談談IP、MAC與交換機埠繫結的方法
談談IP、MAC與交換機埠繫結的方法
Jack Zhai
資訊保安管理者都希望在發生安全事件時,不僅可以定位到計算機,而且定位到使用者的實際位置,利用MAC與IP的繫結是常用的方式,IP地址是計算機的“姓名”,網路連線時都使用這個名字;MAC地址則是計算機網路卡的“身份證號”,不會有相同的,因為在廠家生產時就確定了它的編號。IP地址的修改是方便的,也有很多工具軟體,可以方便地修改MAC地址,“身份冒充”相對容易,網路就不安全了。
遵從“花瓶模型”信任體系的思路,對使用者進行身份鑑別,大多數人採用基於802.1x協議的身份認證技術(還可以基於應用的身份認證、也可以是基於Cisco的EOU技術的身份認證),目的就是實現使用者賬號、IP、MAC的繫結,從計算機的確認到人的確認。
身份認證模式是通過計算機內安全客戶端軟體,完成登入網路的身份鑑別過程,MAC地址也是通過客戶端軟體送給認證伺服器的,具體的過程這裡就不多說了。
一、 問題的提出與要求
有了802.1x的身份認證,解決的MAC繫結的問題,但還是不能定位使用者計算機的物理位置,因為計算機接入在哪臺交換機的第幾個埠上,還是不知道,使用者計算機改變了物理位置,管理者只能通過其他網管系統逐層排查。那麼,能否可以把交換機埠與IP、MAC一起繫結呢?這樣計算機的物理位置就確定了。
首先這是有關安全標準的要求:
1) 重要安全網路中,要求終端安全要實現MACIP交換機埠的繫結
2) 有關專用網路中,要求未使用的交換機埠要處於關閉狀態(未授權前不開啟)
其次,實現交換機埠繫結的目標是:
Ø 防止外來的、未授權的計算機接入網路(訪問網路資源)
Ø 當有計算機接入網路時,安全監控系統能夠立即發現該計算機的MAC與IP,以及接入的交換機埠資訊,並做出身份驗證,屬於未授權的能夠報警或終止計算機的繼續接入,或者禁止它訪問到網路的任何資源
Ø 當有安全事件時,可以根據使用者繫結的資訊,定位到機器(MAC與IP)、定位到物理位置(交換機埠)、定位到人(使用者賬號、姓名、電話…)
二、 實現交換機埠資訊繫結的策略
根據接入交換機的安全策略,可以把埠資訊繫結分為兩種方式:靜態方式與動態方式
1、靜態方式:固定計算機的位置,只能在預先配置好的交換機埠接入,未配置(授權申請)的不能接入網路。
靜態的意思就是關閉交換機的MAC地址學習功能,計算機只能從網路唯一允許的位置接入網路,否則交換機不給予資料轉發,所以只要該計算機登入,必然是固定的位置。
2、動態方式:計算機可以隨機接入交換機的不同埠,在網路准入身份認證的同時,從交換機中動態提取計算機所在的交換機埠資訊,動態地與MAC、IP等資訊一起繫結。
動態的意思是安全系統在計算機接入網路時,自動搜尋到交換機的埠資訊,當然這個資訊只能來自於交換機,不可能來自於客戶端軟體。
三、 交換機埠繫結方案一:協議改造
標準的802.1x協議中,交換機負責控制埠與資料埠的管理,但沒有把埠資訊載入在認證資料包中,一些交換機廠家擴充套件了802.1x協議(私有協議),增加了埠資訊,顯然這種方案屬於動態繫結方式。
方案的要點:
Ø 所有接入層的交換機要支援該私有擴充套件協議(交換機必須是同一廠家的)
Ø 終端安全系統的伺服器要支援擴充套件的認證協議(增加交換機埠)
方案的優缺點:
Ø 優點是繫結協議實現完整
Ø 缺點是網路交換機都需要是一個廠家的,因為私有協議是難以互通的,同時終端安全系統也需要是定製的
四、 交換機埠繫結方案二:主動查詢
修改交換機上的協議是困難的,但我們可以主動探測埠資訊,交換機支援網管功能,通過查詢交換機內的FDB表(交換機內用來維護轉發的資訊表,內容包括對應埠、MAC、Vlan),就可以獲得埠資訊,顯然這種方案也是動態繫結方式。
實現步驟:
1) 使用者通過客戶端軟體進行身份認證
2) 交換機把認證請求傳送給伺服器
3) 伺服器通過SNMP協議查詢交換機的FDB表,確認此時該PC所在的交換機埠號資訊
4) 認證伺服器確認賬號/MAC/IP/埠號,給出認證通過資訊
5) 使用者認證通過,開始訪問業務
方案的要點:
Ø 交換機支援網管功能(snmp協議),支援FDB表的查詢
Ø 終端安全系統的伺服器要定製支援FDB查詢功能
方案的優缺點:
Ø 優點是可以採用不同廠家的交換機,只要支援網管snmp協議即可
五、 交換機埠繫結方案三:靜態繫結
安全性要求比較高的網路,交換機埠的分配是確定的,未分配的埠預設是關閉的,因此,需要動態查詢的“機會”應該說是沒有的,既然是確定的,就直接“寫入”到交換機內,不輕易改動,所以叫靜態方式。
實現步驟:
1) 關閉交換機的埠MAC學習功能,把計算機的MAC配置在交換機埠上,並把計算機的MAC與交換機埠資訊,輸入到終端安全伺服器的資源管理中
2) 使用者通過客戶端軟體進行身份認證
3) 交換機把認證請求傳送給伺服器 (由於交換機埠中有該計算機的MAC,所以轉發認證資料包)
4) 認證伺服器確認賬號/MAC/IP,並從資源庫中提取交換機埠號資訊,一同繫結,給出認證通過資訊
5) 使用者認證通過,進行正常訪問業務
方案的要點:
Ø 關閉交換機自學習功能,人工靜態配置MAC資訊
Ø 終端安全系統的伺服器進行資源管理,記錄MAC與交換機埠資訊
方案的優缺點:
Ø 優點是計算機接入埠資訊固定,網路准入層次提高,避免計算機身份冒充行為,從交換機底層控制未知的計算機是不能接入網路的
Ø 缺點是人工配置MAC,安全管理工作多
六、 三種方案的比較
方案
|
方案特定
|
適用範圍
|
方案1:協議改造
|
協議實現完整,要求交換機是同廠家的,網路改造投入大
|
適合新建網路,或者是小型網路系統安全改造
|
方案2:主動查詢
|
方案相對完美,不要求交換機同廠家,但要求支援網管功能
|
適合大型網路或網路改造的安全管理
|
方案3:靜態繫結
|
方案相對簡單,對交換機沒有要求,方案的安全性又較高,尤其在未授權計算機的接入控制上
|
適合於涉密要求高的網路,適合於專用網路的安全管理
|
本文轉自 zhaisj 51CTO部落格,原文連結:http://blog.51cto.com/zhaisj/366563,如需轉載請自行聯絡原作者
相關文章
- 記近日各型別交換機MAC與埠繫結配置型別Mac
- ip與mac繫結Mac
- Samba修改繫結埠和IP的方法Samba
- 網路卡繫結與交換機埠聚合配置(CentOS6.2)CentOS
- 交換機埠總結
- ROS指令碼ip-mac繫結 批次繫結ip和macROS指令碼Mac
- 交換機埠安全總結
- 談談mac機器和Sun的解密Mac解密
- 什麼樣的區域網需要IP-MAC繫結?IP-MAC繫結的好處。Mac
- 區域網IP-MAC繫結方案Mac
- Mysql 繫結內部IP的設定方法MySql
- HUAWEI交換機埠映象
- 淺談 Checkbox Group 的雙向資料繫結
- 淺談Jquery中的bind(),live(),delegate(),on()繫結事件方式jQuery事件
- 華為交換機和銳捷交換機埠隔離
- 二層交換機埠模式模式
- 華為交換機埠映象配置
- 淺談TCP/IPTCP
- 華為交換機埠安全詳解--埠隔離、環路檢測與埠安全
- python-物件導向(繫結方法與非繫結方法)Python物件
- 談談JavaScript中的this機制JavaScript
- 談談學習方法
- 談智慧交換機產品及其選購要點(轉)
- 談談java的類與物件Java物件
- 各種交換機埠安全總結(配置例項)(轉)
- ubuntu繫結串列埠號Ubuntu串列埠
- 談談NAT:什麼?全球IP和私有IP是什麼鬼?
- 淺談埠掃描原理
- Linux獨享主機繫結IP和MAC地址,防止ARP欺騙LinuxMac
- 交換機M:N埠映象配置
- 思科3560交換機埠限速
- 快速查詢交換機埠的VLAN ID
- 淺談 Dart 類與類的基本方法Dart
- “智”在千里 談智慧交換機的選購要點(轉)
- 西安電話面試:談談Vue資料雙向繫結原理,看看你的回答能打幾分面試Vue
- SSL證書繫結域名還是繫結IP?
- 談談ConcurrentHashMap的擴容機制HashMap
- 談談Memcached與Redis(四)Redis