基于接入層的網(wǎng)絡(luò)安全解決方案研究

1、基于接入層的網(wǎng)絡(luò)安全解決方案研究Research of Solution for the Network Security Based on the Access Layer曾夢良 鄭雪峰Zeng,Mengliang Zheng,Xuefeng北京科技大學(xué)信息學(xué)院計算機系 100083(School of Information Computer, USTB Beijing, Beijing 100083, China)摘要：本文詳細分析了幾種攻擊手段的原理和危害，并從接入控制和業(yè)務(wù)流控制兩方面著手，以802.1X和DHCP協(xié)議為基礎(chǔ)，給出了完整的多層次的解決方案，軟件處理和硬件過濾相結(jié)合，即

2、保證了網(wǎng)絡(luò)的安全性，又最大限度維持系統(tǒng)的高效率運行，使得系統(tǒng)的可靠性、穩(wěn)定性、可用性都達到了一個比較高的水平。關(guān)鍵詞：802.1X，動態(tài)主機配置協(xié)議，地址解析協(xié)議，接入層，網(wǎng)絡(luò)安全Abstract: This paper detailedly analyses some kinds of network attacking methods and their harm to the users.From the access control and the flow control on the network,the paper presents a complete solution ai

3、m at this attackings based on the Port Based Network Access Control Protocol and the Dynamic Host Configuration Protocol.The solution units the process of software and the hardware filter,not only makes sure the security of the network,but also keeps the high efficiency . Keywords: 802.1X, DHCP, ARP

4、, Access Layer, Network Security1 引言計算機技術(shù)的提高和計算機網(wǎng)絡(luò)的廣泛使用，大大擴展了信息資源的共享和交互，引發(fā)了意義深遠的重大變革，使人們的工作、學(xué)習(xí)和生活發(fā)生了巨大的變化。然而，最初面向研究機構(gòu)的因特網(wǎng)以及相應(yīng)的TCP/IP協(xié)議是針對一個安全的環(huán)境而設(shè)計的所有的用戶都相互信任，對開放、自由的信息交換有興趣，而對安全方面的考慮較少，因此網(wǎng)絡(luò)存在很多的安全隱患，給了黑客們可乘之機。隨著時代的發(fā)展，網(wǎng)絡(luò)上信息傳遞的信息量和重要程度都在急劇增加，網(wǎng)絡(luò)攻擊已經(jīng)成為竊取信息、破壞發(fā)展的重要手段，其程度和頻率不斷增多。在網(wǎng)絡(luò)深入到黨政辦公系統(tǒng)、金融系統(tǒng)、商用系統(tǒng)以及軍

5、用系統(tǒng)等各個行業(yè)的今天，網(wǎng)絡(luò)安全尤為重要。本文總結(jié)了網(wǎng)絡(luò)中幾種嚴重的攻擊方式，并提供了立體的、多層次的解決方案，同時根據(jù)大部分網(wǎng)絡(luò)攻擊特點，將攻擊終結(jié)在接入層，大大減少了上層核心網(wǎng)絡(luò)被攻擊的風(fēng)險和業(yè)務(wù)處理負擔。本文提供的解決方案是針對接入層交換機的方案。2 攻擊方式概述本文所提到的攻擊和欺騙行為主要針對鏈路層和網(wǎng)絡(luò)層。在網(wǎng)絡(luò)實際環(huán)境中，其來源可概括為兩個途徑：人為實施、病毒或蠕蟲。人為實施通常是指使用一些黑客的工具對網(wǎng)絡(luò)進行掃描和嗅探，獲取管理帳戶和相關(guān)密碼，在網(wǎng)絡(luò)中安插木馬，從而進一步竊取機密文件。攻擊和欺騙過程往往比較隱蔽和安靜，但對于信息安全要求高的企業(yè)危害是極大的。而來自木馬或者病毒及

6、蠕蟲的攻擊往往會偏離攻擊和欺騙本身的目的，現(xiàn)象有時非常直接，會帶來網(wǎng)絡(luò)流量加大、設(shè)備 CPU 利用率過高、二層生成樹環(huán)路直至網(wǎng)絡(luò)癱瘓。2.1 MAC/CAM泛洪攻擊MAC/CAM泛洪攻擊是指利用工具產(chǎn)生大量欺騙MAC，快速填滿CAM表，交換機CAM表被填滿后，流量在所有端口廣播，導(dǎo)致交換機就像共享HUB一樣工作，這時攻擊者可以利用各種嗅探攻擊獲取網(wǎng)絡(luò)信息。同時CAM表滿了后，流量以洪泛方式發(fā)送到所有接口，也就代表TRUNK接口上的流量也會發(fā)給所有接口和鄰接交換機，會造成交換機負載過大，網(wǎng)絡(luò)緩慢和丟包甚至癱瘓。2.2針對DHCP的攻擊采用 DHCP協(xié)議可以自動為用戶設(shè)置網(wǎng)絡(luò) IP 地址、掩碼、網(wǎng)

7、關(guān)、 DNS 、 WINS 等參數(shù)，簡化了用戶網(wǎng)絡(luò)設(shè)置，提高了管理效率。但在DHCP管理使用上也存在著一些令網(wǎng)管人員比較頭疼的問題。2.2.1 DHCP報文泛洪攻擊DHCP報文泛洪攻擊是指利用工具偽造大量DHCP請求報文發(fā)送到服務(wù)器，一方面惡意耗盡了IP資源，使得合法用戶無法獲得IP資源；另一方面使得服務(wù)器高負荷運行，無法響應(yīng)合法用戶的請求，造成網(wǎng)絡(luò)故障。2.2.2 DHCP Server 欺騙攻擊由于DHCP協(xié)議在設(shè)計的時候沒有考慮到客戶端和服務(wù)器端之間的認證機制，如果網(wǎng)絡(luò)上存在多臺DHCP服務(wù)器將會給網(wǎng)絡(luò)照成混亂。通常黑客攻擊是首先將正常的DHCP服務(wù)器所能分配的 IP 地址耗盡，然后冒充

8、合法的DHCP服務(wù)器。最為隱蔽和危險的方法是黑客利用冒充的DHCP服務(wù)器，為用戶分配一個經(jīng)過修改的 DNS server，在用戶毫無察覺的情況下被引導(dǎo)至預(yù)先配置好的假金融網(wǎng)站或電子商務(wù)網(wǎng)站，騙取用戶帳戶和密碼，這種攻擊后果是非常嚴重的。2.3 針對ARP攻擊IP數(shù)據(jù)包是Internet的血液，IP報文要發(fā)送到目的地，不管是IP數(shù)據(jù)的源主機，還是中間的轉(zhuǎn)發(fā)網(wǎng)絡(luò)設(shè)備，其重要職責都是兩個方面：（1）確定IP的下一跳；（2）通過鏈路層將報文發(fā)送給下一跳。任務(wù)（1）是由路由管理以及為路由管理提供素材的路由協(xié)議完成的，本文不討論這方面的相關(guān)內(nèi)容。任務(wù)（2）的完成重要的一個環(huán)節(jié)就是ARP。ARP作為IP層和

9、鏈路層之間的聯(lián)系紐帶，其作用和責任非常重大，最主要的使命就是確定IP地址對應(yīng)的鏈路層地址（MAC地址）。但是由于特定的歷史原因，ARP協(xié)議在設(shè)計的時候也沒有考慮到安全因素，因此黑客可以很輕易的針對ARP協(xié)議的漏洞發(fā)起攻擊，輕松竊取到網(wǎng)絡(luò)信息。2.3.1 ARP流量攻擊ARP流量攻擊的方式多種多樣，比如偽造大量ARP請求，偽造大量ARP應(yīng)答，偽造目的IP不存在的IP報文等等，其最終目的只有一個：增加網(wǎng)絡(luò)中ARP報文的流量，浪費交換機CPU帶寬和資源，浪費內(nèi)存資源，造成CPU繁忙，產(chǎn)生丟包現(xiàn)象，嚴重的甚至造成網(wǎng)絡(luò)癱瘓。2.3.2 ARP欺騙攻擊根據(jù)ARP協(xié)議的設(shè)計，為了減少網(wǎng)絡(luò)上過多的 ARP 數(shù)

10、據(jù)通信，一個主機即使收到非本機的ARP應(yīng)答，也會對其進行學(xué)習(xí)，這樣，就造成了“ARP欺騙”的可能。如果黑客想探聽同一網(wǎng)絡(luò)中兩臺主機之間的通信（即使是通過交換機相連），他會分別給這兩臺主機發(fā)送一個 ARP 應(yīng)答包，讓兩臺主機都“誤”認為對方的 MAC 地址是第三方的黑客所在的主機，這樣，雙方看似“直接”的通信連接，實際上都是通過黑客所在的主機間接進行的。黑客一方面得到了想要的通信內(nèi)容，另一方面，只需要更改數(shù)據(jù)包中的一些信息，成功地做好轉(zhuǎn)發(fā)工作即可。同時黑客連續(xù)不斷地向這兩臺主機發(fā)送這種虛假的ARP響應(yīng)包，讓這兩臺主機一直保存錯誤的ARP表項，使其可以一直探聽這兩臺主機之間的通信。圖一 ARP欺騙

11、示意圖在攻擊者發(fā)送ARP欺騙報文后，網(wǎng)絡(luò)傳輸效果圖如下，A和C直接的通信實際是A發(fā)給B，再由B轉(zhuǎn)發(fā)給C。只要B做好轉(zhuǎn)發(fā)工作，就可以毫無聲息的達到竊聽的目的。 圖二 ARP攻擊效果圖2.4 IP/MAC欺騙攻擊常見的欺騙種類有 MAC欺騙、IP欺騙、IP/MAC欺騙，黑客可以偽造源地址進行攻擊，例如：以公網(wǎng)上的 DNS服務(wù)器為目標，希望通過使DNS服務(wù)器對偽造源地址的響應(yīng)和等待，造成DOS攻擊，并以此擴大攻擊效果。此外IP/MAC欺騙的另一個目的為了偽造身份或者獲取針對IP/MAC的特權(quán)。3 綜合安全解決方案本文針對上述攻擊手段，提出了完整的多層次保護解決方案。本方案在設(shè)計時，遵循以下原則：1)

12、完整性原則：完整性是指信息沒有遭受到以未授權(quán)方式所作的篡改和（或）未經(jīng)授權(quán)的使用；2)保障系統(tǒng)運行性能原則：在保證安全的前提下，最大限度的服務(wù)于系統(tǒng)的高效率運行，要最大限度地保證系統(tǒng)的可靠性、穩(wěn)定性、可用性。安全方案示意圖如下： 圖三 安全解決方案示意圖上述攻擊方式使用傳統(tǒng)的防火墻防范很難達到一個滿意的效果，因此本文提出的新的解決方案另辟蹊徑，從接入層入手，分2個層次，全方位防范多種攻擊。3.1 訪問控制為了便于管理和控制，所有用戶通過DHCP協(xié)議獲取IP地址和相應(yīng)的配置，但是在獲取到合法配置之前，用戶必須通過802.1X認證。如上圖所示，用戶首先向所屬網(wǎng)絡(luò)的802.1X認證服務(wù)器發(fā)起認證，待

13、認證通過后，再通過DHCP協(xié)議獲取網(wǎng)絡(luò)上DHCP Server提供的各種配置，如IP地址、掩碼、網(wǎng)關(guān)、DNS等等。本文所提供的解決方案創(chuàng)新點如下：1)利用DHCP報文中的Option字段（如Option82），在Server端配置相應(yīng)的策略，可以動態(tài)靈活的下發(fā)相應(yīng)配置，滿足各種業(yè)務(wù)或安全需求。典型例子：在一個基于IP地址訪問控制的網(wǎng)絡(luò)中，在DHCP客戶端的Option字段中加上MAC地址和所屬VLAN等信息，Server端分配相應(yīng)的有特定訪問權(quán)限的IP地址段。通過此種方式大大提高了網(wǎng)絡(luò)的安全性和訪問控制的靈活性。2) IEEE 802.1X的標準是一個基于端口的訪問控制協(xié)議，其基本要求是對用戶

14、接入端口進行控制，這對無線接入訪問點而言是足夠的，因為一個用戶占用一個信道。但在很多場合，以端口為對象的控制粒度難以滿足要求。如上圖所示，有多個用戶通過HUB與接入層交換機相連，如果這個端口上有一個用戶通過了認證，那么這個端口上的其它未認證用戶也可以正常使用網(wǎng)絡(luò)，隨之而來的是巨大的安全隱患。本解決方案將802.1X認證擴展為基于MAC地址邏輯端口的認證，控制粒度為用戶，非常靈活。3)用戶通過DHCP獲取IP地址等配置信息的過程中，接入層交換機會記錄下合法用戶的IP、MAC、VLAN和端口號一系列信息（Snooping表項），后面所提出的針對具體攻擊的防范方法都是基于此合法表項。需要說明一點的是

15、，如果允許用戶不同過DHCP而是靜態(tài)配置IP地址等配置信息，也支持在接入層交換機靜態(tài)綁定一個合法表項。認證機制從源頭上就阻止了大量非法用戶入侵的可能，但是對于通過認證的用戶的惡意或者因為感染病毒而發(fā)起的攻擊行為，僅僅這一層防護是不夠的，因此還需要本解決方案的業(yè)務(wù)流控制部分。3.2 業(yè)務(wù)流控制認證機制能夠有效防止非法用戶入侵網(wǎng)絡(luò)，但是對于少數(shù)惡意的合法用戶或者被病毒感染的用戶的攻擊行為就顯得力不從心了。要想徹底根治上述攻擊，只有從業(yè)務(wù)流入手，監(jiān)控網(wǎng)絡(luò)中的異常流量，主動發(fā)現(xiàn)攻擊源，采取有效策略化解攻擊可能造成的危害。3.2.1 MAC/CAM泛洪攻擊的防范方法此種攻擊可以通過限制接入層交換機上端口

16、所允許通過的MAC地址數(shù)量來防范，對于不在允許列表中的MAC地址通過直接將數(shù)據(jù)丟棄；允許通過的MAC地址列表可以靜態(tài)配置，也可以限制MAC學(xué)習(xí)數(shù)，先學(xué)到的特定數(shù)目MAC即為允許列表。3.2.2 DHCP泛洪攻擊防范方法通過DHCP支持Option82可以限制某一端口或者某一MAC最多能申請的IP地址的個數(shù)，這樣就能有效防范IP地址被惡意耗盡；此外在端口上對DHCP報文進行限速，當報文速率超過設(shè)定值的時候，down掉該端口，這樣就能有效防范DHCP報文流量攻擊。3.2.3 DHCP服務(wù)器欺詐的防范方法為了防止網(wǎng)絡(luò)上有人仿冒DHCP服務(wù)器，可以通過硬件下發(fā)ACL規(guī)則，初始時接入層交換機上所有端口設(shè)

17、置為非信任端口，此時端口不允許DHCP服務(wù)器應(yīng)答報文如DHCP OFFER、DHCP ACK報文通過，除非用戶手工在交換機上面將某端口配置為信任端口（如上圖所示），信任端口一般為連接DHCP服務(wù)器所在網(wǎng)絡(luò)的端口（上行口）。這樣，當非信任端口上的用戶想要仿冒DHCP服務(wù)器時，它應(yīng)答DHCP客戶端的報文將會被直接過濾掉，從根本上防止了DHCP服務(wù)器欺詐攻擊。3.2.4 ARP流量攻擊防范方法防范ARP流量攻擊通過兩種手段：1，對端口ARP報文進行限速，當端口ARP報文速率超過設(shè)定值，則down掉端口；2，對引起ARP解析失敗的目的IP進行記錄，當在固定時間內(nèi)該IP引起ARP解析失敗的次數(shù)超過設(shè)定值

18、的時候，下發(fā)ACL，通過硬件將目的IP為此IP的報文丟棄；3.2.5 ARP欺騙攻擊防范方法對于ARP欺騙攻擊，利用接入層交換機上已經(jīng)記錄了Snooping表項或（和）靜態(tài)綁定了合法用戶的信息進行報文合法性判斷。當交換機端口上收到ARP報文，將報文中的IP和MAC地址提取出來，然后與上述表項進行對比，若IP、MAC以及收到報文的端口信息在表項中，則認為是合法報文，正常處理，否則認為是非法報文予以丟棄。3.2.6 IP/MAC欺騙攻擊防范方法防止IP/MAC欺騙，處理類似上面講到的防止ARP欺騙，也是利用Snooping表項和靜態(tài)綁定表項檢測IP報文中IP、MAC和端口號的正確性，所不同的是IP

19、地址檢查特性配置在交換機的端口上，對該端口生效，不是通過軟件丟棄報文，而是直接在端口下發(fā)ACL規(guī)則，由硬件直接丟棄非法報文，極大降低了偽IP報文對交換機處理效率的影響。5 結(jié)束語本文詳細分析了幾種攻擊手段的原理和危害，并從接入控制和業(yè)務(wù)流控制兩方面著手，以802.1X和DHCP協(xié)議為基礎(chǔ)，給出了完整的多層次的解決方案，軟件處理和硬件過濾相結(jié)合，即保證了網(wǎng)絡(luò)的安全性，又最大限度維持系統(tǒng)的高效率運行，使得系統(tǒng)的可靠性、穩(wěn)定性、可用性都達到了一個比較高的水平。本文作者的創(chuàng)新點： 1將802.1X認證擴展為基于MAC地址邏輯端口的認證，控制粒度為用戶，即滿足了各種業(yè)務(wù)和安全需要，而且使得組網(wǎng)非常靈活。 2合理利用DHCP報文中的Option字段，使得下發(fā)相應(yīng)配置具有更大的靈活性和可控制性。 3在處理非法報文時，軟件處理和硬件丟棄相結(jié)合，