入网络的用户按照“先认证,再接入”的原则进行认证和控制,通过认证,才能访问网络资源,不能通过认证,则无法访问网络资源——相当于连接被物理断开。
校园网中的公共多媒体教室,学生宿舍、招待所等具有移动办公需求以及人员流动频繁的场所,如果不能对用户身份进行有效认证,就算采取了VLAN、ACL等技术手段,也将面对如此安全隐患:只要用户终端最终能连接到交换机端口,它就具备了系统管理员赋予这个端口的权限,就能访问到相应的网络资源,而任何一台接进网络的终端的安全状态(主要是指终端的防病毒能力、补丁级别和系统安全设置),都将直接影响到整个网络的安全,在一个“接入失控”的网络中,最终的结果可能是重要数据泄密、丢失;蠕虫、ARP病毒等泛滥而导致全网瘫痪,因此,我们需要一种能部署在网络边界上,对接入用户进行认证和授权的方法,来提高网络的安全性与主动防御能力,而基于802.1x的“端点准入”机制能较好的解决这个问题。
2 802.1X简述
2.1 802.1X协议及其体系结构
802.1X协议起源于802.11协议,后者是标准的无线局域网协议,最初802.1X的主要目的是为了解决无线局域网用户的接入认证问题,现在已成规模应用在需要对端口加以管理,实现用户级接入控制的网络中,802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略,是基于端口的认证策略,这里的端口可以是一个物理端口,也可以是一个逻辑端口,802.1X的认证的最终目的就是确定一个端口是否可用,对于一个端口如果认证成功那么就“打开”这个端口,允许所有的报文通过,如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过,使用802.1x的系统为典型的C/S(Client/Server)体系结构,包括三个实体,如图1所示分别为:Supplicant System(接入系统)、Authenticator System(认证系统)以及Authentication Server System(认证服务器系统)。
(1)Supplicant System客户端(接入系统):Client,指接入到校园网的设备(如用户PC),需要安装 802.1X的客户端(Supplicant)软件,如交换机厂家公司提供的802.1X 客户端或Windows XP 自带的 802.1X 客户端等。
图1
(2)Authenticator System(认证系统):指switch(边缘交换机或无线接入设备),是根据客户的认证状态控制物理接入的设备,switch在客户端和认证服务器间充当代理角色,switch要求客户端提供认证信息,接收到后再发送到认证服务器,返回等同,switch根据认证结果控制端口是否可用。
(3)Authentication Server System(认证服务器系统):对客户进行实际认证,通知switch是否允许客户端访问网络。
2.2 802.1X的认证过程
2.2.1 认证前后交换机端口的状态
802.1X的认证中,端口的状态决定了客户端是否能接入网络,在启用802.1X认证时端口初始状态一般为非授权(unauthorized),在该状态下除802.1X报文和广播报文外不允许任何业务输入输出通讯,当客户通过认证后,端口状态切换到授权状态(authorized),允许客户端通过端口进行正常通讯。
2.2.2 802.1X基本的认证过程
认证通过前通道的状态为unauthorized,此时只能通过802.1X认证报文,认证通过时通道的状态切换为authorized,此时从认证服务器可以传递来用户的信息,比如VLAN,QOS,用户的访问控制列表等等,认证通过后用户的流量就将接受上述参数的监管,此时该通道可以通过任何报文,注意只有认证通过后才有DHCP等過程。
3 构建基于802.1X的“端点准入”校园网
3.1 Authenticator System(认证系统)的部署:
认证系统可以部署在接入层和汇聚层,但从减少网络流量,降低配置复杂度的角度出发,最好能部署在接入层(如图2),这样能实现真正的点到点认证,目前CISCO、huawei-3com等主流厂家设备均支持802.1X,本文所涉及到的交换机设备以及相关配置命令将以huawei-3com设备为例(以下将简称交换机)。
图2
3.2 Authentication Server System(认证服务器系统)的搭建
802.1X提供了一个用户身份认证的实现方案,但仅依靠802.1X不足以实现该方案,还需要对AAA(Authentication,Authorization and Accounting(认证、授权和计费)方法进行配置,AAA是一种管理框架,它可以用多种协议来实现,最常用来实现AAA的是RADIUS协议。
RADIUS是Remote Authentication Dial-In User Service(远程认证拨号用户服务)的简称,它是一种分布式的、客户机/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常被应用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中,本文为方便说明问题,将认证服务器系统简单视为RADIUS服务器。
3.2.1 Authentication Server(RADIUS 服务器)平台的比较与选择
(1)用交换机做本地 RADIUS 服务器
huawei-3com的Quidway 系列交换机提供了本机的简单 RADIUS 服务器端功能(包括认证和授权),不需要额外添置设备,就能实现本地认证,但其缺点也显而易见:在交换机上要做本地用户(local-user)配置,不能实现用户的集中管理与备份,不利于大规模部署。
(2)采用商业软件搭建RADIUS服务器
CISCO的Cisco Secure ACS 3.3,huawei-3com的CAMS软件功能强大,使用、管理方便,预算充足的情况下应该是首选。
(3)用FreeRadius搭建RADIUS服务器
在Linux平台上用FreeRadius实现,若配合MYSQL,用PHP或ASP等做后续开发,更能扩展管理功能,本文将在此方案上展开讨论。
3.3 Supplicant System客户端(接入系统)软件
如果接入层设备是huawei-3com交换机,为达到最佳控制效果,建议安装厂家提供的H3C802.1X客户端软件(图3),该软件针对huawei-3com设备做了功能扩展,能有效防止用户通过代理方式绕过“端点准入”认证机制,否则用前述其它客户端亦可。
图3
3.4 “端点准入”认证机制各系统的主要配置
3.4.1 Authenticator System(认证系统)的配置
在接入层交换机上启用802.1X:
# 开启指定端口E0/1的802.1X特性。
[Quidway] dot1x interface E0/1
# 创建RADIUS组radius1并进入其视图。
[Quidway] radius scheme radius1
# 设置主认证RADIUS服务器的IP地址为;10.11.1.1
[Quidway-radius-radius1] primary authentication 10.11.1.1
# 设置交换机与认证 RADIUS 服务器交互报文时的密钥。
[Quidway-radius-radius1] key authentication 0731
# 指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。
[Quidway-radius-radius1] user-name-format without-domain
[Quidway-radius-radius1] quit
# 根据实际情况创建用户域cseptc.com
[Quidway] domain cseptc.com
# 指定 radius1 为该域用户的RADIUS方案。
[Quidway-isp-cseptc.com] radius-scheme radius1
# 开启全局802.1X特性。
[Quidway] dot1x
3.4.2 Authentication Server System(认证服务器系统)的安装与配置
(1)安装linux服务器
版本:RedHat 9.0,其IP地址为在交换机上配置的主认证RADIUS服务器的IP地址:10.11.1.1。
(2)安装FreeRadius
版本:从www.freeradius.org下载的freeradius-1.1.3.tar.bz2。
# tar zxvf freeradius-1.1.3.tar.bz2
# cd freeradius-1.1.3
# ./configure --localstatedir=/var --sysconfdir=/etc
# make
# make install
freeradius 被安装在/usr/local/etc/raddb下,用radiusd-X启动到debug模式,当出现启动完成等待“request”的提示后,表示RADIUS服务已经被正确安装。
(3)配置clients.conf
# vi/usr/local/etc/raddb/clients.conf,打开 clients.conf 添加接入层交换机,比如添加一台型号为3026、IP地址是10.232.223.2的交换机:
client 10.232.223.2 {
secret = 0731;密钥,与交换机中的配置保持一致
shortname = 3026;给交换机一个名字,这里用型号命名
nastype=other}
如此配置后,RADIUS服务器才会对10.232.223.2这台交换机发出的认证报文做回应,否则会忽略它发出的认证报文。
(4)编辑users
# vi /usr/local/etc/raddb/users,加入要认证的用户账号test并设密码为“123456”:
test Auth-Type := chap, User-Password == "123456"
CHAP是一种加密的验证方式,能够避免建立连接时传送用户的真实密码。
注:在clients.conf,users里,系统对每项配置的意义做了详细说明,在编辑时可作为参考。
(5)刷新RADIUS服务
# ps –aux |grep radiusd;查询RADIUS进程号
# kill -9 xxxxx;根据进程号,杀掉RADIUS进程
# radiusd -X;重启
图4为“端点准入”认证系统各部分协同工作的示意图:
图4 “端点准入”认证系统各部分协同工作
3.4.3 系统调试时的几个关键点
(1)保证交换机与RADIUS 服务器之间线路(物理层/链路层)通畅。
(2)确保RADIUS 服务器和交换机的报文加密密钥相同。
(3)用命令“domain default enable cseptc.com”将交换机默认的认证域指到新建的cseptc.com域上。
(4)如果不需要对用户计费的话,用命令“accounting optional”打开计费可选开关,否则交换机只会发本地认证报文而不会往RADIUS服务器发认证报文,这个故障很隐蔽和困扰人,不进行抓包分析的话很难定位。
(5)clients.conf或users更改后,刷新RADIUS服务后更改内容才起作用。
(6)由于交换机支持一台主RADIUS服务器、一台备份RADIUS服务器协同工作的模式,故实际应用中,推荐部署两台服务器互为备份。
4 结束语
linux平台上基于802.1X的“端点准入”认证机制,能充分发挥设备能力,使校园网络边界“可控”和“在控”,在人们对网络安全日益关注的今天,此技术必将得到广泛的应用。
参考文献:
[1]Matthew S. Gast. 802.11无线网络权威指南(第二版,影印版). 东南大学出版社,2006.
[2]www.freeradius.org. FAQ From FreeRADIUS Wiki.
[3]www.huawei-3com.com.cn. Quidway S8505路由交換机操作手册.
本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。
关键词:802.1x;端点准入;Linux;RADIUS
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)03-10684-03
1 引言
“端点准入”是指对接入网络的用户按照“先认证,再接入”的原则进行认证和控制,通过认证,才能访问网络资源,不能通过认证,则无法访问网络资源——相当于连接被物理断开。
校园网中的公共多媒体教室,学生宿舍、招待所等具有移动办公需求以及人员流动频繁的场所,如果不能对用户身份进行有效认证,就算采取了VLAN、ACL等技术手段,也将面对如此安全隐患:只要用户终端最终能连接到交换机端口,它就具备了系统管理员赋予这个端口的权限,就能访问到相应的网络资源,而任何一台接进网络的终端的安全状态(主要是指终端的防病毒能力、补丁级别和系统安全设置),都将直接影响到整个网络的安全,在一个“接入失控”的网络中,最终的结果可能是重要数据泄密、丢失;蠕虫、ARP病毒等泛滥而导致全网瘫痪,因此,我们需要一种能部署在网络边界上,对接入用户进行认证和授权的方法,来提高网络的安全性与主动防御能力,而基于802.1x的“端点准入”机制能较好的解决这个问题。
2 802.1X简述
2.1 802.1X协议及其体系结构
802.1X协议起源于802.11协议,后者是标准的无线局域网协议,最初802.1X的主要目的是为了解决无线局域网用户的接入认证问题,现在已成规模应用在需要对端口加以管理,实现用户级接入控制的网络中,802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略,是基于端口的认证策略,这里的端口可以是一个物理端口,也可以是一个逻辑端口,802.1X的认证的最终目的就是确定一个端口是否可用,对于一个端口如果认证成功那么就“打开”这个端口,允许所有的报文通过,如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过,使用802.1x的系统为典型的C/S(Client/Server)体系结构,包括三个实体,如图1所示分别为:Supplicant System(接入系统)、Authenticator System(认证系统)以及Authentication Server System(认证服务器系统)。
(1)Supplicant System客户端(接入系统):Client,指接入到校园网的设备(如用户PC),需要安装 802.1X的客户端(Supplicant)软件,如交换机厂家公司提供的802.1X 客户端或Windows XP 自带的 802.1X 客户端等。
图1
(2)Authenticator System(认证系统):指switch(边缘交换机或无线接入设备),是根据客户的认证状态控制物理接入的设备,switch在客户端和认证服务器间充当代理角色,switch要求客户端提供认证信息,接收到后再发送到认证服务器,返回等同,switch根据认证结果控制端口是否可用。
(3)Authentication Server System(认证服务器系统):对客户进行实际认证,通知switch是否允许客户端访问网络。
2.2 802.1X的认证过程
2.2.1 认证前后交换机端口的状态
802.1X的认证中,端口的状态决定了客户端是否能接入网络,在启用802.1X认证时端口初始状态一般为非授权(unauthorized),在该状态下除802.1X报文和广播报文外不允许任何业务输入输出通讯,当客户通过认证后,端口状态切换到授权状态(authorized),允许客户端通过端口进行正常通讯。
2.2.2 802.1X基本的认证过程
认证通过前通道的状态为unauthorized,此时只能通过802.1X认证报文,认证通过时通道的状态切换为authorized,此时从认证服务器可以传递来用户的信息,比如VLAN,QOS,用户的访问控制列表等等,认证通过后用户的流量就将接受上述参数的监管,此时该通道可以通过任何报文,注意只有认证通过后才有DHCP等過程。
3 构建基于802.1X的“端点准入”校园网
3.1 Authenticator System(认证系统)的部署:
认证系统可以部署在接入层和汇聚层,但从减少网络流量,降低配置复杂度的角度出发,最好能部署在接入层(如图2),这样能实现真正的点到点认证,目前CISCO、huawei-3com等主流厂家设备均支持802.1X,本文所涉及到的交换机设备以及相关配置命令将以huawei-3com设备为例(以下将简称交换机)。
图2
3.2 Authentication Server System(认证服务器系统)的搭建
802.1X提供了一个用户身份认证的实现方案,但仅依靠802.1X不足以实现该方案,还需要对AAA(Authentication,Authorization and Accounting(认证、授权和计费)方法进行配置,AAA是一种管理框架,它可以用多种协议来实现,最常用来实现AAA的是RADIUS协议。
RADIUS是Remote Authentication Dial-In User Service(远程认证拨号用户服务)的简称,它是一种分布式的、客户机/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常被应用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中,本文为方便说明问题,将认证服务器系统简单视为RADIUS服务器。
3.2.1 Authentication Server(RADIUS 服务器)平台的比较与选择
(1)用交换机做本地 RADIUS 服务器
huawei-3com的Quidway 系列交换机提供了本机的简单 RADIUS 服务器端功能(包括认证和授权),不需要额外添置设备,就能实现本地认证,但其缺点也显而易见:在交换机上要做本地用户(local-user)配置,不能实现用户的集中管理与备份,不利于大规模部署。
(2)采用商业软件搭建RADIUS服务器
CISCO的Cisco Secure ACS 3.3,huawei-3com的CAMS软件功能强大,使用、管理方便,预算充足的情况下应该是首选。
(3)用FreeRadius搭建RADIUS服务器
在Linux平台上用FreeRadius实现,若配合MYSQL,用PHP或ASP等做后续开发,更能扩展管理功能,本文将在此方案上展开讨论。
3.3 Supplicant System客户端(接入系统)软件
如果接入层设备是huawei-3com交换机,为达到最佳控制效果,建议安装厂家提供的H3C802.1X客户端软件(图3),该软件针对huawei-3com设备做了功能扩展,能有效防止用户通过代理方式绕过“端点准入”认证机制,否则用前述其它客户端亦可。
图3
3.4 “端点准入”认证机制各系统的主要配置
3.4.1 Authenticator System(认证系统)的配置
在接入层交换机上启用802.1X:
# 开启指定端口E0/1的802.1X特性。
[Quidway] dot1x interface E0/1
# 创建RADIUS组radius1并进入其视图。
[Quidway] radius scheme radius1
# 设置主认证RADIUS服务器的IP地址为;10.11.1.1
[Quidway-radius-radius1] primary authentication 10.11.1.1
# 设置交换机与认证 RADIUS 服务器交互报文时的密钥。
[Quidway-radius-radius1] key authentication 0731
# 指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。
[Quidway-radius-radius1] user-name-format without-domain
[Quidway-radius-radius1] quit
# 根据实际情况创建用户域cseptc.com
[Quidway] domain cseptc.com
# 指定 radius1 为该域用户的RADIUS方案。
[Quidway-isp-cseptc.com] radius-scheme radius1
# 开启全局802.1X特性。
[Quidway] dot1x
3.4.2 Authentication Server System(认证服务器系统)的安装与配置
(1)安装linux服务器
版本:RedHat 9.0,其IP地址为在交换机上配置的主认证RADIUS服务器的IP地址:10.11.1.1。
(2)安装FreeRadius
版本:从www.freeradius.org下载的freeradius-1.1.3.tar.bz2。
# tar zxvf freeradius-1.1.3.tar.bz2
# cd freeradius-1.1.3
# ./configure --localstatedir=/var --sysconfdir=/etc
# make
# make install
freeradius 被安装在/usr/local/etc/raddb下,用radiusd-X启动到debug模式,当出现启动完成等待“request”的提示后,表示RADIUS服务已经被正确安装。
(3)配置clients.conf
# vi/usr/local/etc/raddb/clients.conf,打开 clients.conf 添加接入层交换机,比如添加一台型号为3026、IP地址是10.232.223.2的交换机:
client 10.232.223.2 {
secret = 0731;密钥,与交换机中的配置保持一致
shortname = 3026;给交换机一个名字,这里用型号命名
nastype=other}
如此配置后,RADIUS服务器才会对10.232.223.2这台交换机发出的认证报文做回应,否则会忽略它发出的认证报文。
(4)编辑users
# vi /usr/local/etc/raddb/users,加入要认证的用户账号test并设密码为“123456”:
test Auth-Type := chap, User-Password == "123456"
CHAP是一种加密的验证方式,能够避免建立连接时传送用户的真实密码。
注:在clients.conf,users里,系统对每项配置的意义做了详细说明,在编辑时可作为参考。
(5)刷新RADIUS服务
# ps –aux |grep radiusd;查询RADIUS进程号
# kill -9 xxxxx;根据进程号,杀掉RADIUS进程
# radiusd -X;重启
图4为“端点准入”认证系统各部分协同工作的示意图:
图4 “端点准入”认证系统各部分协同工作
3.4.3 系统调试时的几个关键点
(1)保证交换机与RADIUS 服务器之间线路(物理层/链路层)通畅。
(2)确保RADIUS 服务器和交换机的报文加密密钥相同。
(3)用命令“domain default enable cseptc.com”将交换机默认的认证域指到新建的cseptc.com域上。
(4)如果不需要对用户计费的话,用命令“accounting optional”打开计费可选开关,否则交换机只会发本地认证报文而不会往RADIUS服务器发认证报文,这个故障很隐蔽和困扰人,不进行抓包分析的话很难定位。
(5)clients.conf或users更改后,刷新RADIUS服务后更改内容才起作用。
(6)由于交换机支持一台主RADIUS服务器、一台备份RADIUS服务器协同工作的模式,故实际应用中,推荐部署两台服务器互为备份。
4 结束语
linux平台上基于802.1X的“端点准入”认证机制,能充分发挥设备能力,使校园网络边界“可控”和“在控”,在人们对网络安全日益关注的今天,此技术必将得到广泛的应用。
参考文献:
[1]Matthew S. Gast. 802.11无线网络权威指南(第二版,影印版). 东南大学出版社,2006.
[2]www.freeradius.org. FAQ From FreeRADIUS Wiki.
[3]www.huawei-3com.com.cn. Quidway S8505路由交換机操作手册.
本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。