基于802.1X的校园网接入认证安全防御

由于国家十二五规划纲要把教育信息化列为其中重要的一项，校园网信息化建设高速发展。

随着网络用户数量急剧增加，网络管理问题和安全问题日趋严峻，针对校园网用户多且分散、流动性强，用户对网络需求各异等特点，亟需营造一个安全可靠、可运营、可管理的网络，给用户提供一个便捷、畅通的网络环境。为实现此目标，迫切需要一种合理、细致的管理机制和计费手段。接入认证系统和收费计费系统结合可达到此要求。

网络上传统的认证系统如PPPoE 和Web/Portal认证方式，越来越不适应网络规模增大和用户需求多样性的要求，使得传统认证的弊端日益突显。基于此背景下，IEEE 802.1X通过对认证方式和认证体系结构进行优化，有效地解决了传统PPPoE和Web/Portal认证方式带来的问题，消除了网络瓶颈，减轻了网络封装开销，降低了建网成本，从而受到当前校园网选择的热捧。然而简单的使用802.1X认证仍然存在一些安全隐患，故需要采用安全防御机制来解决。本文首先介绍了接入认证方式及利弊，然后阐述了802.1X原理及认证过程，接着详细介绍了802.1X在校园网中存在的隐患，最后提出了两种安全防御机制并可兼容802.1X认证。

接入认证方式及利弊

目前主要的接入认证方式有三种：PPPoE 认证方式、Web/Portal认证方式和802.1X 认证方式。

1.PPPoE 认证方式：PPPoE 是在IETF RFC标准基础上研发的点对点协议，是目前应用最为普遍的家庭用户接入方式之一。它将以太网技术、局域网和点对点协议的可扩展性及管理控制功能结合在一起，通过类似拨号方式，为用户提供简单方便的宽带接入服务。此接入方式的优势在于和原有窄带网络用户接入认证体系一致，易于用户接受。然而不足之处在于局端接入设备开销大，容易形成单点瓶颈，且设备昂贵。

2.Web/Portal认证方式：Web认证运用广泛，它依托于Web 浏览器，通过HTTP以及HTTPS协议和Web认证服务器进行交互认证。该认证方式可以很方便地利用Web服务器推出Portal和广告等增值业务，有利于达到引导用户和宣传业务的效果。其优点在于不需要特定的客户端软件，可以降低运营成本，同时可提供Portal等增值业务。缺点是Web/Portal承载于7层协议之上，多采用出口网关设备，内网存在的安全隐患，如BBS论坛出现过激言论或某IP 攻击服务器等行为都无法追踪。

3.802.1X认证方式：802.1X认证，称为基于端口的访问控制协议认证，它将传统的出口控制迁移到入口控制，实现对端口的用户级的接入控制，对大规模的LAN接入和WLAN 应用有很好的安全防护作用。其优势是认证与业务分离有利于解决网络瓶颈，对设备的整体性能要求不高，有效降低建网成本。弱点是需要特定的客户端，ARP攻击、IP伪造等安全问题仍未解决。

802.1X原理及认证过程

802.1X是根据用户账号或设备，对网络客户端(或端口)进行鉴权的标准。此过程又叫做“端口级别的鉴权”，它只适合于此环境：接入用户设备与接入端口间点到点的连接方式。其中的端口可以是物理的端口，也可以是用户设备的MAC 地址。由于基于物理端口的控制方式需要认证交换机直接连接用户来实现，提升了交换机成本，导致建网成本增加。在经费比较短缺的校园领域中，网络认证目前普遍使用基于用户设备的MAC地址控制方式。把用户设备的MAC 地址看成端口，每个MAC地址有两个逻辑端口：受控和不受控端口。MAC地址处于激活状态是认证的前提条件，否则无法进行认证。在802.1X协议体系结构中，必须同时具备客户端、接入认证交换机和认证服务器三者，才能够完成基于端口的访问控制的用户认证和授权。认证过程如图1所示。

图1

802.1X在校园网中存在的安全隐患

在缺乏保护的共享式网段中，简单地使用标准802.1X协议，容易造成如中间人攻击、会话劫持攻击、拒绝服务攻击、IP地址伪造、MAC 地址伪造、网络接入盗用等安全隐患。用标准802.1X认证在认证通过后的安全性成为很大问题，而且其无法满足网络接入管理控制的需求。

因此，要使用802.1X认证就必须对其进行相关的扩展。在用户认证前，对被认证者进行详细的检查，这些检查不仅仅包括用户名和密码，还可以包括用户设备IP、用户设备MAC、认证交换机IP、认证交换机端口等。

在通过认证后，通过控制交换设备，可以进行IP 绑定、MAC 绑定、ACL配置等工作，提高其认证后的安全性。然而据了解，目前校园网中运用广泛的H3C认证系统和锐捷认证系统基本框架是用户名与用户设备IP、用户设备MAC、认证交换机IP、认证交换机端口信息的绑定，在接入认证交换机上仅仅绑定用户设备MAC与端口对应，而用户设备IP并未真正绑定到接入认证交换机上。所以，接入认证交换机上的绑定其实是一种壹儆绑定，易发生安全问题。

1.中间人攻击：它是一种“间接”的入侵攻击，这种攻击模式是一台黑客主机通过各种技术手段给两台直接通信主机发送伪造ARP应答报文，使两台直接通信主机间接通过黑客主机通信，此过程中黑客主机可窃取和篡改传递信息。通常，这种“拦截数据-修改数据-发送数据”的过程就被称为“会话劫持”。

2.拒绝服务攻击：是指攻击者利用攻击工具向服务器发送大量伪造不同源IP地址的连接请求报文，造成交换机CPU持续上升，网络资源耗尽，使网络无法正常工作。

3.网络接入盗用：是指盗用合法用户信息(如用户名、密码、IP地址、MAC地址等)接入上网，导致他人I P 冲突、流量丢失或者无法上网等。

基于802.1X的接入认证安全防御

用户通过802.1X接入认证后成为合法用户，但成为合法用户只是跨越网络安全问题的第一道门槛。合法用户会因为中毒而被动、或者好奇而主动发送欺骗类报文到网络中，从而导致其他用户不能正常访问网络。对网络管理部门而言，大量的投诉与咨询会不断收到。交换机作为网络接入的入口设备，如果能将这类欺骗报文隔离在外，仅允许合法报文进入网络，则可完美解决因此而带来的网络问题。协同采用ARP入侵检测和IP过滤安全防御机制可解决此类问题。