《以太网安全相应技术》由会员分享,可在线阅读,更多相关《以太网安全相应技术(7页珍藏版)》请在金锄头文库上搜索。
1、以太网安全技术白皮书以太网安全技术白皮书摘要本文详细介绍了 Quidway系列以太网交换机所应用的安全技术,包括访问控制、802.1X网络 访问控制、基于Portal协议的web认证、防地址假冒、入侵检测与防范、安全管理等,并探讨 了 Quidway系列以太网交换机在安全方面的发展方向。结合Quidway系列以太网交换机在安 全方面的功能特点,给出了在企业网应用中的实际解决方案。关键词以太网安全,web认证,802.1X网络访问控制1 概述 随着以太网应用的日益普及,尤其是在一些大中型企业网的应用,以太网安全成为日益迫切的需 求。一方面以太网交换机作为企业内部网络之间通讯的关键设备,有必要在企
2、业网内部提供充分 的安全保护功能。另一方面用户只要能接入以太网交换机,就可以访问In ter net网上的设备或 资源,使WLAN上的安全性问题更显突出。Quidway系列以太网交换机提供了多种网络安全 机制包括:访问控制、用户验证、防地址假冒、入侵检测与防范、安全管理等技术。本文将对其 原理与技术实现作介绍。2 安全交换机的设计原则 针对以太网存在的各种安全隐患,安全交换机必须具有如下的安全特性: 访问控制 用户验证 防地址假冒 入侵检测与防范 安全管理2.1 访问控制访问控制分为以下几种情况:1、对于交换机的访问控制。 对交换机的访问权限需要进行口令的分级保护。只有持有相应口 令的特权用户
3、才能对交换机进行配置;一般用户只有查看普通信息的权力。2、基于IP地址的访问控制。一般情况下,用户(包括网内用户和分支机构、合作伙伴等网外 用户)是通过IP地址来区分的,不同的用户具有不同的权限。通过包过滤实现基于IP地址的 访问控制,可以实现对重要资源的保护。3、基于MAC地址的访问控制。特殊情况下,用户也可以通过MAC地址来区分。通过实现基 于 MAC 地址的访问控制,可以保护特殊用户的权限。4、基于端口的访问控制。 对于接入用户来说,他们之间的权限也有可能是不一样的。通过对 用户接入的端口设置特定的过滤属性,可实现对接入用户的访问控制。5、基于Vian的访问控制。企业内部通常以VLan方
4、式划分成不同部门,各个部门的访问权限 有可能是不一样的。通过实现基于Vian的访问控制,可以实现对部门的访问控制。2.2 用户验证 用户验证是实现用户安全防护的基础功能。对用户进行识别和区分,不仅能保护接入的用户不受 网络攻击,而且能阻止接入用户攻击其他用户和网络。经过验证的用户可以享受服务,而未经验 证的用户则被拒绝。访问交换机存在多种方式:直接从con sole 口登录进行配置;tel net登录配置;通过SNMP进 行配置;通过modem远程配置等等。对于这些访问方式,都需要有相应的用户身份验证。验 证时可以选择采用交换机本身维护的用户数据库,还可以采用RADIUS服务器所维护的用户数
5、据库对用户进行验证。远程用户验证主要包括:PPP验证、WEB验证和端口验证。2.3 防地址假冒为了有效的防止假冒IP地址和假冒MAC地址,Quidway以太网交换机使用了地址绑定技术严 格控制用户的接入。例如,绑定用户接入的端口与MAC地址。2.4 入侵检测与防范为了防止网上的大流量攻击,Quidway系列以太网交换机提供了两种基本的攻击检测技术:1、报文镜像。使用报文镜像,可以将指定类型的报文,例如ICMP报文,拷贝到指定端口,然 后通过连接到镜像端口的协议分析仪进行测试记录。使用这种方法,可以有效的检测到 TCP、 U DP、 ICMP、 HTTP、 SMTP、 RSTP 等多种协议报文。
6、2、报文统计。使用报文统计,可以按时间段、协议类型、IP地址五元组等特性分别进行报文包 数和字节数的统计。Quidway系列以太网交换机通过基于ACL的流量限制,预防并控制网上的大流量攻击。当发现 大流量攻击时,可以限制到达被攻击目的地址的报文流量。2.5 安全管理 内部网络与外部网络之间的每一个数据报文都会通过交换机,在交换机上进行报文的审计可以提 供网络运行的必要信息,有助于分析网络的运行情况。另一方面,交换机的安全运行牵涉到越来越多的安全策略,为了达到这些安全策略的有效利用, 进行安全策略管理是必需的。3 Quidway 系列以太网交换机的安全技术Quidway系列以太网交换机提供了一个
7、有效的网络安全解决方案,包括用户验证、授权、计费、 数据保护等等。Quidway系列以太网交换机所采用的安全技术包括: 包过滤技术 用户验证技术 防地址假冒技术 入侵检测与防范技术 安全管理3.1 包过滤技术包过滤应用在Quidway系列以太网交换机中,为交换机增加了对数据包的过滤功能。在三层交 换机中,不仅可以过滤有安全隐患的以太网帧,还可以过滤IP数据包。对到达端口的数据包, 如果是可以直接在链路层交换的以太网帧,则先获取以太网帧头信息,包括以太网帧类型、源 M AC地址、目的MAC地址,并根据目的MAC地址获得以太网帧的出端口;如果是需要三层转 发的数据包,则先获取包头信息,包括IP层所
8、承载的上层协议的协议号,数据包的源地址、目 的地址、源端口和目的端口等,然后和设定的规则进行比较,根据比较的结果对数据包进行转发 或者丢弃。三层IP报文的IP报头及所承载的上层协议(如TCP)报头的每个域包含了可以由交换机进行 处理的信息。包过滤通常用到IP报文的以下属性: IP 的源、目的地址及协议域;-TCP或UDP的源、目的端口; ICMP 码、 ICMP 的类型域; TCP 的标志域 可以由这些域的各式各样的组合形成不同的规则。比如,要禁止从主机1.1.1.1到主机2.2.2.2的FTP连接,包过滤可以创建这样的规则用于丢弃相应的报文: IP 目的地址 = 2.2.2.2 IP 源地址
9、 = 1.1.1.1 IP 的协议域 = 6 (TCP ) 目的端口 = 21 (FTP ) 其他的域一般情况下不用考虑。 同样,对于二层报文,也可相应地设置各自的过滤规则。二层报文常用到的过滤属性: 源 / 目的 MAC 地址; 输入 / 输出端口; 以太网封装类型; 以太网帧承载的协议类型; 报文类型; Vlan 标识符 可以基于这些域及其组合来制定 ACL 规则,从而完成在第二层的包过滤。Quidway 系列以太网交换机的包过滤具有以下特性:-基于ACL (Access-List,访问控制列表):ACL不仅应用在包过滤中,还可以应用在其他 需要进行对数据流进行分类的特性中,比如报文镜像、
10、报文统计与流量限制。 Quidway 系列 以太网交换机提供的 ACL 可以:-支持标准及扩展的ACL:可以通过标准的ACL只设定一个简单的地址范围,也可以使用扩 展的ACL设定具体到协议、源地址范围、目的地址范围、源端口范围、目的端口范围以及优先 级与服务类型等。-支持时间段:可以使ACL在特定的时间段内起作用,比如可设置每周一的8:00至20:00 此ACL起作用,还可以具体到某年某月某日至某年某月某日此ACL起作用。-支持ACL的自动排序:可以选择是否针对某一类的ACL进行自动排序,以简化配置的复杂 度,方便对于 ACL 的配置及维护。-支持名称方式的ACL:易于记忆及配置。 支持基于端
11、口进行过滤:可以设定禁止或允许转发来自或去往某个端口的报文。-支持基于MAC地址进行过滤:可以设定禁止或允许转发来自或去往某个MAC地址的帧。-支持基于Vian进行过滤:可以设定禁止或允许转发来自或去往某个Vian的报文。 支持基于应用进行过滤:可以对交换机端口的输入帧前80字节范围内的64字节任意域设 置过滤规则。 支持对符合条件的报文或帧做日志:可以记录报文或帧的相关信息,并提供了机制保证在有 大量相同触发日志的情况下不会消耗过多的资源。3.2 用户验证3.2.1 PPP 验证PPP是传统窄带拨号网络的接入技术。PPP在NCP过程中,可以采用PAP或CHAP进行口令 验证,然后由业务接入节
12、点分配IP地址。在宽带网络上,引入了对PPP的扩展:PPPoE和P PPoAo PPPoE是PPP在以太网上的扩展;PPPoE应用在共享的网络介质上,必须采用CHA P 进行口令交换,以避免明文口令被侦听。3.2.2 WEB 验证基于Web的验证是一种应用层的验证方法,与接入的介质没有直接的关系。用户通过DHCP 获得IP地址,然后通过通用浏览器访问指定Web页面(地址、端口及URL),或者由业务接 入节点自动导向运营商的Portal页面。Portal认证方式的用户接入方案如图1所示。(点击放大)图 1 Portal 认证方式的用户接入方案Portal认证的基本过程是:客户机首先通过DHCP协
13、议获取到IP地址(也可以使用静态IP 地址),但是客户使用获取到的IP地址并不能登上In ter net,在认证通过前只能访问特定的I P地址,这个地址通常是PORTAL服务器的IP地址。采用Portal认证的接入设备必须具备这 个能力。一般通过修改接入设备的访问控制表(ACL)可以做到。用户登录到Portal Server后,可以浏览上面的内容,比如广告、新闻等免费信息,同时用户 还可以在网页上输入用户名和密码,它们会被WEB客户端应用程序传给Portal Server,再由 Portal Server与NAS之间交互来实现用户的认证。Portal Server在获得用户的用户名和密码外,还
14、会得到用户的IP地址,以它为索引来标识用 户。然后Portal Server与NAS之间用Portal协议直接通信,而NAS又与RADIUS服务器 直接通信完成用户的认证和上线过程。因为安全问题,通常支持安全性较强的CHAP式认证。P ortal 认证方式的关键结点通信关系如图 2所示。图 2 Portal 认证方式关键结点通信关系通过Portal认证方式,用户具体上网、计费、下线全过程如图3所示。图3 Portal 认证方式的用户上网、计费、下线流程1、连接到设备上的用户机开机时自动通过DHCP过程从NAS获取唯一的IP地址,也可为用 户配置静态IP地址;2、用户游览ISP网站,获取认证网页
15、,同时可游览社区广告、通知等内容;3、用户在认证页面中输入帐号/密码,由 WEB 客户端技术发给 Portal Server;4、Portal Server在收到该数据后,按PortAL协议代用户向NAS发Challenge请求,对用 户的标识方法是用用户的IP地址来标识;5、NAS 向 Portal Server 回 Challenge;6、Portal Server 向 NAS 发该用户的认证请求;7、NAS 向 RADIUS 服务器发认证请求,运用 RADIUS 协议;8、RADIUS 服务器向 NAS 返回认证结果;9、NAS 在本地对用户连接进行授权;10、NAS 向 RADIUS Server 发计费(开始)请求;11、RADIUS Server向NAS返回计费响应;12、NAS 向 Portal Server 返回认证结果;13、Portal Server 向用户返回上线成功;14、用户发下线请求;15、Portal Server 收到消息后向 NAS 发 Req-logout 报文;16、NAS 向 RADIUS Server 发计费(结束)请求;17、RADIUS Server 返回计费响应;18、NAS 向 Portal Server 发 ACK-Logout 报文;1
