谈谈IP、MAC与交换机端口绑定的方法

简介:
Jack Zhai
信息安全管理者都希望在发生安全事件时,不仅可以定位到计算机,而且定位到使用者的实际位置,利用MACIP的绑定是常用的方式,IP地址是计算机的“姓名”,网络连接时都使用这个名字;MAC地址则是计算机网卡的“身份证号”,不会有相同的,因为在厂家生产时就确定了它的编号。IP地址的修改是方便的,也有很多工具软件,可以方便地修改MAC地址,“身份冒充”相对容易,网络就不安全了。
遵从“花瓶模型”信任体系的思路,对用户进行身份鉴别,大多数人采用基于802.1x协议的身份认证技术(还可以基于应用的身份认证、也可以是基于CiscoEOU技术的身份认证),目的就是实现用户账号、IPMAC的绑定,从计算机的确认到人的确认。
身份认证模式是通过计算机内安全客户端软件,完成登录网络的身份鉴别过程,MAC地址也是通过客户端软件送给认证服务器的,具体的过程这里就不多说了。
 
一、              问题的提出与要求
有了802.1x的身份认证,解决的MAC绑定的问题,但还是不能定位用户计算机的物理位置,因为计算机接入在哪台交换机的第几个端口上,还是不知道,用户计算机改变了物理位置,管理者只能通过其他网管系统逐层排查。那么,能否可以把交换机端口与IPMAC一起绑定呢?这样计算机的物理位置就确定了。
首先这是有关安全标准的要求:
1)          重要安全网络中,要求终端安全要实现MAC\IP\交换机端口的绑定
2)          有关专用网络中,要求未使用的交换机端口要处于关闭状态(未授权前不打开)
其次,实现交换机端口绑定的目标是:
Ø   防止外来的、未授权的计算机接入网络(访问网络资源)
Ø   当有计算机接入网络时,安全监控系统能够立即发现该计算机的MACIP,以及接入的交换机端口信息,并做出身份验证,属于未授权的能够报警或终止计算机的继续接入,或者禁止它访问到网络的任何资源
Ø   当有安全事件时,可以根据用户绑定的信息,定位到机器(MACIP)、定位到物理位置(交换机端口)、定位到人(用户账号、姓名、电话…)
 
二、              实现交换机端口信息绑定的策略
根据接入交换机的安全策略,可以把端口信息绑定分为两种方式:静态方式与动态方式
1、静态方式:固定计算机的位置,只能在预先配置好的交换机端口接入,未配置(授权申请)的不能接入网络。
静态的意思就是关闭交换机的MAC地址学习功能,计算机只能从网络唯一允许的位置接入网络,否则交换机不给予数据转发,所以只要该计算机登录,必然是固定的位置。
2、动态方式:计算机可以随机接入交换机的不同端口,在网络准入身份认证的同时,从交换机中动态提取计算机所在的交换机端口信息,动态地与MACIP等信息一起绑定。
动态的意思是安全系统在计算机接入网络时,自动搜索到交换机的端口信息,当然这个信息只能来自于交换机,不可能来自于客户端软件。
 
三、              交换机端口绑定方案一:协议改造
标准的802.1x协议中,交换机负责控制端口与数据端口的管理,但没有把端口信息加载在认证数据包中,一些交换机厂家扩展了802.1x协议(私有协议),增加了端口信息,显然这种方案属于动态绑定方式。
方案的要点:
Ø   所有接入层的交换机要支持该私有扩展协议(交换机必须是同一厂家的)
Ø   终端安全系统的服务器要支持扩展的认证协议(增加交换机端口)
方案的优缺点:
Ø   优点是绑定协议实现完整
Ø   缺点是网络交换机都需要是一个厂家的,因为私有协议是难以互通的,同时终端安全系统也需要是定制的
 
四、              交换机端口绑定方案二:主动查询
修改交换机上的协议是困难的,但我们可以主动探测端口信息,交换机支持网管功能,通过查询交换机内的FDB(交换机内用来维护转发的信息表,内容包括对应端口、MACVlan),就可以获得端口信息,显然这种方案也是动态绑定方式。
实现步骤:
1)          用户通过客户端软件进行身份认证
2)          交换机把认证请求发送给服务器
3)          服务器通过SNMP协议查询交换机的FDB表,确认此时该PC所在的交换机端口号信息
4)          认证服务器确认账号/MAC/IP/端口号,给出认证通过信息
5)          用户认证通过,开始访问业务
方案的要点:
Ø   交换机支持网管功能(snmp协议),支持FDB表的查询
Ø   终端安全系统的服务器要定制支持FDB查询功能
方案的优缺点:
Ø   优点是可以采用不同厂家的交换机,只要支持网管snmp协议即可
 
五、              交换机端口绑定方案三:静态绑定
安全性要求比较高的网络,交换机端口的分配是确定的,未分配的端口默认是关闭的,因此,需要动态查询的“机会”应该说是没有的,既然是确定的,就直接“写入”到交换机内,不轻易改动,所以叫静态方式。
实现步骤:
1)          关闭交换机的端口MAC学习功能,把计算机的MAC配置在交换机端口上,并把计算机的MAC与交换机端口信息,输入到终端安全服务器的资源管理中
2)          用户通过客户端软件进行身份认证
3)          交换机把认证请求发送给服务器 (由于交换机端口中有该计算机的MAC,所以转发认证数据包)
4)          认证服务器确认账号/MAC/IP,并从资源库中提取交换机端口号信息,一同绑定,给出认证通过信息
5)          用户认证通过,进行正常访问业务
方案的要点:
Ø   关闭交换机自学习功能,人工静态配置MAC信息
Ø   终端安全系统的服务器进行资源管理,记录MAC与交换机端口信息
方案的优缺点:
Ø   优点是计算机接入端口信息固定,网络准入层次提高,避免计算机身份冒充行为,从交换机底层控制未知的计算机是不能接入网络的
Ø   缺点是人工配置MAC,安全管理工作多
 
六、              三种方案的比较
方案
方案特定
适用范围
方案 1 :协议改造
协议实现完整,要求交换机是同厂家的,网络改造投入大
适合新建网络,或者是小型网络系统安全改造
方案 2 :主动查询
方案相对完美,不要求交换机同厂家,但要求支持网管功能
适合大型网络或网络改造的安全管理
方案 3 :静态绑定
方案相对简单,对交换机没有要求,方案的安全性又较高,尤其在未授权计算机的接入控制上
适合于涉密要求高的网络,适合于专用网络的安全管理
 




本文转自 zhaisj 51CTO博客,原文链接:http://blog.51cto.com/zhaisj/366563,如需转载请自行联系原作者
目录
相关文章
|
2月前
|
运维 资源调度 监控
|
2月前
|
运维 监控 数据挖掘
|
2月前
|
运维 监控 安全
|
4月前
|
域名解析 网络协议 虚拟化
|
2月前
|
监控 安全 网络虚拟化
|
2月前
交换机中创建MAC地址表
【10月更文挑战第1天】
61 2
|
3月前
|
缓存 网络协议 网络架构
网络抓包分析【IP,ICMP,ARP】以及 IP数据报,MAC帧,ICMP报和ARP报的数据报格式
本文详细介绍了如何使用网络抓包工具Wireshark进行网络抓包分析,包括以太网v2 MAC帧、IP数据报、ICMP报文和ARP报文的格式,以及不同网络通信的过程。文章通过抓包分析展示了IP数据报、ICMP数据报和ARP数据报的具体信息,包括MAC地址、IP地址、ICMP类型和代码、以及ARP的硬件类型、协议类型、操作类型等。通过这些分析,可以更好地理解网络协议的工作机制和数据传输过程。
网络抓包分析【IP,ICMP,ARP】以及 IP数据报,MAC帧,ICMP报和ARP报的数据报格式
|
2月前
|
安全 网络安全 数据安全/隐私保护
Cisco-交换机配置聚合端口
Cisco-交换机配置聚合端口
IP和MAC的作用区别
【9月更文挑战第3天】IP 是地址,有定位功能;MAC 是身份证,无定位功能