安全技術(五):MAC位址認證
集中式MAC位址認證簡介:
集中式MAC位址認證是一種基于端口和MAC位址對使用者通路網絡的權限進行控制的認證方法,它不需要使用者安裝任何用戶端軟體,交換機在首次檢測到使用者的MAC位址以後,即啟動對該使用者的認證操作。
集中式MAC位址認證有兩種方式:
1.MAC位址方式:使用使用者的MAC位址作為認證時的使用者名和密碼。
2.固定方式:使用在交換機上預先配置使用者名和密碼進行認證。此時,要求所有使用者都和交換機上配置的使用者名和密碼一一對應。
S2000-HI系列以太網交換機支援通過RADIUS伺服器或通過本地進行集中式MAC位址認證。
(1) 當采用RADIUS伺服器進行認證時,交換機作為RADIUS用戶端,與RADIUS伺服器配合完成集中式MAC位址認證操作:
1.對于MAC位址方式,交換機将檢測到的使用者MAC位址作為使用者名和密碼發送給RADIUS伺服器,其餘處理過程與普通RADIUS認證相同。
2.對于固定方式,交換機将已經在本地配置的使用者名和密碼作為待認證使用者的使用者名和密碼,發送給RADIUS伺服器,并将RADIUS封包的calling-station-id屬性更改為使用者的MAC位址,其餘處理過程與普通RADIUS認證相同。
3.RADIUS伺服器完成對該使用者的認證後,認證通過的使用者可以通路網絡。
(2) 當采用本地認證時,直接在交換機上完成對使用者的認證。在交換機上配置本地使用者名和密碼時請注意:
1. 對于MAC位址方式,使用者可以通過指令設定輸入作為使用者名、密碼的MAC位址時是否使用分隔符“-”,輸入的格式要與指令設定的格式相同,否則會導緻認證失敗。
2.對于固定方式,本地使用者的使用者名和密碼配置成固定方式的使用者名和密碼即可。
3.本地使用者的服務類型應設定為lan-access。
MAC 位址認證定時器:
MAC 位址認證過程受以下定時器的控制:
(1)下線檢測定時器(offline-detect):用來設定交換機檢查使用者是否已經下線的時間間隔。當檢測到使用者下線後,交換機立即通知RADIUS 伺服器,停止對該使用者的計費。
(2)靜默定時器(quiet):用來設定使用者認證失敗以後,該使用者需要等待的時間間隔。在靜默期間,交換機不處理該使用者的認證功能,靜默之後交換機再重新對使用者發起認證。
(3)伺服器逾時定時器(server-timeout):用來設定交換機同RADIUS 伺服器的連接配接逾時時間。在使用者的認證過程中,如果伺服器逾時定時器逾時,則此次認證失敗。
靜默MAC:
當一個MAC 位址認證失敗後,此MAC 就被設定為靜默MAC。在靜默定時器時長之内,對來自此MAC 位址的資料封包,交換機直接做丢棄處理。靜默MAC 的功能主要是防止非法MAC 短時間内的重複認證。
MAC 位址認證基本功能配置:
注意:
1.如果端口開啟了MAC 位址認證,則不能配置該端口的最大MAC 位址學習個數(通過指令mac-address max-mac-count 配置),反之,如果端口配置了最大MAC 位址學習個數,則禁止在該端口上開啟MAC 位址認證。
2.如果開啟了 MAC 位址認證,則不能配置端口安全(通過指令port-security enable 配置),反之,如果配置了端口安全,則禁止在該端口上開啟MAC 位址認證。
3.各端口的 MAC 位址認證狀态在全局開啟之前可以配置,但不會生效;在全局MAC 位址認證開啟後,已使能MAC 位址認證的端口将立即開始進行認證操作。
MAC 位址認證增強功能配置:
配置端口下MAC 位址認證使用者的最大數量:
MAC 位址認證配置顯示和維護:
MAC 位址認證配置舉例:
組網需求:
如 圖1-1所示,某使用者的工作站與以太網交換機的端口Ethernet1/0/2 相連接配接。
1.交換機的管理者希望在端口 Ethernet1/0/2 上對使用者接入進行MAC 位址認證,以控制使用者對Internet 的通路。
2.所有使用者都屬于域:aabbcc.net,認證時使用本地認證的方式。使用者名和密碼都為PC 的MAC位址:00-0d-88-f6-44-c1
組網圖:
配置步驟:
# 開啟指定端口Ethernet 1/0/2 的MAC 位址認證特性。
<Sysname> system-view
[Sysname] mac-authentication interface Ethernet 1/0/2
# 配置采用MAC 位址使用者名進行認證,并指定使用帶有分隔符的小寫形式的MAC 位址作為驗證的使用者名和密碼。
[Sysname] mac-authentication authmode usernameasmacaddress usernameformat with-hyphen
lowercase
# 添加本地接入使用者。
配置本地使用者的使用者名和密碼。
[Sysname] local-user 00-0d-88-f6-44-c1
[Sysname-luser-00-0d-88-f6-44-c1] password simple 00-0d-88-f6-44-c1
設定本地使用者服務類型為 lan-access。
[Sysname-luser-00-0d-88-f6-44-c1] service-type lan-access
[Sysname-luser-00-0d-88-f6-44-c1] quit
# 建立MAC 位址認證使用者所使用的域aabbcc.net。
[Sysname] domain aabbcc.net
New Domain added.
# 配置域aabbcc.net 采用本地認證方式。
[Sysname-isp-aabbcc.net] scheme local
[Sysname-isp-aabbcc.net] quit
# 配置MAC 位址認證使用者所使用的域名為aabbcc.net。
[Sysname] mac-authentication domain aabbcc.net
# 開啟全局MAC 位址認證特性(接入控制相關特性一般将全局配置開啟放在最後,否則相關參數未配置完成,會造成合法使用者無法通路網絡)。
[Sysname] mac-authentication
此時,MAC 位址認證生效,隻允許MAC 位址為00-0d-88-f6-44-c1 的使用者通過端口Ethernet1/0/2通路網絡。
使用RADIUS 伺服器進行MAC 位址認證:
如 圖1-3所示,使用者主機Host通過端口GigabitEthernet1/0/1 連接配接到裝置上,裝置通過RADIUS伺服器對使用者進行認證、授權和計費。
1.裝置的管理者希望在端口 GigabitEthernet1/0/1 上對使用者接入進行MAC 位址認證,以控制其對Internet 的通路。
2. 要求裝置每隔 180 秒就對使用者是否下線進行檢測;并且當使用者認證失敗時,需等待180 秒後才能對使用者再次發起認證。
3.所有使用者都屬于域 2000,認證時采用固定使用者名格式,使用者名為aaa,密碼為123456。
配置使用RADIUS 伺服器進行MAC 位址認證
# 配置RADIUS 方案。
<Device> system-view
[Device] radius scheme 2000
[Device-radius-2000] primary authentication 10.1.1.1 1812
[Device-radius-2000] primary accounting 10.1.1.2 1813
[Device-radius-2000] key authentication abc
[Device-radius-2000] key accounting abc
[Device-radius-2000] user-name-format without-domain
[Device-radius-2000] quit
# 配置ISP 域的AAA 方法。
[Device] domain 2000
[Device-isp-2000] authentication default radius-scheme 2000
[Device-isp-2000] authorization default radius-scheme 2000
[Device-isp-2000] accounting default radius-scheme 2000
[Device-isp-2000] quit
# 開啟全局MAC 位址認證特性。
[Device] mac-authentication
# 開啟端口GigabitEthernet1/0/1 的MAC 位址認證特性。
[Device] mac-authentication interface gigabitethernet 1/0/1
# 配置MAC 位址認證使用者所使用的ISP 域。
[Device] mac-authentication domain 2000
# 配置MAC 位址認證的定時器。
[Device] mac-authentication timer offline-detect 180
[Device] mac-authentication timer quiet 180
# 配置MAC 位址認證使用固定使用者名格式:使用者名為aaa,密碼為123456。
[Device] mac-authentication user-name-format fixed account aaa password simple 123456
安全技術(六):arp位址解析
ARP簡介:
ARP(Address Resolution Protocol,位址解析協定)用于将網絡層的IP位址解析為資料鍊路層的實體位址(MAC位址)。
ARP位址解析的必要性:
網絡裝置進行網絡尋址時隻能識别資料鍊路層的MAC位址,不能直接識别來自網絡層的IP位址。如果要将網絡層中傳送的資料報交給目的主機,必須知道該主機的MAC位址。是以網絡裝置在發送封包之前必須将目的主機的IP位址解析為它可以識别的MAC位址。
ARP位址解析的實作過程:
在主機啟動時,主機上的ARP映射表為空;當一條動态ARP映射表項在規定時間沒有使用時,主機将其從ARP映射表中删除掉,以便節省記憶體空間和ARP映射表的查找時間。具體過程可以參考圖1-3。
(1)假設主機A和主機B在同一個網段,主機A的IP位址為IP_A,B的IP位址為IP_B,主機A要向主機B發送資訊。主機A首先檢視自己的ARP映射表,确定其中是否包含有IP_B對應的ARP映射表項。如果找到了對應的MAC位址,則主機A直接利用ARP映射表中的MAC位址,對IP資料包進行幀封裝,并将資料發送給主機B。
(2)如果在ARP映射表中找不到對應的MAC位址,則主機A将該資料包放入發送等待隊列,然後建立一個ARP request,并以廣播方式在以太網上發送。ARP request資料包中包含有主機B的IP位址,以及主機A的IP位址和MAC位址。由于ARP request資料包以廣播方式發送,該網段上的所有主機都可以接收到該請求,但隻有被請求的主機(即主機B)會對該請求進行處理。
(3)主機B首先把ARP request資料包中的請求發起者(即主機A)的IP位址和MAC位址存入自己的ARP映射表中。然後主機B建立ARP響應資料包,在資料包中填入主機B的MAC位址,發送給主機A。這個響應不再以廣播形式發送,而是以單點傳播形式直接發送給主機A。
(4)主機A收到響應資料包後,提取出主機B的IP位址及其對應的MAC位址,加入到自己的ARP映射表中,并把放在發送等待隊列中的發往主機B的所有資料包都發送出去。
配置ARP:
手工添加靜态ARP映射項:
配置動态ARP老化定時器的時間:
使能ARP表項的檢查功能:
應用案例:
假設IP位址10.1.1.2;MAC位址0009.6bc4.d4bf
1 、IP+MAC+端口綁定流程三層交換機中目前隻有S3526系列支援使用AM指令來進行IP位址和端口的綁定。并且如果S3526系列交換機要采用AM指令來實作綁定功能,則交換機必須是做三層轉發(即使用者的網關應該在該交換機上)。
2 、采用DHCP-SECURITY來實作1.配置端口的靜态MAC位址
[SwitchA]mac-address static 0009.6bc4.d4bf interface e0/1 vlan 1
2.配置IP和MAC對應表
[SwitchA]dhcp-security 10.1.1.2 0009.6bc4.d4bf static
3.配置dhcp-server組号(否則不允許執行下一步,此dhcp-server組不用在交換機上建立也可)
[SwitchA-Vlan-interface1]dhcp-server 1
4. 使能三層位址檢測
[SwitchA-Vlan-interface1]address-check enable
3 、采用AM指令來實作1.使能AM功能
[SwitchA]am enable
2.進入端口視圖
[SwitchA]vlan 10
3. 将E0/1加入到vlan10
[SwitchA-vlan10]port Ethernet 0/1
4.建立(進入)vlan10的虛接口
[SwitchA]interface Vlan-interface 10
5.給vlan10的虛接口配置IP位址
[SwitchA-Vlan-interface10]ip add 10.1.1.1 255.255.255.0
6.進入E0/1端口
[SwitchA]interface Ethernet 0/1
7. 該端口隻允許起始IP位址為10.1.1.2的10個IP位址上網
[SwitchA-Ethernet0/1]am ip-pool 10.1.1.2 10
ARP 防攻擊配置舉例:
1. 組網需求
Switch1 是S9500 系列交換機,通過端口Ethernet 1/1/1 和端口Ethernet 1/1/2連接配接低端交換機Switch2 和Switch3。Switch1 下挂PC1、Switch2 下挂PC2、PC3,且PC2、PC3 屬于同一個網段;Switch3 下挂PC4、PC5,且PC4、PC5 同屬于另外一個網段。PC1 中病毒後,會發出大量ARP 攻擊封包,部分ARP 封包源IP 位址在本網段内不停變化,部分ARP 封包源IP 和網關IP 位址相同;PC4 使用者構造大量源MAC 位址固定的ARP 封包對網絡進行攻擊。Switch1 能夠防止PC1 和PC4的攻擊。