《基于接入层的网络安全解决方案研究》由会员分享,可在线阅读,更多相关《基于接入层的网络安全解决方案研究(6页珍藏版)》请在金锄头文库上搜索。
1、基于接入层的网络安全解决方案研究Research of Solution for the Network Security Based on the Access Layer曾梦良 郑雪峰Zeng,Mengliang Zheng,Xuefeng北京科技大学信息学院计算机系 100083(School of Information Computer, USTB Beijing, Beijing 100083, China)摘要:本文详细分析了几种攻击手段的原理和危害,并从接入控制和业务流控制两方面着手,以802.1X和DHCP协议为基础,给出了完整的多层次的解决方案,软件处理和硬件过滤相结合,即
2、保证了网络的安全性,又最大限度维持系统的高效率运行,使得系统的可靠性、稳定性、可用性都达到了一个比较高的水平。关键词:802.1X,动态主机配置协议,地址解析协议,接入层,网络安全Abstract: This paper detailedly analyses some kinds of network attacking methods and their harm to the users.From the access control and the flow control on the network,the paper presents a complete solution ai
3、m at this attackings based on the Port Based Network Access Control Protocol and the Dynamic Host Configuration Protocol.The solution units the process of software and the hardware filter,not only makes sure the security of the network,but also keeps the high efficiency . Keywords: 802.1X, DHCP, ARP
4、, Access Layer, Network Security1 引言计算机技术的提高和计算机网络的广泛使用,大大扩展了信息资源的共享和交互,引发了意义深远的重大变革,使人们的工作、学习和生活发生了巨大的变化。然而,最初面向研究机构的因特网以及相应的TCP/IP协议是针对一个安全的环境而设计的所有的用户都相互信任,对开放、自由的信息交换有兴趣,而对安全方面的考虑较少,因此网络存在很多的安全隐患,给了黑客们可乘之机。随着时代的发展,网络上信息传递的信息量和重要程度都在急剧增加,网络攻击已经成为窃取信息、破坏发展的重要手段,其程度和频率不断增多。在网络深入到党政办公系统、金融系统、商用系统以及军
5、用系统等各个行业的今天,网络安全尤为重要。本文总结了网络中几种严重的攻击方式,并提供了立体的、多层次的解决方案,同时根据大部分网络攻击特点,将攻击终结在接入层,大大减少了上层核心网络被攻击的风险和业务处理负担。本文提供的解决方案是针对接入层交换机的方案。2 攻击方式概述本文所提到的攻击和欺骗行为主要针对链路层和网络层。在网络实际环境中,其来源可概括为两个途径:人为实施、病毒或蠕虫。人为实施通常是指使用一些黑客的工具对网络进行扫描和嗅探,获取管理帐户和相关密码,在网络中安插木马,从而进一步窃取机密文件。攻击和欺骗过程往往比较隐蔽和安静,但对于信息安全要求高的企业危害是极大的。而来自木马或者病毒及
6、蠕虫的攻击往往会偏离攻击和欺骗本身的目的,现象有时非常直接,会带来网络流量加大、设备 CPU 利用率过高、二层生成树环路直至网络瘫痪。2.1 MAC/CAM泛洪攻击MAC/CAM泛洪攻击是指利用工具产生大量欺骗MAC,快速填满CAM表,交换机CAM表被填满后,流量在所有端口广播,导致交换机就像共享HUB一样工作,这时攻击者可以利用各种嗅探攻击获取网络信息。同时CAM表满了后,流量以洪泛方式发送到所有接口,也就代表TRUNK接口上的流量也会发给所有接口和邻接交换机,会造成交换机负载过大,网络缓慢和丢包甚至瘫痪。2.2针对DHCP的攻击采用 DHCP协议可以自动为用户设置网络 IP 地址、掩码、网
7、关、 DNS 、 WINS 等参数,简化了用户网络设置,提高了管理效率。但在DHCP管理使用上也存在着一些令网管人员比较头疼的问题。2.2.1 DHCP报文泛洪攻击DHCP报文泛洪攻击是指利用工具伪造大量DHCP请求报文发送到服务器,一方面恶意耗尽了IP资源,使得合法用户无法获得IP资源;另一方面使得服务器高负荷运行,无法响应合法用户的请求,造成网络故障。2.2.2 DHCP Server 欺骗攻击由于DHCP协议在设计的时候没有考虑到客户端和服务器端之间的认证机制,如果网络上存在多台DHCP服务器将会给网络照成混乱。通常黑客攻击是首先将正常的DHCP服务器所能分配的 IP 地址耗尽,然后冒充
8、合法的DHCP服务器。最为隐蔽和危险的方法是黑客利用冒充的DHCP服务器,为用户分配一个经过修改的 DNS server,在用户毫无察觉的情况下被引导至预先配置好的假金融网站或电子商务网站,骗取用户帐户和密码,这种攻击后果是非常严重的。2.3 针对ARP攻击IP数据包是Internet的血液,IP报文要发送到目的地,不管是IP数据的源主机,还是中间的转发网络设备,其重要职责都是两个方面:(1)确定IP的下一跳;(2)通过链路层将报文发送给下一跳。任务(1)是由路由管理以及为路由管理提供素材的路由协议完成的,本文不讨论这方面的相关内容。任务(2)的完成重要的一个环节就是ARP。ARP作为IP层和
9、链路层之间的联系纽带,其作用和责任非常重大,最主要的使命就是确定IP地址对应的链路层地址(MAC地址)。但是由于特定的历史原因,ARP协议在设计的时候也没有考虑到安全因素,因此黑客可以很轻易的针对ARP协议的漏洞发起攻击,轻松窃取到网络信息。2.3.1 ARP流量攻击ARP流量攻击的方式多种多样,比如伪造大量ARP请求,伪造大量ARP应答,伪造目的IP不存在的IP报文等等,其最终目的只有一个:增加网络中ARP报文的流量,浪费交换机CPU带宽和资源,浪费内存资源,造成CPU繁忙,产生丢包现象,严重的甚至造成网络瘫痪。2.3.2 ARP欺骗攻击根据ARP协议的设计,为了减少网络上过多的 ARP 数
10、据通信,一个主机即使收到非本机的ARP应答,也会对其进行学习,这样,就造成了“ARP欺骗”的可能。如果黑客想探听同一网络中两台主机之间的通信(即使是通过交换机相连),他会分别给这两台主机发送一个 ARP 应答包,让两台主机都“误”认为对方的 MAC 地址是第三方的黑客所在的主机,这样,双方看似“直接”的通信连接,实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容,另一方面,只需要更改数据包中的一些信息,成功地做好转发工作即可。同时黑客连续不断地向这两台主机发送这种虚假的ARP响应包,让这两台主机一直保存错误的ARP表项,使其可以一直探听这两台主机之间的通信。图一 ARP欺骗
11、示意图在攻击者发送ARP欺骗报文后,网络传输效果图如下,A和C直接的通信实际是A发给B,再由B转发给C。只要B做好转发工作,就可以毫无声息的达到窃听的目的。 图二 ARP攻击效果图2.4 IP/MAC欺骗攻击常见的欺骗种类有 MAC欺骗、IP欺骗、IP/MAC欺骗,黑客可以伪造源地址进行攻击,例如:以公网上的 DNS服务器为目标,希望通过使DNS服务器对伪造源地址的响应和等待,造成DOS攻击,并以此扩大攻击效果。此外IP/MAC欺骗的另一个目的为了伪造身份或者获取针对IP/MAC的特权。3 综合安全解决方案本文针对上述攻击手段,提出了完整的多层次保护解决方案。本方案在设计时,遵循以下原则:1)
12、完整性原则:完整性是指信息没有遭受到以未授权方式所作的篡改和(或)未经授权的使用;2)保障系统运行性能原则:在保证安全的前提下,最大限度的服务于系统的高效率运行,要最大限度地保证系统的可靠性、稳定性、可用性。安全方案示意图如下: 图三 安全解决方案示意图上述攻击方式使用传统的防火墙防范很难达到一个满意的效果,因此本文提出的新的解决方案另辟蹊径,从接入层入手,分2个层次,全方位防范多种攻击。3.1 访问控制为了便于管理和控制,所有用户通过DHCP协议获取IP地址和相应的配置,但是在获取到合法配置之前,用户必须通过802.1X认证。如上图所示,用户首先向所属网络的802.1X认证服务器发起认证,待
13、认证通过后,再通过DHCP协议获取网络上DHCP Server提供的各种配置,如IP地址、掩码、网关、DNS等等。本文所提供的解决方案创新点如下:1)利用DHCP报文中的Option字段(如Option82),在Server端配置相应的策略,可以动态灵活的下发相应配置,满足各种业务或安全需求。典型例子:在一个基于IP地址访问控制的网络中,在DHCP客户端的Option字段中加上MAC地址和所属VLAN等信息,Server端分配相应的有特定访问权限的IP地址段。通过此种方式大大提高了网络的安全性和访问控制的灵活性。2) IEEE 802.1X的标准是一个基于端口的访问控制协议,其基本要求是对用户
14、接入端口进行控制,这对无线接入访问点而言是足够的,因为一个用户占用一个信道。但在很多场合,以端口为对象的控制粒度难以满足要求。如上图所示,有多个用户通过HUB与接入层交换机相连,如果这个端口上有一个用户通过了认证,那么这个端口上的其它未认证用户也可以正常使用网络,随之而来的是巨大的安全隐患。本解决方案将802.1X认证扩展为基于MAC地址逻辑端口的认证,控制粒度为用户,非常灵活。3)用户通过DHCP获取IP地址等配置信息的过程中,接入层交换机会记录下合法用户的IP、MAC、VLAN和端口号一系列信息(Snooping表项),后面所提出的针对具体攻击的防范方法都是基于此合法表项。需要说明一点的是
15、,如果允许用户不同过DHCP而是静态配置IP地址等配置信息,也支持在接入层交换机静态绑定一个合法表项。认证机制从源头上就阻止了大量非法用户入侵的可能,但是对于通过认证的用户的恶意或者因为感染病毒而发起的攻击行为,仅仅这一层防护是不够的,因此还需要本解决方案的业务流控制部分。3.2 业务流控制认证机制能够有效防止非法用户入侵网络,但是对于少数恶意的合法用户或者被病毒感染的用户的攻击行为就显得力不从心了。要想彻底根治上述攻击,只有从业务流入手,监控网络中的异常流量,主动发现攻击源,采取有效策略化解攻击可能造成的危害。3.2.1 MAC/CAM泛洪攻击的防范方法此种攻击可以通过限制接入层交换机上端口
16、所允许通过的MAC地址数量来防范,对于不在允许列表中的MAC地址通过直接将数据丢弃;允许通过的MAC地址列表可以静态配置,也可以限制MAC学习数,先学到的特定数目MAC即为允许列表。3.2.2 DHCP泛洪攻击防范方法通过DHCP支持Option82可以限制某一端口或者某一MAC最多能申请的IP地址的个数,这样就能有效防范IP地址被恶意耗尽;此外在端口上对DHCP报文进行限速,当报文速率超过设定值的时候,down掉该端口,这样就能有效防范DHCP报文流量攻击。3.2.3 DHCP服务器欺诈的防范方法为了防止网络上有人仿冒DHCP服务器,可以通过硬件下发ACL规则,初始时接入层交换机上所有端口设置为非信任端口,此时端口不允许DHCP服务器应答报文如DHCP OFFER、
