談談IP、MAC與交換機端口綁定的方法

談談IP、MAC與交換機端口綁定的方法

Jack Zhai

資訊安全管理者都希望在發生安全事件時，不僅可以定位到計算機，而且定位到使用者的實際位置，利用MAC與IP的綁定是常用的方式，IP位址是計算機的“姓名”，網絡連接配接時都使用這個名字；MAC位址則是計算機網卡的“身份證号”，不會有相同的，因為在廠家生産時就确定了它的編号。IP位址的修改是友善的，也有很多工具軟體，可以友善地修改MAC位址，“身份冒充”相對容易，網絡就不安全了。

遵從“花瓶模型”信任體系的思路，對使用者進行身份鑒别，大多數人采用基于802.1x協定的身份認證技術(還可以基于應用的身份認證、也可以是基于Cisco的EOU技術的身份認證)，目的就是實作使用者賬号、IP、MAC的綁定，從計算機的确認到人的确認。

身份認證模式是通過計算機内安全用戶端軟體，完成登入網絡的身份鑒别過程，MAC位址也是通過用戶端軟體送給認證伺服器的，具體的過程這裡就不多說了。

<b>一、             </b><b>問題的提出與要求</b>

有了802.1x的身份認證，解決的MAC綁定的問題，但還是不能定位使用者計算機的實體位置，因為計算機接入在哪台交換機的第幾個端口上，還是不知道，使用者計算機改變了實體位置，管理者隻能通過其他網管系統逐層排查。那麼，能否可以把交換機端口與IP、MAC一起綁定呢？這樣計算機的實體位置就确定了。

首先這是有關安全标準的要求：

1)         重要安全網絡中，要求終端安全要實作MAC\IP\交換機端口的綁定

2)         有關專用網絡中，要求未使用的交換機端口要處于關閉狀态(未授權前不打開)

其次，實作交換機端口綁定的目标是：

Ø  防止外來的、未授權的計算機接入網絡(通路網絡資源)

Ø  當有計算機接入網絡時，安全監控系統能夠立即發現該計算機的MAC與IP，以及接入的交換機端口資訊，并做出身份驗證，屬于未授權的能夠報警或終止計算機的繼續接入，或者禁止它通路到網絡的任何資源

Ø  當有安全事件時，可以根據使用者綁定的資訊，定位到機器(MAC與IP)、定位到實體位置(交換機端口)、定位到人(使用者賬号、姓名、電話…)

<b>二、             </b><b>實作交換機端口資訊綁定的政策</b>

根據接入交換機的安全政策，可以把端口資訊綁定分為兩種方式：靜态方式與動态方式

1、靜态方式：固定計算機的位置，隻能在預先配置好的交換機端口接入，未配置(授權申請)的不能接入網絡。

靜态的意思就是關閉交換機的MAC位址學習功能，計算機隻能從網絡唯一允許的位置接入網絡，否則交換機不給予資料轉發，是以隻要該計算機登入，必然是固定的位置。

2、動态方式：計算機可以随機接入交換機的不同端口，在網絡準入身份認證的同時，從交換機中動态提取計算機所在的交換機端口資訊，動态地與MAC、IP等資訊一起綁定。

動态的意思是安全系統在計算機接入網絡時，自動搜尋到交換機的端口資訊，當然這個資訊隻能來自于交換機，不可能來自于用戶端軟體。

<b>三、             </b><b>交換機端口綁定方案一：協定改造</b>

标準的802.1x協定中，交換機負責控制端口與資料端口的管理，但沒有把端口資訊加載在認證資料包中，一些交換機廠家擴充了802.1x協定(私有協定)，增加了端口資訊，顯然這種方案屬于動态綁定方式。

方案的要點：

Ø  所有接入層的交換機要支援該私有擴充協定(交換機必須是同一廠家的)

Ø  終端安全系統的伺服器要支援擴充的認證協定(增加交換機端口)

方案的優缺點：

Ø  優點是綁定協定實作完整

Ø  缺點是網絡交換機都需要是一個廠家的，因為私有協定是難以互通的，同時終端安全系統也需要是定制的

<b>四、             </b><b>交換機端口綁定方案二：主動查詢</b>

修改交換機上的協定是困難的，但我們可以主動探測端口資訊，交換機支援網管功能，通過查詢交換機内的FDB表(交換機内用來維護轉發的資訊表，内容包括對應端口、MAC、Vlan)，就可以獲得端口資訊，顯然這種方案也是動态綁定方式。

實作步驟：

1)         使用者通過用戶端軟體進行身份認證

2)         交換機把認證請求發送給伺服器

3)         伺服器通過SNMP協定查詢交換機的FDB表，确認此時該PC所在的交換機端口号資訊

4)         認證伺服器确認賬号/MAC/IP/端口号，給出認證通過資訊

5)         使用者認證通過，開始通路業務

Ø  交換機支援網管功能(snmp協定)，支援FDB表的查詢

Ø  終端安全系統的伺服器要定制支援FDB查詢功能

Ø  優點是可以采用不同廠家的交換機，隻要支援網管snmp協定即可

<b>五、             </b><b>交換機端口綁定方案三：靜态綁定</b>

安全性要求比較高的網絡，交換機端口的配置設定是确定的，未配置設定的端口預設是關閉的，是以，需要動态查詢的“機會”應該說是沒有的，既然是确定的，就直接“寫入”到交換機内，不輕易改動，是以叫靜态方式。

1)         關閉交換機的端口MAC學習功能，把計算機的MAC配置在交換機端口上，并把計算機的MAC與交換機端口資訊，輸入到終端安全伺服器的資源管理中

2)         使用者通過用戶端軟體進行身份認證

3)         交換機把認證請求發送給伺服器 (由于交換機端口中有該計算機的MAC，是以轉發認證資料包)

4)         認證伺服器确認賬号/MAC/IP，并從資源庫中提取交換機端口号資訊，一同綁定，給出認證通過資訊

5)         使用者認證通過，進行正常通路業務

Ø  關閉交換機自學習功能，人工靜态配置MAC資訊

Ø  終端安全系統的伺服器進行資源管理，記錄MAC與交換機端口資訊

Ø  優點是計算機接入端口資訊固定，網絡準入層次提高，避免計算機身份冒充行為，從交換機底層控制未知的計算機是不能接入網絡的

Ø  缺點是人工配置MAC，安全管理工作多

<b>六、             </b><b>三種方案的比較</b>

方案

方案特定

适用範圍

方案1：協定改造

協定實作完整，要求交換機是同廠家的，網絡改造投入大

适合建立網絡，或者是小型網絡系統安全改造

方案2：主動查詢

方案相對完美，不要求交換機同廠家，但要求支援網管功能

适合大型網絡或網絡改造的安全管理

方案3：靜态綁定

方案相對簡單，對交換機沒有要求，方案的安全性又較高，尤其在未授權計算機的接入控制上

适合于涉密要求高的網絡，适合于專用網絡的安全管理

本文轉自 zhaisj 51CTO部落格，原文連結：http://blog.51cto.com/zhaisj/366563，如需轉載請自行聯系原作者