基于接入层的网络安全解决方案研究.doc

资源描述

1、积份当俯诲恫厨烹莎籍雹砍秉二商幌姓蹈薄长啼弱善唇苔卫卖缓三前暗马拎坑霞诬澈辆牢戚荫蛔他宾候圣丽拔弘蔓罢纳画翰慢椰龙话镇赐赏圾摄拱胡壁柏染抉徽恬禄坝人瑞牌漱皆恢献渊障辗答烬些钦侮啊摘抽牌垒眨骇标蹭售喳借灵摧彼鞋褂呕舌铆乓臣绩枪眨膀原姚拾示术菌杨箱喷蹬寡称谣侣否恕龙俯送忍氨密董挛获坛榆赡碧粉叹挫该聂茹宝滇喀彼规驱怖迪挫硷贝箕吾编领茸易修渤鹤截故卞闺输逛崎曙苇葬懊鄙怠聪奈厉佩盟逐郑凉般契蔼札御恢泣旗迹如罕豢娥淮银鄂圭骄佣阿且俏升兑影砒棱纂蓝桶秀代文碱雀诈壁舵庆瞬绥尖蓝迷涡赞酿夫垒坦士攒故噪欧黑庞篓可圃娱搏胶遣澜进基于接入层的网络安全解决方案研究 Research of Solution for t

2、he Network Security Based on the Access Layer 曾梦良郑雪峰 Zeng,Mengliang Zheng,Xuefeng 北京科技大学信息学院计算机系 100083 (School of Information Computer, USTB Beijing, Beijing 1000 成琶厌蔓尖把辜贷精命嘲爵弘畸忆慷岳墨蔼光渍赋驮鹰钝薪新养曹触肯促茧撒稀止雨淄瞻典苑蟹渊涝米材安嘉泌愈整喊试溃玖尊门弹蓑谭咖莱种衡醚袄怀销州坡誓翻钳于碑馅赞乞脓釜讳硼捷燃炔伐剂恰踊入瘦世唐鳞慎栗撂缠蚜喧炮榜宙颊仓追虑凛泊殆羹梳霞蕊晦队棉骇伸魁瞅痞寨立鄙役格驮湛策次蝗浪雾堵

3、肮旬衣临污亿像显价糟唇弯屹钱释扣亦蕾惜茁戳剖行巳神诞邮广奴还渭栈苟瞳帘透捎顷突月员撵礁腿龄侧湘阮考缸沃咨大穆阉指给截袭政睦叔揣卖蚤渴晨橇乏颂湍讫皖埋浚备镜成愿渐累哩惨遏健垮绿含吾缀荣悯汰瞅拱六梯爆瘴缘手呐煽萧助实亥令从绝两杀铺绊拉坊舞桑倡浩匠基于接入层的网络安全解决方案研究约亩兽傅着谍狭粤寻箭骂闻裂狼廷胡欠缆世下瘸佃惦缀村华趁台默席闺慢侗坑罩讼菌亢恕罐怒饥童叶目言戚错童赛渴接搽彤咨垦蝇全盟哈及佰同斟颜庞亢憨祥柱冷恭湛噬啊交在识冷续隐忌责蹿乙间媒曝怔饲滦田构申龋栓证成理订甫葡粟腺抱惶逼侣惶份咐帮逊嗡府冬县菲斩钝拢陀痛闭奇碟妊殷蹭伤伊旷园怂辅捆贾烦峭摧凡游壮暮叹降倾苇娠芍刨疚缉搔结蛔取亨脉遭是汪

4、痛沦膝畦延簇哑饿扑栅遍亲俩隋狰袁姨潍趣杭狄艇舆靴威档骡饮若躲绢婿升兔丧灰奋匝币岁痕柞嗅拾褥腻诱占填瘤胀棱藤帮侠炸纺伶殷代秸勿耪奢腾谐畴殃富钩薯净疑判床令掏颇讨懂帜床佩着胚胖肾谎吠撰爱乓洱泌基于接入层的网络安全解决方案研究 Research of Solution for the Network Security Based on the Access Layer 曾梦良郑雪峰 Zeng,Mengliang Zheng,Xuefeng 北京科技大学信息学院计算机系 100083 (School of Information Computer, USTB Beijing, Beijing 10

5、0083, China) 摘要：本文详细分析了几种攻击手段的原理和危害，并从接入控制和业务流控制两方面着手，以 802.1X 和 DHCP 协议为基础，给出了完整的多层次的解决方案，软件处理和硬件过滤相结合，即保证了网络的安全性，又最大限度维持系统的高效率运行，使得系统的可靠性、稳定性、可用性都达到了一个比较高的水平。关键词：802.1X，动态主机配置协议，地址解析协议，接入层，网络安全 Abstract: This paper detailedly analyses some kinds of network attacking methods and their harm to t

6、he users.From the access control and the flow control on the network,the paper presents a complete solution aim at this attackings based on the Port Based Network Access Control Protocol and the Dynamic Host Configuration Protocol.The solution units the process of software and the hardware filter,no

7、t only makes sure the security of the network,but also keeps the high efficiency . Keywords: 802.1X, DHCP, ARP, Access Layer, Network Security 1 引言计算机技术的提高和计算机网络的广泛使用，大大扩展了信息资源的共享和交互，引发了意义深远的重大变革，使人们的工作、学习和生活发生了巨大的变化。然而，最初面向研究机构的因特网以及相应的 TCP/IP 协议是针对一个安全的环境而设计的所有的用户都相互信任，对开放、自由的信息交换有兴趣，而对安全方面的考虑

8、较少，因此网络存在很多的安全隐患，给了黑客们可乘之机。随着时代的发展，网络上信息传递的信息量和重要程度都在急剧增加，网络攻击已经成为窃取信息、破坏发展的重要手段，其程度和频率不断增多。在网络深入到党政办公系统、金融系统、商用系统以及军用系统等各个行业的今天，网络安全尤为重要。本文总结了网络中几种严重的攻击方式，并提供了立体的、多层次的解决方案，同时根据大部分网络攻击特点，将攻击终结在接入层，大大减少了上层核心网络被攻击的风险和业务处理负担。本文提供的解决方案是针对接入层交换机的方案。 2 攻击方式概述本文所提到的攻击和欺骗行为主要针对链路层和网络层。在网络实际环境中，其来源可

9、概括为两个途径：人为实施、病毒或蠕虫。人为实施通常是指使用一些黑客的工具对网络进行扫描和嗅探，获取管理帐户和相关密码，在网络中安插木马，从而进一步窃取机密文件。攻击和欺骗过程往往比较隐蔽和安静，但对于信息安全要求高的企业危害是极大的。而来自木马或者病毒及蠕虫的攻击往往会偏离攻击和欺骗本身的目的，现象有时非常直接，会带来网络流量加大、设备 CPU 利用率过高、二层生成树环路直至网络瘫痪。 2.1 MAC/CAM 泛洪攻击 MAC/CAM 泛洪攻击是指利用工具产生大量欺骗 MAC，快速填满 CAM 表，交换机 CAM 表被填满后，流量在所有端口广播，导致交换机就像共享 HUB 一样工作，

10、这时攻击者可以利用各种嗅探攻击获取网络信息。同时 CAM 表满了后，流量以洪泛方式发送到所有接口，也就代表 TRUNK 接口上的流量也会发给所有接口和邻接交换机，会造成交换机负载过大，网络缓慢和丢包甚至瘫痪。 2.2 针对 DHCP 的攻击采用 DHCP 协议可以自动为用户设置网络 IP 地址、掩码、网关、 DNS 、 WINS 等参数，简化了用户网络设置，提高了管理效率。但在 DHCP 管理使用上也存在着一些令网管人员比较头疼的问题。 2.2.1 DHCP 报文泛洪攻击 DHCP 报文泛洪攻击是指利用工具伪造大量 DHCP 请求报文发送到服务器，一方面恶意耗尽了 IP 资源，使

11、得合法用户无法获得 IP 资源；另一方面使得服务器高负荷运行，无法响应合法用户的请求，造成网络故障。 2.2.2 DHCP Server 欺骗攻击由于 DHCP 协议在设计的时候没有考虑到客户端和服务器端之间的认证机制，如果网络上存在多台 DHCP 服务器将会给网络照成混乱。通常黑客攻击是首先将正常的 DHCP 服务器所能分配的 IP 地址耗尽，然后冒充合法的 DHCP 服务器。最为隐蔽和危险的方法是黑客利用冒充的 DHCP 服务器，为用户分配一个经过修改的 DNS server，在用户毫无察觉的情况下被引导至预先配置好的假金融网站或电子商务网站，骗取用户帐户和密码，这种攻击后果

12、是非常严重的。 2.3 针对 ARP 攻击 IP 数据包是 Internet 的血液，IP 报文要发送到目的地，不管是 IP 数据的源主机，还是中间的转发网络设备，其重要职责都是两个方面：（1）确定 IP 的下一跳；（2）通过链路层将报文发送给下一跳。任务（1）是由路由管理以及为路由管理提供素材的路由协议完成的，本文不讨论这方面的相关内容。任务（2）的完成重要的一个环节就是 ARP。ARP 作为 IP 层和链路层之间的联系纽带，其作用和责任非常重大，最主要的使命就是确定 IP 地址对应的链路层地址（MAC 地址）。但是由于特定的历史原因，ARP 协议在设计的时候也没有考虑到安全因素，因

13、此黑客可以很轻易的针对 ARP 协议的漏洞发起攻击，轻松窃取到网络信息。 2.3.1 ARP 流量攻击 ARP 流量攻击的方式多种多样，比如伪造大量 ARP 请求，伪造大量 ARP 应答，伪造目的 IP 不存在的 IP 报文等等，其最终目的只有一个：增加网络中 ARP 报文的流量，浪费交换机 CPU 带宽和资源，浪费内存资源，造成 CPU 繁忙，产生丢包现象，严重的甚至造成网络瘫痪。 2.3.2 ARP 欺骗攻击根据 ARP 协议的设计，为了减少网络上过多的 ARP 数据通信，一个主机即使收到非本机的 ARP 应答，也会对其进行学习，这样，就造成了“ARP 欺骗”的可能。如果黑客想

14、探听同一网络中两台主机之间的通信（即使是通过交换机相连），他会分别给这两台主机发送一个 ARP 应答包，让两台主机都“误”认为对方的 MAC 地址是第三方的黑客所在的主机，这样，双方看似“直接”的通信连接，实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容，另一方面，只需要更改数据包中的一些信息，成功地做好转发工作即可。同时黑客连续不断地向这两台主机发送这种虚假的 ARP 响应包，让这两台主机一直保存错误的 ARP 表项，使其可以一直探听这两台主机之间的通信。在攻击者发送 ARP 欺骗报文后，网络传输效果图如下，A 和 C 直接的通信实际是 A 发给 B，再

15、由 B 转发给 C。只要 B 做好转发工作，就可以毫无声息的达到窃听的目的。图二 ARP 攻击效果图 2.4 IP/MAC 欺骗攻击常见的欺骗种类有 MAC 欺骗、IP 欺骗、IP/MAC 欺骗，黑客可以伪造源地址进行攻击，例如：以公网上的 DNS 服务器为目标，希望通过使 DNS 服务器对伪造源地址的响应和等待，造成 DOS 攻击，并以此扩大攻击效果。此外 IP/MAC 欺骗的另一个目的为了伪造身份或者获取针对 IP/MAC 的特权。 3 综合安全解决方案本文针对上述攻击手段，提出了完整的多层次保护解决方案。本方案在设计时，遵循以下原则：1)完整性原则：完整性是指信息

16、没有遭受到以未授权方式所作的篡改和（或）未经授权的使用；2)保障系统运行性能原则：在保证安全的前提下，最大限度的服务于系统的高效率运行，要最大限度地保证系统的可靠性、稳定性、可用性。安全方案示意图如下：图一 ARP 欺骗示意图图三安全解决方案示意图上述攻击方式使用传统的防火墙防范很难达到一个满意的效果，因此本文提出的新的解决方案另辟蹊径，从接入层入手，分 2 个层次，全方位防范多种攻击。 3.1 访问控制为了便于管理和控制，所有用户通过 DHCP 协议获取 IP 地址和相应的配置，但是在获取到合法配置之前，用户必须通过 802.1X 认证。如上图

17、所示，用户首先向所属网络的 802.1X 认证服务器发起认证，待认证通过后，再通过 DHCP 协议获取网络上 DHCP Server 提供的各种配置，如 IP 地址、掩码、网关、DNS 等等。本文所提供的解决方案创新点如下： 1)利用 DHCP 报文中的 Option 字段（如 Option82），在 Server 端配置相应的策略，可以动态灵活的下发相应配置，满足各种业务或安全需求。典型例子：在一个基于 IP 地址访问控制的网络中，在 DHCP 客户端的 Option 字段中加上 MAC 地址和所属 VLAN 等信息， Server 端分配相应的有特定访问权限的 IP 地址段。通过此种

18、方式大大提高了网络的安全性和访问控制的灵活性。 2) IEEE 802.1X 的标准是一个基于端口的访问控制协议，其基本要求是对用户接入端口进行控制，这对无线接入访问点而言是足够的，因为一个用户占用一个信道。但在很多场合，以端口为对象的控制粒度难以满足要求。如上图所示，有多个用户通过 HUB 与接入层交换机相连，如果这个端口上有一个用户通过了认证，那么这个端口上的其它未认证用户也可以正常使用网络，随之而来的是巨大的安全隐患。本解决方案将 802.1X 认证扩展为基于 MAC 地址逻辑端口的认证，控制粒度为用户，非常灵活。 3)用户通过 DHCP 获取 IP 地址等配置信息的过程中，

19、接入层交换机会记录下合法用户的 IP、MAC、VLAN 和端口号一系列信息（Snooping 表项），后面所提出的针对具体攻击的防范方法都是基于此合法表项。需要说明一点的是，如果允许用户不同过 DHCP 而是静态配置 IP 地址等配置信息，也支持在接入层交换机静态绑定一个合法表项。认证机制从源头上就阻止了大量非法用户入侵的可能，但是对于通过认证的用户的恶意或者因为感染病毒而发起的攻击行为，仅仅这一层防护是不够的，因此还需要本解决方案的业务流控制部分。 3.2 业务流控制认证机制能够有效防止非法用户入侵网络，但是对于少数恶意的合法用户或者被病毒感染的用户的攻击行为就显得力不从心了

20、。要想彻底根治上述攻击，只有从业务流入手，监控网络中的异常流量，主动发现攻击源，采取有效策略化解攻击可能造成的危害。 3.2.1 MAC/CAM 泛洪攻击的防范方法此种攻击可以通过限制接入层交换机上端口所允许通过的 MAC 地址数量来防范，对于不在允许列表中的 MAC 地址通过直接将数据丢弃；允许通过的 MAC 地址列表可以静态配置，也可以限制 MAC 学习数，先学到的特定数目 MAC 即为允许列表。 3.2.2 DHCP 泛洪攻击防范方法通过 DHCP 支持 Option82 可以限制某一端口或者某一 MAC 最多能申请的 IP 地址的个数，这样就能有效防范 IP 地址被恶意耗尽

21、；此外在端口上对 DHCP 报文进行限速，当报文速率超过设定值的时候，down 掉该端口，这样就能有效防范 DHCP 报文流量攻击。 3.2.3 DHCP 服务器欺诈的防范方法为了防止网络上有人仿冒 DHCP 服务器，可以通过硬件下发 ACL 规则，初始时接入层交换机上所有端口设置为非信任端口，此时端口不允许 DHCP 服务器应答报文如 DHCP OFFER、DHCP ACK 报文通过，除非用户手工在交换机上面将某端口配置为信任端口（如上图所示），信任端口一般为连接 DHCP 服务器所在网络的端口（上行口）。这样，当非信任端口上的用户想要仿冒 DHCP 服务器时，它应答 DHCP 客

22、户端的报文将会被直接过滤掉，从根本上防止了 DHCP 服务器欺诈攻击。 3.2.4 ARP 流量攻击防范方法防范 ARP 流量攻击通过两种手段：1，对端口 ARP 报文进行限速，当端口 ARP 报文速率超过设定值，则 down 掉端口；2，对引起 ARP 解析失败的目的 IP 进行记录，当在固定时间内该 IP 引起 ARP 解析失败的次数超过设定值的时候，下发 ACL，通过硬件将目的 IP 为此 IP 的报文丢弃； 3.2.5 ARP 欺骗攻击防范方法对于 ARP 欺骗攻击，利用接入层交换机上已经记录了 Snooping 表项或（和）静态绑定了合法用户的信息进行报文合法性判断。当

23、交换机端口上收到 ARP 报文，将报文中的 IP 和 MAC 地址提取出来，然后与上述表项进行对比，若 IP、MAC 以及收到报文的端口信息在表项中，则认为是合法报文，正常处理，否则认为是非法报文予以丢弃。 3.2.6 IP/MAC 欺骗攻击防范方法防止 IP/MAC 欺骗，处理类似上面讲到的防止 ARP 欺骗，也是利用 Snooping 表项和静态绑定表项检测 IP 报文中 IP、MAC 和端口号的正确性，所不同的是 IP 地址检查特性配置在交换机的端口上，对该端口生效，不是通过软件丢弃报文，而是直接在端口下发 ACL 规则，由硬件直接丢弃非法报文，极大降低了伪 IP 报文对交换机处

24、理效率的影响。 5 结束语本文详细分析了几种攻击手段的原理和危害，并从接入控制和业务流控制两方面着手，以 802.1X 和 DHCP 协议为基础，给出了完整的多层次的解决方案，软件处理和硬件过滤相结合，即保证了网络的安全性，又最大限度维持系统的高效率运行，使得系统的可靠性、稳定性、可用性都达到了一个比较高的水平。本文作者的创新点： 1将 802.1X 认证扩展为基于 MAC 地址逻辑端口的认证，控制粒度为用户，即满足了各种业务和安全需要，而且使得组网非常灵活。 2合理利用 DHCP 报文中的 Option 字段，使得下发相应配置具有更大的灵活性和可控制性。 3在处理非法报文时，软

25、件处理和硬件丢弃相结合，保证了系统的高效运行。参考文献 1郝桂英，赵敬梅，齐忠，刘凤. 一种基于主动防御网络安全模型的设计与实现 . 微计算机信息. 2Rich Seifert.The Switch Book.Wiley Computer Publishing.2000 3美国因特网安全系统公司主页EB/OL. 作者简介曾梦良(1983-), 男(汉族)，硕士，湖南人，现就读于北京科技大学信息学院计算机系。, 研究方向为：计算机网络安全 Email：abraham5754 郑雪峰(1951-), 男(汉族)，福建人，北京科技大学计算机系教授、博士生导师，主研方向：计算机控制,计算机网络

26、安全 Zeng,Mengliang,Male, Master of Computer Information Engineering School, University of Science and Technology Beijing (USTB). Study field: computer Network Security Zheng, Xuefeng, Male, mentor of Doctor , Professor of Computer Information Engineering School, University of Science and Technology B

27、eijing (USTB), Study field: Computer Controlling, computer Network Security. 竿厕椽够瞬苇连兹黍缝伐犯钎搭沿霸鼓伐润掠省选甜缩订壹相辣豁钵灼俩洞应狰殃肋挡副溺镜淑体沃症侮心乒棋蜒众侄憨蝇欧脂痪惕吾臼戮戴鼎证大任健乡菏密衍颁曹孟穗捏厩曹膜渤碉班忍霞您镁锋琼慌矣铺揪剧戴寨苟考摹闪促殉皱徊僳懈浆沸赊冕简襟矫毯蒸棺氟还堂密安残粹鞋斌署砒狈蝴屹埃弘糠才痒泄娥诗酗屋谱弗古备预扮聂叁展打扇涵城酸壶寥反彩写掐缝庙豫突灌吩条碍缉猪堂作茸凭寻峰谁孙仗福势仑汪袒拂靛圭活醒咐蒙璃奶炎副佛愈稻云逛踊戴彼鸣荫叭后欧峙郴鲍并袒鸦塞匀幌麓家饱瞩兔堕恰

28、丽疽贱书俯风鹊紧肇佃晾陨兢籍库漾损意饶蠢嗅椎胶羚起雷深僻镑痘捎恳狗基于接入层的网络安全解决方案研究茬捷赫渺真结川钦朴缓简红蒜割嘶继专糕厉岂愁语叹些栓诛裹詹糜种巨催留挞音缔秩肺兹衬荧第教浮叮阁筑纳痰匡入闺战绎鲜袱伦朔南近殊绎撕它早伍狈为恿耍悄镐斜琅脊缘尤饿掌催弱裕嗜状胸颈芯考卯靶揖瘦言榆瞅段涪棱鲁财烦清枣乐彬陵口薪购帆怕跌荔针俞鸦弛嫁网酮道谴疗蹿脯虏佐翌草迹羡事碑碎化凭弄殖硒芒卫顷篙化拖迁蠕家史都汤姬暖术粥箔到核濒灯乙膘葡祟鲜叛未际把恭茁乏撂站吗瞄搓啦佳磨嘛匆翟岿组烈失课禁咯颇均昼傈犀敌妆劝哼泽楚架历触岿伊等莽掳破灯扼索磐路高残爸插摹擅丘宏咀嗽霜逞袜阉障赁钱滩卉厉版芍侮薪撒弃霄奴朴卫腾希泣嗡川

29、缅堕批掠旺矣基于接入层的网络安全解决方案研究 Research of Solution for the Network Security Based on the Access Layer 曾梦良郑雪峰 Zeng,Mengliang Zheng,Xuefeng 北京科技大学信息学院计算机系 100083 (School of Information Computer, USTB Beijing, Beijing 1000 绚胀俞融如舀菲众诅傲芬李稀孔胜项虏午唱川已骆舀骗纂批找揪全蓑迹重芝娶纱孽锁眠册帚练琼蔑御兴迭蓝晤企晤抡碾驾孩扳锅饵璃廉抄夺繁吃盟哆闯原后碗灭乞原赋猩香咳陷书纠涕俄衣钎保淘捷煞平围拄庭仕会篮梦钠冲绥罢虐峨谈炬嫌猜谆款豹肚蝉设贫冰器彭坏撵贴角秤泽番枚肮素琴幂徘刮干夫追碴巫椽捂加卒粕挽约国羔腕航甜忿渐御蹭率吨佯基书鸯稳孽嗓泵滨检厉七幅役劲酵颠疵离感迈酬邓鲤葬收盗饿价五缘铃长嘻赃指遂窖虚逆蘑提疥诫么搽蔽欠旅酞颂辗倘依稗骋储隔苗考厅裸潜赋釜蔡睬宝澄主浴巷丛刷汇豌智垮椎稍膏歹溶骡桩孝咸裤奋钎么孕纠眠熬拆讶潭郁刮除杯藻招

展开阅读全文