计算机网络——3A安全认证

本文涉及的产品
注册配置 MSE Nacos/ZooKeeper,118元/月
函数计算FC,每月15万CU 3个月
性能测试 PTS,5000VUM额度
简介: 计算机网络——3A安全认证

点赞后看,养成习惯
喜欢的话 可以点个关注哟
你们的点赞支持对博主们来说很重要哦 !!!

本文将针对以下问题逐条进行解答:

01 为什么需要安全认证?

02 入网安全三要素是什么?

03 如果公司员工的位置信息经常变动,是不是需要网络管理员一直配置Vlan呢?

04 3A认证具体的协议是如何工作的?

image.png



01 安全认证的产生原因

我们知道有许多安全措施,其中包括DHCP反欺骗安全措施,ARP反欺骗安全措施。

DHCP反欺骗安全措施,限定了一台主机请求的IP地址数量,相当于规定了一个人最多吃两碗饭,如果你想要第三碗,我是不会给你的。

image.png

ARP反欺骗安全措施,记载了IP地址、MAC地址、端口的对应信息, 如果你想欺骗我,我这都有记录,你是骗不了我的

image.png

虽然有这些安全措施,但是如果局域网没有认证,外来访客、合作伙伴都可以将电脑插入交换机,或者连上公司无线AP,以上介绍的种种安全措施又有何用呢?

是的,你房间里布置了各种安保措施,看似很安全。但是你大门却敞开着,妖魔鬼怪都可以进来逛一逛,这还安全嘛?

所以,认证,这是网络安全的前提,是布置安保措施必须做的。


02 入网安全三要素

入网安全三大要素分别是:
**认证(Authentication)
授权(Authorization)
审计(Accounting**)
简称AAA

具体来说:

1、首先,用户接入网络需要验证身份

2、认证合法用户,然后给相对应的权限。

比如公司员工有最高权限,可以访问公司几乎所有网络
合作伙伴次之,可以访问特定的网络资源
而访客只需要有访问外部互联网的权限就可以了

3、最后,要将用户的上网行为记录在日志文件里,可以追踪用户的所作所为,震慑用户不要为非作歹



03 员工的位置信息经常变动情况下,管理员的VLAN配置



在现实中,如果公司员工很多,成百上千人,而且会频繁更换位置。这就意味这用户与用户接入的交换机端口是动态的,不能根据某个端口确定某台主机,那么是不是需要管理员时刻盯着端口与主机的关系,给主机配置VLAN呢?


这分明是不现实的,工作量太大了。而如何克服这个矛盾呢?

有的,这就是企业网目前正在使用的一项技术——ISE

这项技术的原理是:通过认证身份信息,给主机配置身份信息对应的VLAN信息

具体来说:

接入交换机一旦检测到用户信号,就会发起对用户的认证,然后把用户信息加密传输到后台的认证服务器,如Radius服务器,服务器获得用户的ID信息,认证通过之后,根据不同身份、不同部门、分配特定的VLAN

这个特定的VLAN就代表不同的权限,然后后台服务器动态地将用户特定的VLAN传输给接入交换机,交换机在动态配置到交换机上,这一切都是动态的,网络管理员就不要死命的为用户配置VLAN信息了




04 3A认证协议工作流程

原理说起来简单,但是其实背后有着许多协议的交互,我们先从认证开始说起:

点对点链路使用PPP协议封装,在用PAC/CHAP/EAP来认证客户端。比如电话拨号PPP、宽带ADSL PPPoE 、光纤 EPON/GPNO PPPoE,最终都会使用这三个协议来认证用户

以太网是多路访问网络,使用802.1x协议来认证客户端,这是一个链路层的协议,直接将802.1x放在以太网帧后面,无须IP协议头,和ARP协议类似。下面,描述一下整个工作流程:

小明插入网线,打开电脑,电脑初始化TCP/IP协议栈,由一个独立进程构成的,IP进程负责IP协议的初始化,如IP地址、网络掩码等,这是给程序的一些参数初始化。

这时IP进程发现IP参数的获得方式是DHCP,于是发送DHCP Disvovery广播报文。

交换机端口状态此时有点奇怪,接受到了DHCP报文直接丢弃了,这是为什么呢?

因为此时端口还处于未认证状态,交换机认为你是陌生人,只接受你的认证报文, 换句话说,802.1x报文可以自由通信,其他一律禁行

image.png



接到了小明的DHCP报文,交换机知道有用户要接入,触发了认证过程:

1、交换机发一个802.1x报文给小明,目的MAC是小明的MAC,报文的内容是:请出示你的通行证(用户ID)

2、小明的802.1x进程接收到,立马回复说:我的ID是xiaomin,你可以检查一下

3、交换机拿过小明的ID信息,加密传输小明的用户ID给Radius,让上头查一查

4、Radius服务器用共享密钥,解密交换机的加密报文,获得小明的用户ID,然后选取和小明账户相关的认证方法。

假设是EAP-MD5 Chalenge认证方法,则还需要对小明进行明文挑战,明文内容为:你真的是我们的人吗?使用IP/UDP/Radius/EAP封装,发给交换机

5、交换机提取出Radius里的EAP协议消息,在封装成Ethernet/802.1x/EAP,发给小明,由于这里EAP封装在二层协议头,所以称它位 EAP over LAN


6、小明电脑获得明文挑战内容:你真的是我们的人吗? 将其与小明账户密码做字符串连接,然后做MD5散列,生成一个挑战回答,并发送出去

7、交换机提取出EAP消息,然后IP/UDP/Radius/EAP封装,发给Radius服务器

8、服务器获得小明的挑战回答,用本地数据库小明密码与挑战做同样的运算,得到自己的挑战回答,如果两值相等,则认证通过,否则认证失败


9、服务器给交换机发一个认证成功的消息,同时还有小明的VLAN10,以及端口特有配置参数

10、交换机将获得小明端口号的信息,VLAN 10 等配置到端口上,同时更新端口为认证成功状态,即正常工作状态,发一个认证消息给小明,此时可以接受小明的任何报文

11、小明收到认证成功的消息,会触发DHCP进程继续发送 DHCP Discovery广播报文,此广播报文会被位于VLAN 10的网关接收,网关将此广播报文中级给DHCP服务器 10.10.10.10 ,触发后续DHCP操作

12、小明有了自己的IP地址,可以继续登录公司的网络,然后完成所有进程的初始化,可以正常工作了



05 相关知识问答

1、如果打印机,扫描仪、古董服务器不支持802.1x认证,那么该如何认证它们呢?

image.png

因为这些设备通常情况下不会经常移动,所以我们可以直接使用MAC地址认证。

预先把这些机器的MAC地址输入认证服务器的数据库,对这些机器使用MAC做用户ID

配置交换机安装以下顺序来认证用户、机器:

①802.1x

②MAC

③默认

如果机器不支持①,会超时时选择②,只要交换机可以捕获机器的任何报文,就可以获得其MAC,任何再进行认证,最终分配特定的VLAN

访客则会①、②超时,最终交换机会使用默认VLAN,这个默认VLAN只能访问Internet


2、为何说不同的VLAN代表不同的访问权限?

①在一个安全性较高的公司,网关一般由防火墙充当,防火墙使用物理接口下的子接口,采用802.1q封装,可以是任何VLAN里的一员

②VLAN则代表不同的网段,会通过访问控制列表ACL来进行权限控制

image.png





以上文章,作为自己的学习笔记,仅供参考

本文完,感谢你的阅读!!!

最后,如果本文对你有所帮助,希望可以点个赞支持一下。你们的鼓励将会是博主原创的动力。

目录
相关文章
|
网络协议 算法 网络性能优化
计算机网络-协议篇
计算机网络-协议篇
83 0
计算机网络的功能
计算机网络的功能。
240 0
|
6月前
|
安全 网络协议 算法
计算机网络——应用层与网络安全(六)
计算机网络——应用层与网络安全(六)
121 1
计算机网络——应用层与网络安全(六)
|
6月前
|
安全 测试技术 网络安全
基于计算机网络的毕业设计 - 实现高效网络服务与安全通信
本毕业设计旨在利用计算机网络技术设计并实现一个综合性系统,以解决特定领域的问题或提供特定的服务。设计包括网络通信协议的优化、网络安全机制的设计、数据传输与处理的优化以及用户界面设计等方面。通过本设计,旨在提高学生对计算机网络及相关技术的理解和应用能力,并为用户提供高效、可靠的网络服务。
113 0
|
6月前
|
存储 域名解析 缓存
网络原理(3)--以太网协议,DNS
网络原理(3)--以太网协议,DNS
67 0
|
6月前
|
网络协议 安全 网络性能优化
【网络工程师】<软考中级>传输层协议TCP/UDP&常用应用层协议
【1月更文挑战第27天】【网络工程师】<软考中级>传输层协议TCP/UDP&常用应用层协议
|
网络安全 数据安全/隐私保护
《网络安全0-100》协议&认证
《网络安全0-100》协议&认证
85 0
|
分布式计算 网络协议 大数据
大数据开发基础的计算机网络的TCP/UDP协议
计算机网络是大数据开发中不可或缺的一部分,而TCP/UDP协议则是计算机网络中最基础的通信协议之一。本篇文章将为大家介绍TCP/UDP协议的基本概念、工作原理以及应用场景。
109 0
|
存储 缓存 网络协议
计算机网络基础(应用层协议-网络管理)
本文简单介绍下应用层另外两种常用的协议DHCP和DNS。
|
监控 安全 网络协议
计算机网络基础(应用层协议-设备管理)
应用层是网络体系中最高的一层,也是唯一面向用户的一层,也可视为为用户提供常用的应用程序,每个网络应用都对应着不同的协议,其协议也是我们可以将其分为三大类:网络管理,数据传输,设备管理,本文先来了解下设备管理中常用的两种通信协议,这两种我们大概都应该说过,SSH,和telnet疫情期间在家能够远程办公无外乎使用这两种方式。
下一篇
无影云桌面