談談
ip 、
mac 與交換機埠繫結的方法
jack zhai
資訊保安管理者都希望在發生安全事件時,不僅可以定位到計算機,而且定位到使用者的實際位置,利用mac與ip的繫結是常用的方式,ip位址是計算機的「姓名」,網路連線時都使用這個名字;mac位址則是計算機網絡卡的「身份證號」,不會有相同的,因為在廠家生產時就確定了它的編號。ip位址的修改是方便的,也有很多任務具軟體,可以方便地修改mac位址,「身份冒充」相對容易,網路就不安全了。
遵從「花瓶模型」信任體系的思路,對使用者進行身份鑑別,大多數人採用基於802.1x協議的身份認證技術(還可以基於應用的身份認證、也可以是基於cisco的eou技術的身份認證),目的就是實現使用者賬號、ip、mac的繫結,從計算機的確認到人的確認。
身份認證模式是通過計算機內安全客戶端軟體,完成登入網路的身份鑑別過程,mac位址也是通過客戶端軟體送給認證伺服器的,具體的過程這裡就不多說了。
一、問題的提出與要求
有了802.1x的身份認證,解決的mac繫結的問題,但還是不能定位使用者計算機的物理位置,因為計算機接入在哪台交換機的第幾個埠上,還是不知道,使用者計算機改變了物理位置,管理者只能通過其他網管系統逐層排查。那麼,能否可以把交換機埠與ip、mac一起繫結呢?這樣計算機的物理位置就確定了。
首先這是有關安全標準的要求:
1)
重要安全網路中,要求終端安全要實現mac\ip\交換機埠的繫結
2)
有關專用網路中,要求未使用的交換機埠要處於關閉狀態(未授權前不開啟)
其次,實現交換機埠繫結的目標是:
ø 防止外來的、未授權的計算機接入網路(訪問網路資源)
ø 當有計算機接入網路時,安全監控系統能夠立即發現該計算機的mac與ip,以及接入的交換機埠資訊,並做出身份驗證,屬於未授權的能夠報警或終止計算機的繼續接入,或者禁止它訪問到網路的任何資源
ø 當有安全事件時,可以根據使用者繫結的資訊,定位到機器(mac與ip)、定位到物理位置(交換機埠)、定位到人(使用者賬號、姓名、**…)
二、實現交換機埠資訊繫結的策略
根據接入交換機的安全策略,可以把埠資訊繫結分為兩種方式:靜態方式與動態方式
1、靜態方式:固定計算機的位置,只能在預先配置好的交換機埠接入,未配置(授權申請)的不能接入網路。
靜態的意思就是關閉交換機的mac位址學習功能,計算機只能從網路唯一允許的位置接入網路,否則交換機不給予資料**,所以只要該計算機登入,必然是固定的位置。
2、動態方式:計算機可以隨機接入交換機的不同埠,在網路准入身份認證的同時,從交換機中動態提取計算機所在的交換機埠資訊,動態地與mac、ip等資訊一起繫結。
動態的意思是安全系統在計算機接入網路時,自動搜尋到交換機的埠資訊,當然這個資訊只能來自於交換機,不可能來自於客戶端軟體。
三、交換機埠繫結方案一:協議改造
標準的802.1x協議中,交換機負責控制埠與資料埠的管理,但沒有把埠資訊載入在認證資料報中,一些交換機廠家擴充套件了802.1x協議(私有協議),增加了埠資訊,顯然這種方案屬於動態繫結方式。
方案的要點:
ø 所有接入層的交換機要支援該私有擴充套件協議(交換機必須是同一廠家的)
ø 終端安全系統的伺服器要支援擴充套件的認證協議(增加交換機埠)
方案的優缺點:
ø 優點是繫結協議實現完整
ø 缺點是網路交換機都需要是乙個廠家的,因為私有協議是難以互通的,同時終端安全系統也需要是定製的
四、交換機埠繫結方案二:主動查詢
修改交換機上的協議是困難的,但我們可以主動探測埠資訊,交換機支援網管功能,通過查詢交換機內的fdb表(交換機內用來維護**的資訊表,內容包括對應埠、mac、vlan),就可以獲得埠資訊,顯然這種方案也是動態繫結方式。
實現步驟:
1)
使用者通過客戶端軟體進行身份認證
2)
交換機把認證請求傳送給伺服器
3)
伺服器通過snmp協議查詢交換機的fdb表,確認此時該pc所在的交換機埠號資訊
4)
認證伺服器確認賬號/mac/ip/埠號,給出認證通過資訊
5)
使用者認證通過,開始訪問業務
方案的要點:
ø 交換機支援網管功能(snmp協議),支援fdb表的查詢
ø 終端安全系統的伺服器要定製支援fdb查詢功能
方案的優缺點:
ø 優點是可以採用不同廠家的交換機,只要支援網管snmp協議即可
五、交換機埠繫結方案三:靜態繫結
安全性要求比較高的網路,交換機埠的分配是確定的,未分配的埠預設是關閉的,因此,需要動態查詢的「機會」應該說是沒有的,既然是確定的,就直接「寫入」到交換機內,不輕易改動,所以叫靜態方式。
實現步驟:
1)
關閉交換機的埠mac學習功能,把計算機的mac配置在交換機埠上,並把計算機的mac與交換機埠資訊,輸入到終端安全伺服器的資源管理中
2)
使用者通過客戶端軟體進行身份認證
3)
交換機把認證請求傳送給伺服器 (由於交換機埠中有該計算機的mac,所以**認證資料報)
4)
認證伺服器確認賬號/mac/ip,並從資源庫中提取交換機埠號資訊,一同繫結,給出認證通過資訊
5)
使用者認證通過,進行正常訪問業務
方案的要點:
ø 關閉交換機自學習功能,人工靜態配置mac資訊
ø 終端安全系統的伺服器進行資源管理,記錄mac與交換機埠資訊
方案的優缺點:
ø 優點是計算機接入埠資訊固定,網路准入層次提高,避免計算機身份冒充行為,從交換機底層控制未知的計算機是不能接入網路的
ø 缺點是人工配置mac,安全管理工作多
六、三種方案的比較方案
方案特定
適用範圍 方案
1:協議改造
協議實現完整,要求交換機是同廠家的,網路改造投入大
適合新建網路,或者是小型網路系統安全改造 方案
2:主動查詢
方案相對完美,不要求交換機同廠家,但要求支援網管功能
適合大型網路或網路改造的安全管理 方案
3:靜態繫結
方案相對簡單,對交換機沒有要求,方案的安全性又較高,尤其在未授權計算機的接入控制上
適合於涉密要求高的網路,適合於專用網路的安全管理
談談IP MAC與交換機埠繫結的方法
談談 ip mac 與交換機埠繫結的方法 jack zhai 資訊保安管理者都希望在發生安全事件時,不僅可以定位到計算機,而且定位到使用者的實際位置,利用 mac與 ip的繫結是常用的方式,ip位址是計算機的 姓名 網路連線時都使用這個名字 mac位址則是計算機網絡卡的 身份證號 不會有相同的,因為...
談談IP MAC與交換機埠繫結的方法
談談 ip mac 與交換機埠繫結的方法 jack zhai 資訊保安管理者都希望在發生安全事件時,不僅可以定位到計算機,而且定位到使用者的實際位置,利用 mac與 ip的繫結是常用的方式,ip位址是計算機的 姓名 網路連線時都使用這個名字 mac位址則是計算機網絡卡的 身份證號 不會有相同的,因為...
MAC位址繫結 關於IP MAC繫結的交換機設定
目前,很多單位的內部網路,都採用了mac位址與ip位址的繫結技術。下面我們就針對cisco的交換機介紹一下ip和mac繫結的設定方案。在cisco中有以下三種方案可供選擇,方案1和方案2實現的功能是一樣的,即在具體的交換機埠上繫結特定的主機的mac位址 網絡卡硬體位址 方案3是在具體的交換機埠上同時...